Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Batch bei Useranmeldung an Windows Domäne

Mitglied: Guinnes

Guinnes (Level 1) - Jetzt verbinden

03.09.2013, aktualisiert 04.09.2013, 2860 Aufrufe, 18 Kommentare

Hallo

Ich möchte bei Useranmeldung ein Batch laufen lassen.
Dieses überprüft ob der User bereits einen Ordner für seine persönlichen Dateien besitzt, falls nicht
lasse ich einen Ordner erstellen. (md \\server IP\Ordner\%Username%)
Funktioniert soweit auch alles.
Nun möchte ich aber dass auf dieses User Ordner zB. "Müller" die NTFS Recht so gesetzt werden dass
nur Hr. Müller und der Admin dort Vollzugriff haben.
Damit soll einfach verhindert werden dass andere User im Ordner Müller Unsinn machen.
Das geht ja wohl per icacls.exe allerdings besitzt Hr. Müller keine Adminrechte
und das Logon Script wird ja nun mal unter der Anmeldung "Müller" ausgeführt.

Deshalb meine Frage:
Gibts, ohne Adminrechte,ne Möglichkeit dem Ordner "Müller" automatisch die gewünschen NTFS Rechte zu verpassen ?
Habe auch Bauchschmerzen wenn ich die Admin Anmeldedaten in einer *.cmd o.ä. hinterlegen soll.

Möchte keine "Fremd Tools" benutzen.


Client OS ist Win7
Server ist ein 2008 R2
Domänenstruktur (AD)



Danke,
Guinnes

Mitglied: Robobob
03.09.2013 um 13:15 Uhr
Hallo,

darf ich fragen, warum du nicht den Basisordner dazu nutzt? (im AD --> User --> Eigenschaften --> Profil)
Dafür ist er doch gedacht?

Gruß

Max
Bitte warten ..
Mitglied: Guinnes
03.09.2013 um 13:34 Uhr
ich möchte dem user einen ordner für seine persönlichen dokumente (texte etc.) zur verfügung stellen.
als Basisordner (AD) ist bei uns so ne art "sammelablage" definiert, somit ist diese Möglichkeit schon vergeben.

Guinnes
Bitte warten ..
Mitglied: Snowman25
03.09.2013 um 13:40 Uhr
Hallo Guinnes,

Macht man das nicht eigentlich andersrum?
Der Basisordner ist für "Eigene Dateien" des Users gedacht, während ein extra Share als Sammelablage benutzt wird.
Aus welchem Grund ist das bei euch andersrum?

Gruß,
Snowman25
Bitte warten ..
Mitglied: Guinnes
03.09.2013 um 13:46 Uhr
Hab das so von meinem Vorgänger übernommen, es soll auch so bleiben.

Niemand ne Idee ???

Guinnes
Bitte warten ..
Mitglied: SlainteMhath
03.09.2013 um 13:59 Uhr
Moin,

im Anmeldescript wird das nicht funktionieren, wg. der fehlenden Rechte. Am besten du machst das für jeden User per Hand (oder Script) direkt am Server.

Und nebenbei bemerkt: Nur der Admin braucht "Vollzugriff", dem Anwender genügt Lesen+Schreiben


lg,
Slainte
Bitte warten ..
Mitglied: Guinnes
03.09.2013, aktualisiert um 15:20 Uhr
direkt am server ist ne idee, man könnte eine 2. cmd auf dem server starten lassen (aus der ersten bat).......

oder anders: das script wird ja auf dem server ausgeführt(liegt ja auch dort) , damit läuft es doch nicht unter den rechten des USERS oder ?



Guinnes
Bitte warten ..
Mitglied: Snowman25
03.09.2013 um 15:18 Uhr
Über runas geht das. Aber dann kann jeder User einfach in die batch gucken und den Admin-account rauslesen.
Bitte warten ..
Mitglied: SlainteMhath
03.09.2013 um 15:20 Uhr
Zitat von Guinnes:
direkt am server ist ne idee, man könnte eine 2. cmd auf dem server starten lassen (aus der ersten bat).......

oder würde es gehen wenn ich der icalcs.exe den admin account mit gebe (quasi in der batch als argument) ????
Nein das geht natürlich nicht, da sich dann ja der Sicherheitskontext der .cmd nicht ändert - deswegen schrieb ich ja "per Hand".
Um wieviele User geht's denn hier?
Bitte warten ..
Mitglied: Guinnes
03.09.2013 um 15:21 Uhr
damit schon aus dem rennen......nochmal drüber grübeln.

danke erstmal.....
Bitte warten ..
Mitglied: SlainteMhath
03.09.2013 um 15:30 Uhr
Nochmal:
Um wieviele User geht's denn hier?
Das ganze lässt sich uU auch am Server per Script in einem Rutsch anlegen.

Etwa so
01.
FOR /F  %%a IN ('dsquery user | dsget user -samid') DO call :CreateUserDir %%a
02.
goto :EOF
03.

