guinnes
Goto Top

Batch bei Useranmeldung an Windows Domäne

Hallo

Ich möchte bei Useranmeldung ein Batch laufen lassen.
Dieses überprüft ob der User bereits einen Ordner für seine persönlichen Dateien besitzt, falls nicht
lasse ich einen Ordner erstellen. (md \\server IP\Ordner\%Username%)
Funktioniert soweit auch alles.
Nun möchte ich aber dass auf dieses User Ordner zB. "Müller" die NTFS Recht so gesetzt werden dass
nur Hr. Müller und der Admin dort Vollzugriff haben.
Damit soll einfach verhindert werden dass andere User im Ordner Müller Unsinn machen.
Das geht ja wohl per icacls.exe allerdings besitzt Hr. Müller keine Adminrechte
und das Logon Script wird ja nun mal unter der Anmeldung "Müller" ausgeführt.

Deshalb meine Frage:
Gibts, ohne Adminrechte,ne Möglichkeit dem Ordner "Müller" automatisch die gewünschen NTFS Rechte zu verpassen ?
Habe auch Bauchschmerzen wenn ich die Admin Anmeldedaten in einer *.cmd o.ä. hinterlegen soll.

Möchte keine "Fremd Tools" benutzen.


Client OS ist Win7
Server ist ein 2008 R2
Domänenstruktur (AD)


Danke,
Guinnes

Content-ID: 215963

Url: https://administrator.de/contentid/215963

Ausgedruckt am: 26.11.2024 um 04:11 Uhr

Robobob
Robobob 03.09.2013 um 13:15:29 Uhr
Goto Top
Hallo,

darf ich fragen, warum du nicht den Basisordner dazu nutzt? (im AD --> User --> Eigenschaften --> Profil)
Dafür ist er doch gedacht?

Gruß

Max
Guinnes
Guinnes 03.09.2013 um 13:34:49 Uhr
Goto Top
ich möchte dem user einen ordner für seine persönlichen dokumente (texte etc.) zur verfügung stellen.
als Basisordner (AD) ist bei uns so ne art "sammelablage" definiert, somit ist diese Möglichkeit schon vergeben.

Guinnes
Snowman25
Snowman25 03.09.2013 um 13:40:34 Uhr
Goto Top
Hallo @Guinnes,

Macht man das nicht eigentlich andersrum?
Der Basisordner ist für "Eigene Dateien" des Users gedacht, während ein extra Share als Sammelablage benutzt wird.
Aus welchem Grund ist das bei euch andersrum?

Gruß,
@Snowman25
Guinnes
Guinnes 03.09.2013 um 13:46:25 Uhr
Goto Top
Hab das so von meinem Vorgänger übernommen, es soll auch so bleiben.

Niemand ne Idee ???

Guinnes face-smile
SlainteMhath
SlainteMhath 03.09.2013 um 13:59:41 Uhr
Goto Top
Moin,

im Anmeldescript wird das nicht funktionieren, wg. der fehlenden Rechte. Am besten du machst das für jeden User per Hand (oder Script) direkt am Server.

Und nebenbei bemerkt: Nur der Admin braucht "Vollzugriff", dem Anwender genügt Lesen+Schreiben


lg,
Slainte
Guinnes
Guinnes 03.09.2013 aktualisiert um 15:20:04 Uhr
Goto Top
direkt am server ist ne idee, man könnte eine 2. cmd auf dem server starten lassen (aus der ersten bat).......

oder anders: das script wird ja auf dem server ausgeführt(liegt ja auch dort) , damit läuft es doch nicht unter den rechten des USERS oder ?


Guinnes
Snowman25
Snowman25 03.09.2013 um 15:18:15 Uhr
Goto Top
Über runas geht das. Aber dann kann jeder User einfach in die batch gucken und den Admin-account rauslesen.
SlainteMhath
SlainteMhath 03.09.2013 um 15:20:45 Uhr
Goto Top
Zitat von @Guinnes:
direkt am server ist ne idee, man könnte eine 2. cmd auf dem server starten lassen (aus der ersten bat).......

oder würde es gehen wenn ich der icalcs.exe den admin account mit gebe (quasi in der batch als argument) ????
Nein das geht natürlich nicht, da sich dann ja der Sicherheitskontext der .cmd nicht ändert - deswegen schrieb ich ja "per Hand".
Um wieviele User geht's denn hier?
Guinnes
Guinnes 03.09.2013 um 15:21:45 Uhr
Goto Top
damit schon aus dem rennen......nochmal drüber grübeln.

danke erstmal.....
SlainteMhath
SlainteMhath 03.09.2013 um 15:30:27 Uhr
Goto Top
Nochmal:
Um wieviele User geht's denn hier?
Das ganze lässt sich uU auch am Server per Script in einem Rutsch anlegen.

Etwa so
FOR /F  %%a IN ('dsquery user | dsget user -samid') DO call :CreateUserDir %%a  
goto :EOF

:CreateUserDir
mkdir \server\blubber\%1
icacls .....
goto :EOF

:EOF

Aber mit deinem Basisverzeichnis als "Sammelbecken" wirst Du immer wieder Probleme stoßen.
Guinnes
Guinnes 03.09.2013 aktualisiert um 16:25:52 Uhr
Goto Top
ich denke , ich hatte nen denkfehler:

wenn bei einer useranmeldung das script ausgeführt wird, dann wird es doch nicht mit den userrechten ausgeführt.

denn es liegt ja nicht lokal auf dem pc (auf dem sich der user eben gerade anmeldet) sondern auf dem server (SYSVOL bzw NETLOGON ).
im AD (benutzer -> eigenschaften -> konto oder profil ???) lässt sich das script angeben.

ist eben die frage: mit welchen rechten läuft dann dieses script ab ? mit adminrechten ? dann wäre mein problem gelöst. face-smile


werde es morgen probieren, hab hier @home keine domäne.

