5
Zugriff auf umgeleitete Eigene Dateien der User für den Admin
Guten Morgen!
Unser DC W2K3 mit AD ist so eingerichtet, dass die Profile der User auf dem Server abgelegt und die Eigenen Dateien ins Basisverzeichnis (user Home) umgeleitet werden.
Um auf die Dateien im Problemfall zugreifen zu können soll der Admin Zugriff auf diese haben, ohne den Umweg Besitzübernehmen. Bei den Profilen ist das Kein Problem, da habe ich das über den Entsprechenden Schalten in den GPOs geregelt, nur auf die Eigenen Dateien kann ich nicht zugreifen. Gibt es da auch eine Einstellung, die ich bisher übersehen habe.
Der Ordner in dem die Basisverzeichnisse erstellt werden, ist so eingerichtet, das der Admin darauf zugreifem kann. Auch auf das jeweilige Basisverzeichnis kann zugegriffen werden und die Vererbung ist eingeschaltet. Nur das darunterliegende Verzeichnis Eigene Dateien kann nicht geöffnet werden.
Danke und Gruß
meto
Unser DC W2K3 mit AD ist so eingerichtet, dass die Profile der User auf dem Server abgelegt und die Eigenen Dateien ins Basisverzeichnis (user Home) umgeleitet werden.
Um auf die Dateien im Problemfall zugreifen zu können soll der Admin Zugriff auf diese haben, ohne den Umweg Besitzübernehmen. Bei den Profilen ist das Kein Problem, da habe ich das über den Entsprechenden Schalten in den GPOs geregelt, nur auf die Eigenen Dateien kann ich nicht zugreifen. Gibt es da auch eine Einstellung, die ich bisher übersehen habe.
Der Ordner in dem die Basisverzeichnisse erstellt werden, ist so eingerichtet, das der Admin darauf zugreifem kann. Auch auf das jeweilige Basisverzeichnis kann zugegriffen werden und die Vererbung ist eingeschaltet. Nur das darunterliegende Verzeichnis Eigene Dateien kann nicht geöffnet werden.
Danke und Gruß
meto
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 18374
Url: https://administrator.de/contentid/18374
Printed on: April 25, 2024 at 09:04 o'clock
5 Comments
Latest comment
Frage für Deine Konfiguration betreffend GPO:
Hallo, habe Da eine Frage anhand Deiner Einstellung, da ich dasselbe Problem habe.
Bei der GPO damit die neu erstellten Profile Administratoren rechte erhalten habe ich
unter Administrative Vorlagen Systen den schalter aktiviert, dass "Administratoren" hinzugefügt werden. Dummerweise funktioniert dies bei uns nicht. Auf dem Fileserver unter \\fileserver\profile$\%username% wenn es das Profile erstellt hat sind keine NTFS Rechte enthalten. Das bedeutet, ich muss den Besizt übernehmen und die Rechte durchstrehlen.
Wie hast Du das gemacht und wo machen wir den Fehler? Vieleicht könntest Du mir dies kurz posten.
Aufrund Deiner Frage bei "Eigene Dateien". Das ganze könnte mit cacls oder xcacls vom Ress.Kit erledigt werden, sofern der Besitz nicht das Problem ist.
Grüsse
Moxi
Hallo, habe Da eine Frage anhand Deiner Einstellung, da ich dasselbe Problem habe.
Bei der GPO damit die neu erstellten Profile Administratoren rechte erhalten habe ich
unter Administrative Vorlagen Systen den schalter aktiviert, dass "Administratoren" hinzugefügt werden. Dummerweise funktioniert dies bei uns nicht. Auf dem Fileserver unter \\fileserver\profile$\%username% wenn es das Profile erstellt hat sind keine NTFS Rechte enthalten. Das bedeutet, ich muss den Besizt übernehmen und die Rechte durchstrehlen.
Wie hast Du das gemacht und wo machen wir den Fehler? Vieleicht könntest Du mir dies kurz posten.
Aufrund Deiner Frage bei "Eigene Dateien". Das ganze könnte mit cacls oder xcacls vom Ress.Kit erledigt werden, sofern der Besitz nicht das Problem ist.