04.
:CreateUserDir
05.
mkdir \server\blubber\%1
06.
icacls .....
07.
goto :EOF
08.

09.
:EOF
Aber mit deinem Basisverzeichnis als "Sammelbecken" wirst Du immer wieder Probleme stoßen.
Bitte warten ..
Mitglied: Guinnes
03.09.2013, aktualisiert um 16:25 Uhr
ich denke , ich hatte nen denkfehler:

wenn bei einer useranmeldung das script ausgeführt wird, dann wird es doch nicht mit den userrechten ausgeführt.

denn es liegt ja nicht lokal auf dem pc (auf dem sich der user eben gerade anmeldet) sondern auf dem server (SYSVOL bzw NETLOGON ).
im AD (benutzer -> eigenschaften -> konto oder profil ???) lässt sich das script angeben.

ist eben die frage: mit welchen rechten läuft dann dieses script ab ? mit adminrechten ? dann wäre mein problem gelöst.


werde es morgen probieren, hab hier @home keine domäne.

Danke Guinnes

wieso sollte ich mit dem basisordner (sammel ablage) immer wieder probleme bekommen ? hat mit meinem problem auch nix zu tun ?!
Bitte warten ..
Mitglied: Robobob
03.09.2013 um 16:22 Uhr
Zitat von Guinnes:
werde es morgen probieren, hab hier @home keine domäne.

Welcher ITler ist vor 17:00 zuhause?

Ich protestiere!

Gruß ;)
Bitte warten ..
Mitglied: Guinnes
03.09.2013 um 16:24 Uhr
Zitat von Robobob:
> Zitat von Guinnes:
> ----
> werde es morgen probieren, hab hier @home keine domäne.

Welcher ITler ist vor 17:00 zuhause?

Ich protestiere!

Gruß ;)

BEAMTETE IT'LER !!!
Bitte warten ..
Mitglied: SlainteMhath
03.09.2013 um 16:48 Uhr
Der Server / die Freigabe auf dem das Script liegt ist doch völlig egal! Ausschlag gebend für die Rechte ist der User der das Script ausführt. Und das ist beim Loginscript immer der User der sich gerade anmeldet. Loginscripts laufen nie mit Adminrechten.

wieso sollte ich mit dem basisordner (sammel ablage) immer wieder probleme bekommen ?
Weil der Basisordner für die "Eigenen Dateien" des Users gedacht ist, und davon ausgegangen wird, das nur der entsprechend User Zugriff darauf hat.

hat mit meinem problem auch nix zu tun ?!
Doch, weil dem Basisordner bei der Erstellung (durch Windows) autom. die entsprechenden Rechte zugewiesen werden würden.
Bitte warten ..
Mitglied: bastla
03.09.2013 um 18:48 Uhr
Hallo @ All!

Abseits der Überlegungen zum Basisordner: Wenn der Batch als Logon-Script ausgeführt wird, läuft er zwar mit den Rechten des Benutzers, aber wenn der Benutzer einen Ordner erstellt ist er ja Besitzer und kann daher (Freigabeberechtigung "Vollzugriff" vorausgesetzt) auch NTFS-Sicherheitseinstellungen abändern - ob die Besitzereigenschaft auch für die bereits vorhandenen Ordner zutrifft, geht aus der Beschreibung allerdings nicht hervor ...

... wobei sich das aber analog zu dem von Slainte vorgeschlagenen Batch (einmalig vom Administrator am Server zu starten) ja korrigieren ließe.

Grüße
bastla
Bitte warten ..
Mitglied: Guinnes
04.09.2013 um 08:24 Uhr
Zitat von SlainteMhath:
Der Server / die Freigabe auf dem das Script liegt ist doch völlig egal! Ausschlag gebend für die Rechte ist der User
der das Script ausführt. Und das ist beim Loginscript immer der User der sich gerade anmeldet. Loginscripts laufen nie mit
Adminrechten.

> wieso sollte ich mit dem basisordner (sammel ablage) immer wieder probleme bekommen ?
Weil der Basisordner für die "Eigenen Dateien" des Users gedacht ist, und davon ausgegangen wird, das nur der
entsprechend User Zugriff darauf hat.

> hat mit meinem problem auch nix zu tun ?!
Doch, weil dem Basisordner bei der Erstellung (durch Windows) autom. die entsprechenden Rechte zugewiesen werden würden.

ohne es ausprobiert zu haben denke ich nicht dass ein logon script mit den rechten des anmeldeten users läuft, das wäre der fall wenn die *.cmd lokal auf dem PC des users (durch den user) gestartet wird. das war auch meine fehlannahme.
aber: test folgt.....

der basis ordner ist bei uns eine ablage mit ordnern die für die verschiedenen abteilungen (NTFS rechte regeln den zugriff), geht seit jahren ohne probleme.


