18
Batch bei Useranmeldung an Windows Domäne
Hallo
Ich möchte bei Useranmeldung ein Batch laufen lassen.
Dieses überprüft ob der User bereits einen Ordner für seine persönlichen Dateien besitzt, falls nicht
lasse ich einen Ordner erstellen. (md \\server IP\Ordner\%Username%)
Funktioniert soweit auch alles.
Nun möchte ich aber dass auf dieses User Ordner zB. "Müller" die NTFS Recht so gesetzt werden dass
nur Hr. Müller und der Admin dort Vollzugriff haben.
Damit soll einfach verhindert werden dass andere User im Ordner Müller Unsinn machen.
Das geht ja wohl per icacls.exe allerdings besitzt Hr. Müller keine Adminrechte
und das Logon Script wird ja nun mal unter der Anmeldung "Müller" ausgeführt.
Deshalb meine Frage:
Gibts, ohne Adminrechte,ne Möglichkeit dem Ordner "Müller" automatisch die gewünschen NTFS Rechte zu verpassen ?
Habe auch Bauchschmerzen wenn ich die Admin Anmeldedaten in einer *.cmd o.ä. hinterlegen soll.
Möchte keine "Fremd Tools" benutzen.
Client OS ist Win7
Server ist ein 2008 R2
Domänenstruktur (AD)
Danke,
Guinnes
Ich möchte bei Useranmeldung ein Batch laufen lassen.
Dieses überprüft ob der User bereits einen Ordner für seine persönlichen Dateien besitzt, falls nicht
lasse ich einen Ordner erstellen. (md \\server IP\Ordner\%Username%)
Funktioniert soweit auch alles.
Nun möchte ich aber dass auf dieses User Ordner zB. "Müller" die NTFS Recht so gesetzt werden dass
nur Hr. Müller und der Admin dort Vollzugriff haben.
Damit soll einfach verhindert werden dass andere User im Ordner Müller Unsinn machen.
Das geht ja wohl per icacls.exe allerdings besitzt Hr. Müller keine Adminrechte
und das Logon Script wird ja nun mal unter der Anmeldung "Müller" ausgeführt.
Deshalb meine Frage:
Gibts, ohne Adminrechte,ne Möglichkeit dem Ordner "Müller" automatisch die gewünschen NTFS Rechte zu verpassen ?
Habe auch Bauchschmerzen wenn ich die Admin Anmeldedaten in einer *.cmd o.ä. hinterlegen soll.
Möchte keine "Fremd Tools" benutzen.
Client OS ist Win7
Server ist ein 2008 R2
Domänenstruktur (AD)
Danke,
Guinnes
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 215963
Url: https://administrator.de/contentid/215963
Ausgedruckt am: 26.11.2024 um 04:11 Uhr
18 Kommentare
Neuester Kommentar
Hallo,
darf ich fragen, warum du nicht den Basisordner dazu nutzt? (im AD --> User --> Eigenschaften --> Profil)
Dafür ist er doch gedacht?
Gruß
Max
darf ich fragen, warum du nicht den Basisordner dazu nutzt? (im AD --> User --> Eigenschaften --> Profil)
Dafür ist er doch gedacht?
Gruß
Max
1
ich möchte dem user einen ordner für seine persönlichen dokumente (texte etc.) zur verfügung stellen.
als Basisordner (AD) ist bei uns so ne art "sammelablage" definiert, somit ist diese Möglichkeit schon vergeben.
Guinnes
als Basisordner (AD) ist bei uns so ne art "sammelablage" definiert, somit ist diese Möglichkeit schon vergeben.
Guinnes
1
Hallo @Guinnes,
Macht man das nicht eigentlich andersrum?
Der Basisordner ist für "Eigene Dateien" des Users gedacht, während ein extra Share als Sammelablage benutzt wird.
Aus welchem Grund ist das bei euch andersrum?
Gruß,
@Snowman25
Macht man das nicht eigentlich andersrum?
Der Basisordner ist für "Eigene Dateien" des Users gedacht, während ein extra Share als Sammelablage benutzt wird.
Aus welchem Grund ist das bei euch andersrum?
Gruß,
@Snowman25
Hab das so von meinem Vorgänger übernommen, es soll auch so bleiben.
Niemand ne Idee ???
Guinnes
Niemand ne Idee ???
Guinnes
Moin,
im Anmeldescript wird das nicht funktionieren, wg. der fehlenden Rechte. Am besten du machst das für jeden User per Hand (oder Script) direkt am Server.
Und nebenbei bemerkt: Nur der Admin braucht "Vollzugriff", dem Anwender genügt Lesen+Schreiben
lg,
Slainte
im Anmeldescript wird das nicht funktionieren, wg. der fehlenden Rechte. Am besten du machst das für jeden User per Hand (oder Script) direkt am Server.