Grüsse
Moxi
Guten Morgen,
also ist ganz einfach. Du gehst bei den Gruppenrichtlinien in die Ordnerumleitung, wählst die Eigenschaften von Eigene Dateien aus und wählst dann Einstellungen. Dort entfernst du das Häkchen bei "Dem Benutzer exklusive Zugriffs... bla bla bla." Jetzt haben auch die Administratoren zugriff auf die Eigenen Dateien.
Wichtig ist, dass Du die Sicherheitseinstellung bei den bereits vorhandenen Ordner manuell anpassen musst. Für neue User wird sie bei der Erstellung des Benutzers automatisch angewendet.
also ist ganz einfach. Du gehst bei den Gruppenrichtlinien in die Ordnerumleitung, wählst die Eigenschaften von Eigene Dateien aus und wählst dann Einstellungen. Dort entfernst du das Häkchen bei "Dem Benutzer exklusive Zugriffs... bla bla bla." Jetzt haben auch die Administratoren zugriff auf die Eigenen Dateien.
Wichtig ist, dass Du die Sicherheitseinstellung bei den bereits vorhandenen Ordner manuell anpassen musst. Für neue User wird sie bei der Erstellung des Benutzers automatisch angewendet.
@mgoelike
Das hatte ich wohl übersehen. Hatte ja fast geahnt, dass es sowas einfaches seien muss. Danke.
@moxi
Bin da genauso vorgegangen wie du. Ich habe eine GPO erstellt, die auf die Computer angewendet werden soll und habe diese dann mit der OU verlinkt, in denen die Computerkonten liegen.
Ich kann mir nur vorstellen, dass die GPO bei dir nicht angewendet wird. Wichtig ist, dass die Computerkonten in der OU sind auf die die Richtlinie wirken soll.
Das hatte ich wohl übersehen. Hatte ja fast geahnt, dass es sowas einfaches seien muss. Danke.
@moxi
Bin da genauso vorgegangen wie du. Ich habe eine GPO erstellt, die auf die Computer angewendet werden soll und habe diese dann mit der OU verlinkt, in denen die Computerkonten liegen.
Ich kann mir nur vorstellen, dass die GPO bei dir nicht angewendet wird. Wichtig ist, dass die Computerkonten in der OU sind auf die die Richtlinie wirken soll.
Hallo
Vielen Dank, genau so war es. Bei dem PC welche ich testete wurde in eine andere OU verlegt wo die Richtlinie noch nicht aktiviert war. Sobald ich die Richtlinie auch in dieser OU integrierte funktionierte es. Wichtig ist es auch daran zu denken, die Richtlinie nicht bei den User zuzuweisen sondern eben bei den Computer kontos.
Super, vielen Dank!!
moxi
Vielen Dank, genau so war es. Bei dem PC welche ich testete wurde in eine andere OU verlegt wo die Richtlinie noch nicht aktiviert war. Sobald ich die Richtlinie auch in dieser OU integrierte funktionierte es. Wichtig ist es auch daran zu denken, die Richtlinie nicht bei den User zuzuweisen sondern eben bei den Computer kontos.
Super, vielen Dank!!
moxi
Hallo,
ich bin gerade auf diesen Artikel gestolpert. Das Problem habe ich auch gerade. Wir haben hier einen 2003 Server der Domaincontroller, DHCP, DNS und auch noch Fileserver ist. Ich habe diese Struktur von meinem Vorgänger übernommen und ich muss leider sagen das es ist ein ziemliches Chaos ist.
Jedenfalls bin ich gerade dabei neue GPOs zu erstellen und dem Server die Funktion des Fileservers zu entziehen( Es geht hierbei um ein USerlaufwerk welches jedem User durch das AD zur Verfügung gestellt wird und vielen Freigaben für Firmendaten). Da in letzter zeit ziemlich viel kaputt gegangen ist, wurde Geld ausgegeben und ich habe jetzt einen Fileserver der über Fibrechannel an einem HP SAN angeschlossen ist. Ich habe soweit alle USerlaufwerke im AD umgestellt und die Dateien Transportiert, die Firmendaten sind auch schon alle Transportiert, die neuen Netzwerkpfade werden über ein Logonskript automatisch verbunden und alles funktioniert soweit sehr gut (Der Domaincontroller soll halt ein reiner Domaincontroller mit DHCP und DNS sein, ein zweiter wird zusätzlich installiert und kann im Notfall die Aufgaben übernehmen). Doch jetzt bin ich bei den Eigenen Dateien angekommen, die auch noch auf dem DOmaincontroller liegen. Dies funktioniert durch die Ordnerumleitung die in den GPOs definiert sind.
