Batch bei Useranmeldung an Windows Domäne
Hallo
Ich möchte bei Useranmeldung ein Batch laufen lassen.
Dieses überprüft ob der User bereits einen Ordner für seine persönlichen Dateien besitzt, falls nicht
lasse ich einen Ordner erstellen. (md \\server IP\Ordner\%Username%)
Funktioniert soweit auch alles.
Nun möchte ich aber dass auf dieses User Ordner zB. "Müller" die NTFS Recht so gesetzt werden dass
nur Hr. Müller und der Admin dort Vollzugriff haben.
Damit soll einfach verhindert werden dass andere User im Ordner Müller Unsinn machen.
Das geht ja wohl per icacls.exe allerdings besitzt Hr. Müller keine Adminrechte
und das Logon Script wird ja nun mal unter der Anmeldung "Müller" ausgeführt.
Deshalb meine Frage:
Gibts, ohne Adminrechte,ne Möglichkeit dem Ordner "Müller" automatisch die gewünschen NTFS Rechte zu verpassen ?
Habe auch Bauchschmerzen wenn ich die Admin Anmeldedaten in einer *.cmd o.ä. hinterlegen soll.
Möchte keine "Fremd Tools" benutzen.
Client OS ist Win7
Server ist ein 2008 R2
Domänenstruktur (AD)
Danke,
Guinnes
Ich möchte bei Useranmeldung ein Batch laufen lassen.
Dieses überprüft ob der User bereits einen Ordner für seine persönlichen Dateien besitzt, falls nicht
lasse ich einen Ordner erstellen. (md \\server IP\Ordner\%Username%)
Funktioniert soweit auch alles.
Nun möchte ich aber dass auf dieses User Ordner zB. "Müller" die NTFS Recht so gesetzt werden dass
nur Hr. Müller und der Admin dort Vollzugriff haben.
Damit soll einfach verhindert werden dass andere User im Ordner Müller Unsinn machen.
Das geht ja wohl per icacls.exe allerdings besitzt Hr. Müller keine Adminrechte
und das Logon Script wird ja nun mal unter der Anmeldung "Müller" ausgeführt.
Deshalb meine Frage:
Gibts, ohne Adminrechte,ne Möglichkeit dem Ordner "Müller" automatisch die gewünschen NTFS Rechte zu verpassen ?
Habe auch Bauchschmerzen wenn ich die Admin Anmeldedaten in einer *.cmd o.ä. hinterlegen soll.
Möchte keine "Fremd Tools" benutzen.
Client OS ist Win7
Server ist ein 2008 R2
Domänenstruktur (AD)
Danke,
Guinnes
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 215963
Url: https://administrator.de/contentid/215963
Ausgedruckt am: 05.11.2024 um 15:11 Uhr
18 Kommentare
Neuester Kommentar
Hallo @Guinnes,
Macht man das nicht eigentlich andersrum?
Der Basisordner ist für "Eigene Dateien" des Users gedacht, während ein extra Share als Sammelablage benutzt wird.
Aus welchem Grund ist das bei euch andersrum?
Gruß,
@Snowman25
Macht man das nicht eigentlich andersrum?
Der Basisordner ist für "Eigene Dateien" des Users gedacht, während ein extra Share als Sammelablage benutzt wird.
Aus welchem Grund ist das bei euch andersrum?
Gruß,
@Snowman25
Zitat von @Guinnes:
direkt am server ist ne idee, man könnte eine 2. cmd auf dem server starten lassen (aus der ersten bat).......
oder würde es gehen wenn ich der icalcs.exe den admin account mit gebe (quasi in der batch als argument) ????
Nein das geht natürlich nicht, da sich dann ja der Sicherheitskontext der .cmd nicht ändert - deswegen schrieb ich ja "per Hand".direkt am server ist ne idee, man könnte eine 2. cmd auf dem server starten lassen (aus der ersten bat).......
oder würde es gehen wenn ich der icalcs.exe den admin account mit gebe (quasi in der batch als argument) ????
Um wieviele User geht's denn hier?
Nochmal:
Etwa so
Aber mit deinem Basisverzeichnis als "Sammelbecken" wirst Du immer wieder Probleme stoßen.
Um wieviele User geht's denn hier?
Das ganze lässt sich uU auch am Server per Script in einem Rutsch anlegen.Etwa so
FOR /F %%a IN ('dsquery user | dsget user -samid') DO call :CreateUserDir %%a
goto :EOF
:CreateUserDir
mkdir \server\blubber\%1
icacls .....
goto :EOF
:EOF
Aber mit deinem Basisverzeichnis als "Sammelbecken" wirst Du immer wieder Probleme stoßen.
Welcher ITler ist vor 17:00 zuhause?
Ich protestiere!
Gruß ;)
Der Server / die Freigabe auf dem das Script liegt ist doch völlig egal! Ausschlag gebend für die Rechte ist der User der das Script ausführt. Und das ist beim Loginscript immer der User der sich gerade anmeldet. Loginscripts laufen nie mit Adminrechten.
wieso sollte ich mit dem basisordner (sammel ablage) immer wieder probleme bekommen ?
Weil der Basisordner für die "Eigenen Dateien" des Users gedacht ist, und davon ausgegangen wird, das nur der entsprechend User Zugriff darauf hat.hat mit meinem problem auch nix zu tun ?!
Doch, weil dem Basisordner bei der Erstellung (durch Windows) autom. die entsprechenden Rechte zugewiesen werden würden.
Hallo @ All!
Abseits der Überlegungen zum Basisordner: Wenn der Batch als Logon-Script ausgeführt wird, läuft er zwar mit den Rechten des Benutzers, aber wenn der Benutzer einen Ordner erstellt ist er ja Besitzer und kann daher (Freigabeberechtigung "Vollzugriff" vorausgesetzt) auch NTFS-Sicherheitseinstellungen abändern - ob die Besitzereigenschaft auch für die bereits vorhandenen Ordner zutrifft, geht aus der Beschreibung allerdings nicht hervor ...
... wobei sich das aber analog zu dem von Slainte vorgeschlagenen Batch (einmalig vom Administrator am Server zu starten) ja korrigieren ließe.
Grüße
bastla
Abseits der Überlegungen zum Basisordner: Wenn der Batch als Logon-Script ausgeführt wird, läuft er zwar mit den Rechten des Benutzers, aber wenn der Benutzer einen Ordner erstellt ist er ja Besitzer und kann daher (Freigabeberechtigung "Vollzugriff" vorausgesetzt) auch NTFS-Sicherheitseinstellungen abändern - ob die Besitzereigenschaft auch für die bereits vorhandenen Ordner zutrifft, geht aus der Beschreibung allerdings nicht hervor ...
... wobei sich das aber analog zu dem von Slainte vorgeschlagenen Batch (einmalig vom Administrator am Server zu starten) ja korrigieren ließe.
Grüße
bastla