2
Das Recht erteilen, auf einem DC Freigaben zu erstellen
Hallo zusammen!
Wie erteile ich einem User/einer Gruppe das Recht, auf einem DC Freigaben zu erstellen?
Ich habe einen Kunden mit einem Hauptstandort und mehreren Filialen und dort angesiedelten Filial-DCs (alles innnerhalb der selben Domain). In den Filialen springen einige IT-Fachleute rum, denen ich das Recht erteilen möchte, auf ihren lokalen DCs sich a) einzuloggen und b) Freigaben zu erstellen, zu bearbeiten oder zu löschen.
Darüber hinaus sollen sie das NUR auf ihrem DC tun dürfen, also z.B. nicht per MMC-Connect auf einen anderen Server und dort an den Freigaben rumfuhrwerken. Daher dürfen diese User nicht in die Server-Operatoren oder gar Administratoren Gruppe. Das wären zuviel Rechte, z.B. haben die an der Systemuhr nicht rumzufrickeln und runterfahren gehört auch nicht zum Repertoire.
a) ist kein Problem gewesen. GPO an die DCs gerichtet bzw. Login-Rechte im Konto des Users geregelt, fertig.
b) ist bisher unlösbar gewesen.
Welches Recht/Registry-Setting/GPO-Einstellung/whatever lässt denn einen User Freigaben sehen und editieren?
Wie erteile ich einem User/einer Gruppe das Recht, auf einem DC Freigaben zu erstellen?
Ich habe einen Kunden mit einem Hauptstandort und mehreren Filialen und dort angesiedelten Filial-DCs (alles innnerhalb der selben Domain). In den Filialen springen einige IT-Fachleute rum, denen ich das Recht erteilen möchte, auf ihren lokalen DCs sich a) einzuloggen und b) Freigaben zu erstellen, zu bearbeiten oder zu löschen.
Darüber hinaus sollen sie das NUR auf ihrem DC tun dürfen, also z.B. nicht per MMC-Connect auf einen anderen Server und dort an den Freigaben rumfuhrwerken. Daher dürfen diese User nicht in die Server-Operatoren oder gar Administratoren Gruppe. Das wären zuviel Rechte, z.B. haben die an der Systemuhr nicht rumzufrickeln und runterfahren gehört auch nicht zum Repertoire.
a) ist kein Problem gewesen. GPO an die DCs gerichtet bzw. Login-Rechte im Konto des Users geregelt, fertig.
b) ist bisher unlösbar gewesen.
Welches Recht/Registry-Setting/GPO-Einstellung/whatever lässt denn einen User Freigaben sehen und editieren?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 66508
Url: https://administrator.de/contentid/66508
Printed on: April 20, 2024 at 00:04 o'clock
2 Comments
Latest comment
Hi,
und B) wird es auch bleiben. DCs haben keine lokale Userverwaltung, darum wirds damit nichts.
Alternativ könntest Du folgendes machen:
- Halte die Anzahl der Shares in einem gewissen Rahmen. User brauchen nicht soviele Shares, denn ab W2003 kann man auch auf Unterverzeichnisse zugreifen, wenn auf dem darüber liegenden Verzeichnis kein Recht ist.
- Erstelle eine bestimmte Anzahl von Gruppen und verrechte diese mit unterschiedlichen Rechten auf dem FILESYSTEM (nicht Shares,dort Administratoren FULL, Authenticated Users Modify)
- Lege eine Domain Local ADMIN-Group an, in die Du die entsprechenden User reinpackst und gebe dieser FULL Rechte auf dem entsprechenden Filesystem. Damit können deren Mitglieder Verrechtungen auf Filesystemebene vergeben.
- Gebe den lokalen Admins Rechte die Gruppen zu verwalten (User rein, rausnehmen)
bye
Karo
und B) wird es auch bleiben. DCs haben keine lokale Userverwaltung, darum wirds damit nichts.
Alternativ könntest Du folgendes machen:
- Halte die Anzahl der Shares in einem gewissen Rahmen. User brauchen nicht soviele Shares, denn ab W2003 kann man auch auf Unterverzeichnisse zugreifen, wenn auf dem darüber liegenden Verzeichnis kein Recht ist.
- Erstelle eine bestimmte Anzahl von Gruppen und verrechte diese mit unterschiedlichen Rechten auf dem FILESYSTEM (nicht Shares,dort Administratoren FULL, Authenticated Users Modify)
- Lege eine Domain Local ADMIN-Group an, in die Du die entsprechenden User reinpackst und gebe dieser FULL Rechte auf dem entsprechenden Filesystem. Damit können deren Mitglieder Verrechtungen auf Filesystemebene vergeben.
- Gebe den lokalen Admins Rechte die Gruppen zu verwalten (User rein, rausnehmen)
bye
Karo
Da hast Du recht, das wäre eine gangbare Möglichkeit. Da müssen sich die Spezialisten halt umgewöhnen, dass sie Deep-Mapping machen müssen.
Aber mir geht ned ins Hirn, dass das, was einen Server-Operator (ist ja eine AD- und domänenweite Gruppe) erlaubt auf DCs Shares zu sehen und zu bearbeiten weder herausfindbar, noch bei einer anderen Gruppe "zuschaltbar" sein soll. Ich mein, das Recht Shares zu eröffnen wird ja wohl nicht hardgecodet auf die beiden SIDs sein, oder?
Aber mir geht ned ins Hirn, dass das, was einen Server-Operator (ist ja eine AD- und domänenweite Gruppe) erlaubt auf DCs Shares zu sehen und zu bearbeiten weder herausfindbar, noch bei einer anderen Gruppe "zuschaltbar" sein soll. Ich mein, das Recht Shares zu eröffnen wird ja wohl nicht hardgecodet auf die beiden SIDs sein, oder?