Danke Guinnes

wieso sollte ich mit dem basisordner (sammel ablage) immer wieder probleme bekommen ? hat mit meinem problem auch nix zu tun ?!
Robobob
Robobob 03.09.2013 um 16:22:24 Uhr
Goto Top
Zitat von @Guinnes:
werde es morgen probieren, hab hier @home keine domäne.

Welcher ITler ist vor 17:00 zuhause?

Ich protestiere!

Gruß ;)
Guinnes
Guinnes 03.09.2013 um 16:24:59 Uhr
Goto Top
Zitat von @Robobob:
> Zitat von @Guinnes:
> ----
> werde es morgen probieren, hab hier @home keine domäne.

Welcher ITler ist vor 17:00 zuhause?

Ich protestiere!

Gruß ;)

BEAMTETE IT'LER !!! face-smile
SlainteMhath
SlainteMhath 03.09.2013 um 16:48:26 Uhr
Goto Top
Der Server / die Freigabe auf dem das Script liegt ist doch völlig egal! Ausschlag gebend für die Rechte ist der User der das Script ausführt. Und das ist beim Loginscript immer der User der sich gerade anmeldet. Loginscripts laufen nie mit Adminrechten.

wieso sollte ich mit dem basisordner (sammel ablage) immer wieder probleme bekommen ?
Weil der Basisordner für die "Eigenen Dateien" des Users gedacht ist, und davon ausgegangen wird, das nur der entsprechend User Zugriff darauf hat.

hat mit meinem problem auch nix zu tun ?!
Doch, weil dem Basisordner bei der Erstellung (durch Windows) autom. die entsprechenden Rechte zugewiesen werden würden.
bastla
bastla 03.09.2013 um 18:48:05 Uhr
Goto Top
Hallo @ All!

Abseits der Überlegungen zum Basisordner: Wenn der Batch als Logon-Script ausgeführt wird, läuft er zwar mit den Rechten des Benutzers, aber wenn der Benutzer einen Ordner erstellt ist er ja Besitzer und kann daher (Freigabeberechtigung "Vollzugriff" vorausgesetzt) auch NTFS-Sicherheitseinstellungen abändern - ob die Besitzereigenschaft auch für die bereits vorhandenen Ordner zutrifft, geht aus der Beschreibung allerdings nicht hervor ...

... wobei sich das aber analog zu dem von Slainte vorgeschlagenen Batch (einmalig vom Administrator am Server zu starten) ja korrigieren ließe.

Grüße
bastla
Guinnes
Guinnes 04.09.2013 um 08:24:08 Uhr
Goto Top
Zitat von @SlainteMhath:
Der Server / die Freigabe auf dem das Script liegt ist doch völlig egal! Ausschlag gebend für die Rechte ist der User
der das Script ausführt. Und das ist beim Loginscript immer der User der sich gerade anmeldet. Loginscripts laufen nie mit
Adminrechten.

> wieso sollte ich mit dem basisordner (sammel ablage) immer wieder probleme bekommen ?
Weil der Basisordner für die "Eigenen Dateien" des Users gedacht ist, und davon ausgegangen wird, das nur der
entsprechend User Zugriff darauf hat.

> hat mit meinem problem auch nix zu tun ?!
Doch, weil dem Basisordner bei der Erstellung (durch Windows) autom. die entsprechenden Rechte zugewiesen werden würden.

ohne es ausprobiert zu haben denke ich nicht dass ein logon script mit den rechten des anmeldeten users läuft, das wäre der fall wenn die *.cmd lokal auf dem PC des users (durch den user) gestartet wird. das war auch meine fehlannahme.
aber: test folgt.....

der basis ordner ist bei uns eine ablage mit ordnern die für die verschiedenen abteilungen (NTFS rechte regeln den zugriff), geht seit jahren ohne probleme.


Guinnes
SlainteMhath
SlainteMhath 04.09.2013 um 08:29:10 Uhr
Goto Top
ohne es ausprobiert zu haben denke ich nicht dass ein logon script mit den rechten des anmeldeten users läuft...
Falsch gedacht! Mehr sag ich dazu nicht mehr face-smile
Guinnes
Guinnes 04.09.2013 aktualisiert um 13:14:55 Uhr
Goto Top
Hast (leider) Recht face-smile

wenn ich im AD dem User (Konto/Anmeldescript) das script zuweise, welches auf dem DC\Sysvol\Scripte liegt zuweise, ist es genau so als ob der user das Script selbst beim Anmelden am PC startet. sprich: keine Möglichkeit auf seinen %USERNAME% NTFS Rechte zu bearbeiten.

Mist. face-smile

Hab aber etwas interessantes gefunden:

http://openbook.galileocomputing.de/microsoft_netzwerk/microsoft_netzwe ...

gibst doch nicht, muss doch ne lösung geben!

ich bleib dran......

@slainte:

es geht um ca. 80 User
wie meinst du das mit deinem script (etwas weiter oben) ? du willst quasi für die user einen ordner anlegen/NTFS rechte vergeben unabhängig von der Useranmeldung ?

Guinnes

edit: um das Ganze abzuschließen:

habe es etwas anders gelöst, trotzdem allen vielen Dank !