Ich habe mir für die User auch schon neue GPOs erstellt (die alten waren Horror, mein Vorgänger hat da einen klitzekleinen Denkfehler eingebaut. Alle Computer der Domain waren in einer Organisationseinheit (Computer), jeder Geschäftsbereich hier in der Firma (8 Stück z.B. Sekretariat, Buchhaltung, Mitarbeiter, Praktikanten etc.) hatten auch eine Organisationseinheit die auf der gleichen ebene wie die Computer Organisationseinheit lag. Nun lag noch eine GPO auf dieser ebene, die Computer und Benutzerkonfiguration beinhaltete (soweit ja ok). ABer jetzt hatte jede Organisationseinheit auch Ihre eigene GPO und in dieser hatte mein Vorgänger verzweifelt versucht die Computerkonfiguration zu konfigurieren (Diese lagen halt in einer höher liegenden Ebene in der Organisationseinheit Computer)
)
OK, soweit so gut deswegen habe ich neue Organisationseinheiten und Richtlinien erstellt um alles ein wenig übersichtlicher zu gestalten. Ich habe natürlich mit Testusern angefangen alles zu testen und ich hänge einfach schon seit Tagen an der Ordnerumleitung. Mein Ziel ist, dass der USer und der Domainadmin Zugriff auf den Ordner hat, damit man in einem Notfall auf die Dateien kommt ohne vorher den Besitz zu übernehmen.(Bei dem alten Server hatte der Domain Admin keinen Zugriff)
Ich habe in einem GPO unter Benutzerkonfiguration definiert: Ordnerumleitung - Eigene Dateien - Einstellungen: Standard (Leitet alle Ordner auf den gleichen Pfad um); Zielordner: Einen Ordner für jeden Benutzer im Stampfad erstellen; Stammverzeichnis \\Servername\Freigabe ;
Dann unter Einstellungen: Dem Benutzer exklusive Zugriffsrechte für eigene Dateien erteilen (Häckchen entfernt); Den Inhalt von EIgenen Dateien an den neuen Ort verscheiben (Häckchen gesetzt); und bei Entfernen der Richtlinie: Ordner nach Entfernen der Richtlinie zurück an den Ort des lokalen Benutzerprofils umleiten.
Das sind meine EInstellungen in der GPO.
Das Netzlaufwerk auf dem die Dateien verschoben werden ist mit folgenden Berechtigungen eingestellt:
Freigabename: Umleitung (Berechtigung: Authentifizierte Benutzer)
Sicherheit: Domänen Admins(Vollzugriff mit Vererbung), Authentifizierte Benutzer( Vollzugriff mit Vererbung), Ersteller-Benutzer (Vollzugriff auf Unterordner und Dateien)
Wenn ich jetzt einen User nehme und Ihn im AD Verschieben damit seine neue Richtlinie greift, werden die Daten vom alten Fileserver automaitisch auf den neuen verschoben wenn der User sich neu anmeldet. Leider hat der Domain Admin dann keinen Zugriff auf die Dateien. Erst wieder wenn ich den Besitz übernehme?
Hat jemand eine Idee, ich danke allen schon mal im voraus.
Grüße
Dirk
ich bin gerade auf diesen Artikel gestolpert. Das Problem habe ich auch gerade. Wir haben hier einen 2003 Server der Domaincontroller, DHCP, DNS und auch noch Fileserver ist. Ich habe diese Struktur von meinem Vorgänger übernommen und ich muss leider sagen das es ist ein ziemliches Chaos ist.