Und nebenbei bemerkt: Nur der Admin braucht "Vollzugriff", dem Anwender genügt Lesen+Schreiben
lg,
Slainte
direkt am server ist ne idee, man könnte eine 2. cmd auf dem server starten lassen (aus der ersten bat).......
oder anders: das script wird ja auf dem server ausgeführt(liegt ja auch dort) , damit läuft es doch nicht unter den rechten des USERS oder ?
Guinnes
oder anders: das script wird ja auf dem server ausgeführt(liegt ja auch dort) , damit läuft es doch nicht unter den rechten des USERS oder ?
Guinnes
Über
runas geht das. Aber dann kann jeder User einfach in die batch gucken und den Admin-account rauslesen.Zitat von @Guinnes:
direkt am server ist ne idee, man könnte eine 2. cmd auf dem server starten lassen (aus der ersten bat).......
oder würde es gehen wenn ich der icalcs.exe den admin account mit gebe (quasi in der batch als argument) ????
Nein das geht natürlich nicht, da sich dann ja der Sicherheitskontext der .cmd nicht ändert - deswegen schrieb ich ja "per Hand".direkt am server ist ne idee, man könnte eine 2. cmd auf dem server starten lassen (aus der ersten bat).......
oder würde es gehen wenn ich der icalcs.exe den admin account mit gebe (quasi in der batch als argument) ????
Um wieviele User geht's denn hier?
damit schon aus dem rennen......nochmal drüber grübeln.
danke erstmal.....
danke erstmal.....
Nochmal:
Etwa so
Aber mit deinem Basisverzeichnis als "Sammelbecken" wirst Du immer wieder Probleme stoßen.
Um wieviele User geht's denn hier?
Das ganze lässt sich uU auch am Server per Script in einem Rutsch anlegen.Etwa so
FOR /F %%a IN ('dsquery user | dsget user -samid') DO call :CreateUserDir %%a
goto :EOF
:CreateUserDir
mkdir \server\blubber\%1
icacls .....
goto :EOF
:EOFAber mit deinem Basisverzeichnis als "Sammelbecken" wirst Du immer wieder Probleme stoßen.
ich denke , ich hatte nen denkfehler:
wenn bei einer useranmeldung das script ausgeführt wird, dann wird es doch nicht mit den userrechten ausgeführt.
denn es liegt ja nicht lokal auf dem pc (auf dem sich der user eben gerade anmeldet) sondern auf dem server (SYSVOL bzw NETLOGON ).
im AD (benutzer -> eigenschaften -> konto oder profil ???) lässt sich das script angeben.
ist eben die frage: mit welchen rechten läuft dann dieses script ab ? mit adminrechten ? dann wäre mein problem gelöst.
werde es morgen probieren, hab hier @home keine domäne.
Danke Guinnes
wieso sollte ich mit dem basisordner (sammel ablage) immer wieder probleme bekommen ? hat mit meinem problem auch nix zu tun ?!
wenn bei einer useranmeldung das script ausgeführt wird, dann wird es doch nicht mit den userrechten ausgeführt.
denn es liegt ja nicht lokal auf dem pc (auf dem sich der user eben gerade anmeldet) sondern auf dem server (SYSVOL bzw NETLOGON ).
im AD (benutzer -> eigenschaften -> konto oder profil ???) lässt sich das script angeben.
ist eben die frage: mit welchen rechten läuft dann dieses script ab ? mit adminrechten ? dann wäre mein problem gelöst.
werde es morgen probieren, hab hier @home keine domäne.
Danke Guinnes
wieso sollte ich mit dem basisordner (sammel ablage) immer wieder probleme bekommen ? hat mit meinem problem auch nix zu tun ?!
Welcher ITler ist vor 17:00 zuhause?
Ich protestiere!
Gruß ;)
Der Server / die Freigabe auf dem das Script liegt ist doch völlig egal! Ausschlag gebend für die Rechte ist der User der das Script ausführt. Und das ist beim Loginscript immer der User der sich gerade anmeldet. Loginscripts laufen nie mit Adminrechten.
wieso sollte ich mit dem basisordner (sammel ablage) immer wieder probleme bekommen ?
Weil der Basisordner für die "Eigenen Dateien" des Users gedacht ist, und davon ausgegangen wird, das nur der entsprechend User Zugriff darauf hat.hat mit meinem problem auch nix zu tun ?!
Doch, weil dem Basisordner bei der Erstellung (durch Windows) autom. die entsprechenden Rechte zugewiesen werden würden.
Hallo @ All!
Abseits der Überlegungen zum Basisordner: Wenn der Batch als Logon-Script ausgeführt wird, läuft er zwar mit den Rechten des Benutzers, aber wenn der Benutzer einen Ordner erstellt ist er ja Besitzer und kann daher (Freigabeberechtigung "Vollzugriff" vorausgesetzt) auch NTFS-Sicherheitseinstellungen abändern - ob die Besitzereigenschaft auch für die bereits vorhandenen Ordner zutrifft, geht aus der Beschreibung allerdings nicht hervor ...