Guinnes
Bitte warten ..
Mitglied: SlainteMhath
04.09.2013 um 08:29 Uhr
ohne es ausprobiert zu haben denke ich nicht dass ein logon script mit den rechten des anmeldeten users läuft...
Falsch gedacht! Mehr sag ich dazu nicht mehr
Bitte warten ..
Mitglied: Guinnes
04.09.2013, aktualisiert um 13:14 Uhr
Hast (leider) Recht

wenn ich im AD dem User (Konto/Anmeldescript) das script zuweise, welches auf dem DC\Sysvol\Scripte liegt zuweise, ist es genau so als ob der user das Script selbst beim Anmelden am PC startet. sprich: keine Möglichkeit auf seinen %USERNAME% NTFS Rechte zu bearbeiten.

Mist.

Hab aber etwas interessantes gefunden:

http://openbook.galileocomputing.de/microsoft_netzwerk/microsoft_netzwe ...

gibst doch nicht, muss doch ne lösung geben!

ich bleib dran......

@slainte:

es geht um ca. 80 User
wie meinst du das mit deinem script (etwas weiter oben) ? du willst quasi für die user einen ordner anlegen/NTFS rechte vergeben unabhängig von der Useranmeldung ?

Guinnes

edit: um das Ganze abzuschließen:

habe es etwas anders gelöst, trotzdem allen vielen Dank !
Bitte warten ..
Ähnliche Inhalte
Windows 7

Useranmeldung außerhalb AD sehr langsam

Frage von geocastWindows 714 Kommentare

Guten Morgen zusammen Das Problem findet man zwar zu Hauf im Internet. Aber die ganzen Lösungen helfen mir bisher ...

Batch & Shell

Windows Batch Skript

gelöst Frage von JoschiTomBatch & Shell7 Kommentare

Hallo Leute, Ich will ein Batch Skript schreiben und will einen Datei zB .txt erstellen und dann in die ...

Windows Server

FTP via Windows batch Problem

gelöst Frage von onkel87Windows Server2 Kommentare

Wir haben unseren Branchensoftware Server umgezogen bei diesen hatte ein ehemaliger Mitarbeiter ein Upload auf ein FTP Server eingerichtet. ...

Windows 10

Useranmeldung Domäne mit win 10 pro Client und win 2003 AD Controller-Funktionsebene

Frage von meanmachineWindows 1011 Kommentare

Hi, ich bin kürzlich auf folgendes Problem gestoßen. Es wurde neue Hardware bestellt, 2 Notebooks von Lenovo Auf den ...

Neue Wissensbeiträge
Humor (lol)

"Linux und 5 Gründe Warum man kein Windows verwenden sollte sondern Ubuntu Linux"

Tipp von Snowbird vor 4 StundenHumor (lol)8 Kommentare

Gerade gefunden. Ja, ist etwas älter, aber irgendwie lustig?

Humor (lol)

"Warum Linux in einer vernetzten Welt einfach keinen Komfort bietet!"

Tipp von Snowbird vor 22 StundenHumor (lol)13 Kommentare

Ein interessanter Einblick warum Linux nichts für Geräteübergreifende Arbeit ist :)

Humor (lol)
Zuviel Speicher ist ungesund. :-)
Tipp von Lochkartenstanzer vor 1 TagHumor (lol)14 Kommentare

Moin Kollegen, Heute hatte ich ein ungewöhnliches Aha-Erlebnis: Über das Wochenende habe ich einen einen 6 Jahre alten Bare-Metal ...

Windows Update

KB4517297 verfügbar, behebt Fehler in VB6 VBA VBScript

Information von sabines vor 1 TagWindows Update

Das Update behebt mögliche Fehler in VB6, VBA und VBScript, die durch das Update KB4512486 vom August entstanden sind. ...

Heiß diskutierte Inhalte
Router & Routing
Deinstalliertes Geräte wird in FritzBox noch immer als verbundenes Gerät angezeigt
gelöst Frage von imebroRouter & Routing18 Kommentare

Hallo, in meiner FritzBox 7490 wird im Bereich "Funknetz" ein Gereät bei den verbundenen Geräten angezeigt, wobei ich nicht ...

Batch & Shell
PowerShell - Text an HTMLbody übergeben mit UTF-8 Kodierung
Frage von Pat.batBatch & Shell14 Kommentare

Hallo zusammen, ich stoße momentan auf folgendes Problem. Ich möchte mit meinem Skript E-Mails versenden. Text und Signatur samt ...

Sonstige Systeme
Ist es möglich ein ISDN-Telefon an einen analogen Anschluss anzuschließen?
Frage von cramtroniSonstige Systeme14 Kommentare

Also anders herum geht es ja, da gibt es ja diese Adapter von RJ11 auf TAE-F, aber gibt es ...

Humor (lol)
Zuviel Speicher ist ungesund. :-)
Tipp von LochkartenstanzerHumor (lol)14 Kommentare

Moin Kollegen, Heute hatte ich ein ungewöhnliches Aha-Erlebnis: Über das Wochenende habe ich einen einen 6 Jahre alten Bare-Metal ...