Jedenfalls bin ich gerade dabei neue GPOs zu erstellen und dem Server die Funktion des Fileservers zu entziehen( Es geht hierbei um ein USerlaufwerk welches jedem User durch das AD zur Verfügung gestellt wird und vielen Freigaben für Firmendaten). Da in letzter zeit ziemlich viel kaputt gegangen ist, wurde Geld ausgegeben und ich habe jetzt einen Fileserver der über Fibrechannel an einem HP SAN angeschlossen ist. Ich habe soweit alle USerlaufwerke im AD umgestellt und die Dateien Transportiert, die Firmendaten sind auch schon alle Transportiert, die neuen Netzwerkpfade werden über ein Logonskript automatisch verbunden und alles funktioniert soweit sehr gut (Der Domaincontroller soll halt ein reiner Domaincontroller mit DHCP und DNS sein, ein zweiter wird zusätzlich installiert und kann im Notfall die Aufgaben übernehmen). Doch jetzt bin ich bei den Eigenen Dateien angekommen, die auch noch auf dem DOmaincontroller liegen. Dies funktioniert durch die Ordnerumleitung die in den GPOs definiert sind.
Ich habe mir für die User auch schon neue GPOs erstellt (die alten waren Horror, mein Vorgänger hat da einen klitzekleinen Denkfehler eingebaut. Alle Computer der Domain waren in einer Organisationseinheit (Computer), jeder Geschäftsbereich hier in der Firma (8 Stück z.B. Sekretariat, Buchhaltung, Mitarbeiter, Praktikanten etc.) hatten auch eine Organisationseinheit die auf der gleichen ebene wie die Computer Organisationseinheit lag. Nun lag noch eine GPO auf dieser ebene, die Computer und Benutzerkonfiguration beinhaltete (soweit ja ok). ABer jetzt hatte jede Organisationseinheit auch Ihre eigene GPO und in dieser hatte mein Vorgänger verzweifelt versucht die Computerkonfiguration zu konfigurieren (Diese lagen halt in einer höher liegenden Ebene in der Organisationseinheit Computer)
)OK, soweit so gut deswegen habe ich neue Organisationseinheiten und Richtlinien erstellt um alles ein wenig übersichtlicher zu gestalten. Ich habe natürlich mit Testusern angefangen alles zu testen und ich hänge einfach schon seit Tagen an der Ordnerumleitung. Mein Ziel ist, dass der USer und der Domainadmin Zugriff auf den Ordner hat, damit man in einem Notfall auf die Dateien kommt ohne vorher den Besitz zu übernehmen.(Bei dem alten Server hatte der Domain Admin keinen Zugriff)
Ich habe in einem GPO unter Benutzerkonfiguration definiert: Ordnerumleitung - Eigene Dateien - Einstellungen: Standard (Leitet alle Ordner auf den gleichen Pfad um); Zielordner: Einen Ordner für jeden Benutzer im Stampfad erstellen; Stammverzeichnis \\Servername\Freigabe ;
Dann unter Einstellungen: Dem Benutzer exklusive Zugriffsrechte für eigene Dateien erteilen (Häckchen entfernt); Den Inhalt von EIgenen Dateien an den neuen Ort verscheiben (Häckchen gesetzt); und bei Entfernen der Richtlinie: Ordner nach Entfernen der Richtlinie zurück an den Ort des lokalen Benutzerprofils umleiten.
Das sind meine EInstellungen in der GPO.
Das Netzlaufwerk auf dem die Dateien verschoben werden ist mit folgenden Berechtigungen eingestellt:
Freigabename: Umleitung (Berechtigung: Authentifizierte Benutzer)
Sicherheit: Domänen Admins(Vollzugriff mit Vererbung), Authentifizierte Benutzer( Vollzugriff mit Vererbung), Ersteller-Benutzer (Vollzugriff auf Unterordner und Dateien)
Wenn ich jetzt einen User nehme und Ihn im AD Verschieben damit seine neue Richtlinie greift, werden die Daten vom alten Fileserver automaitisch auf den neuen verschoben wenn der User sich neu anmeldet. Leider hat der Domain Admin dann keinen Zugriff auf die Dateien. Erst wieder wenn ich den Besitz übernehme?
Hat jemand eine Idee, ich danke allen schon mal im voraus.
Grüße
Dirk