... wobei sich das aber analog zu dem von Slainte vorgeschlagenen Batch (einmalig vom Administrator am Server zu starten) ja korrigieren ließe.
Grüße
bastla
Abseits der Überlegungen zum Basisordner: Wenn der Batch als Logon-Script ausgeführt wird, läuft er zwar mit den Rechten des Benutzers, aber wenn der Benutzer einen Ordner erstellt ist er ja Besitzer und kann daher (Freigabeberechtigung "Vollzugriff" vorausgesetzt) auch NTFS-Sicherheitseinstellungen abändern - ob die Besitzereigenschaft auch für die bereits vorhandenen Ordner zutrifft, geht aus der Beschreibung allerdings nicht hervor ...
... wobei sich das aber analog zu dem von Slainte vorgeschlagenen Batch (einmalig vom Administrator am Server zu starten) ja korrigieren ließe.
Grüße
bastla
Zitat von @SlainteMhath:
Der Server / die Freigabe auf dem das Script liegt ist doch völlig egal! Ausschlag gebend für die Rechte ist der User
der das Script ausführt. Und das ist beim Loginscript immer der User der sich gerade anmeldet. Loginscripts laufen nie mit
Adminrechten.
> wieso sollte ich mit dem basisordner (sammel ablage) immer wieder probleme bekommen ?
Weil der Basisordner für die "Eigenen Dateien" des Users gedacht ist, und davon ausgegangen wird, das nur der
entsprechend User Zugriff darauf hat.
> hat mit meinem problem auch nix zu tun ?!
Doch, weil dem Basisordner bei der Erstellung (durch Windows) autom. die entsprechenden Rechte zugewiesen werden würden.
Der Server / die Freigabe auf dem das Script liegt ist doch völlig egal! Ausschlag gebend für die Rechte ist der User
der das Script ausführt. Und das ist beim Loginscript immer der User der sich gerade anmeldet. Loginscripts laufen nie mit
Adminrechten.
> wieso sollte ich mit dem basisordner (sammel ablage) immer wieder probleme bekommen ?
Weil der Basisordner für die "Eigenen Dateien" des Users gedacht ist, und davon ausgegangen wird, das nur der
entsprechend User Zugriff darauf hat.
> hat mit meinem problem auch nix zu tun ?!
Doch, weil dem Basisordner bei der Erstellung (durch Windows) autom. die entsprechenden Rechte zugewiesen werden würden.
ohne es ausprobiert zu haben denke ich nicht dass ein logon script mit den rechten des anmeldeten users läuft, das wäre der fall wenn die *.cmd lokal auf dem PC des users (durch den user) gestartet wird. das war auch meine fehlannahme.
aber: test folgt.....
der basis ordner ist bei uns eine ablage mit ordnern die für die verschiedenen abteilungen (NTFS rechte regeln den zugriff), geht seit jahren ohne probleme.
Guinnes
ohne es ausprobiert zu haben denke ich nicht dass ein logon script mit den rechten des anmeldeten users läuft...
Falsch gedacht! Mehr sag ich dazu nicht mehr
Hast (leider) Recht
wenn ich im AD dem User (Konto/Anmeldescript) das script zuweise, welches auf dem DC\Sysvol\Scripte liegt zuweise, ist es genau so als ob der user das Script selbst beim Anmelden am PC startet. sprich: keine Möglichkeit auf seinen %USERNAME% NTFS Rechte zu bearbeiten.
Mist.
Hab aber etwas interessantes gefunden:
http://openbook.galileocomputing.de/microsoft_netzwerk/microsoft_netzwe ...
gibst doch nicht, muss doch ne lösung geben!
ich bleib dran......
@slainte:
es geht um ca. 80 User
wie meinst du das mit deinem script (etwas weiter oben) ? du willst quasi für die user einen ordner anlegen/NTFS rechte vergeben unabhängig von der Useranmeldung ?
Guinnes
edit: um das Ganze abzuschließen:
habe es etwas anders gelöst, trotzdem allen vielen Dank !
wenn ich im AD dem User (Konto/Anmeldescript) das script zuweise, welches auf dem DC\Sysvol\Scripte liegt zuweise, ist es genau so als ob der user das Script selbst beim Anmelden am PC startet. sprich: keine Möglichkeit auf seinen %USERNAME% NTFS Rechte zu bearbeiten.
Mist.
Hab aber etwas interessantes gefunden:
http://openbook.galileocomputing.de/microsoft_netzwerk/microsoft_netzwe ...
gibst doch nicht, muss doch ne lösung geben!
ich bleib dran......
@slainte:
es geht um ca. 80 User
wie meinst du das mit deinem script (etwas weiter oben) ? du willst quasi für die user einen ordner anlegen/NTFS rechte vergeben unabhängig von der Useranmeldung ?
Guinnes
edit: um das Ganze abzuschließen:
habe es etwas anders gelöst, trotzdem allen vielen Dank !
