fandert
Goto Top

Berechtigungen der Profilpfade im Eimer

Schönen guten Abend,

ich habe in Bezug auf das AD wieder einmal ein Problem und zwar schildere ich praktischerweise mal die Situation:

Ich habe die Aufgabe in einer Domäne, bei der der DC seltsame Phänome zeigt wie MMC stürzt ab..., den DC, den Fileserver und den SQL Server auf seperaten Maschinen unterzubringen, was mein Vorgänger leider etwas unpraktisch alles auf einer Kiste installiert hat... Es wurde im Vorfeld ein zweiter DC installiert, in die Domäne aufgenommen und repliziert. Ziel war es den ersten nach und nach abzulösen. Das hat gestern auch ganz gut mit der Deinstallation der DC-Kompontente und von DHCP, sowieso DNS, geklappt. Der Großteil der Anwender heute hatte jetzt das Problem dass sie teilweise auf ihre eigenen Dateien nicht mehr zugreifen konnte, manchmal die Icons vom Desktop einfach verschwunden sind und andere komische Phänome.

Da jetzt leider keiner mehr durchblickt, was eine sinnvolle Berechtigungsstruktur für die Profile, die leider auch noch des öfteren persönliche Dateien enthalten, was aber in den nächsten zwei Wochen durch ein NAS o.ä. geändert wird, ist?

Hat jemand einen Vorschlag, was die verschiedenen Ordner der User für die Profile als Besitzer usw. haben müssen, damit der Admin, der teilweise noch ausgesperrt ist, diese Ordner alle auf den neuen DC kopieren kann?

DCs laufen alle unter 2003 Standard Server und die Clients unter XP.

Hoffe man konnte mir folgen.

Danke im voraus & beste Grüße!!

Content-ID: 36925

Url: https://administrator.de/contentid/36925

Ausgedruckt am: 13.11.2024 um 07:11 Uhr

n.o.b.o.d.y
n.o.b.o.d.y 29.07.2006 um 09:11:34 Uhr
Goto Top
Moin,

naja, das mit den Berechtigungen ist eigentlich ganz simpel. Der Benutzer muß natürlich Vollzugriff auf sein Verzeichnis haben, und nur da. Den bekommt er ja auch automatisch, wenn das Verzeichnis aus dem AD heraus angelegt wird. Was man auf jedem Fall machen soll, ist dem Admin ebenfalls Vollzugriff auf _alle_ Beutzerverzeichnisse zu geben. Dann kommt man nicht in die Verlegeneit andauert irgendwo den Besitz übernehmen zu müssen. Das der Admin auch Vollzugriff bekommt, ist per Gruppenrichlinie einstellbar.
Das wirkt natürlich alles nur bei Neuanlegen, bei den vorhandenen Verzeichnissen bleibt Dir wohl nichts anderes übrig als sie alle manuell zu überprüfen und ggf die Rechte neu zu setzen...

Ralf
n4426
n4426 29.07.2006 um 10:47:24 Uhr
Goto Top
Hi,

die Rechtevergabe ist wirklich simpel, wie Ralf schon beschrieben hat.
Ich würd nur dem Benutzer nicht Vollzugriff geben sondern nur Änderungsrechte.

Das hat den Vorteil, das ein Benutzer den Admin nicht ganz so einfach aussperren kann.

andi
zort
zort 29.07.2006 um 11:18:20 Uhr
Goto Top
Also, die User benötigen auf jeden Fall Vollzugriff Rechte auf Ihre eigenen Ordner. Der User muss dort mit allen Unterordnern auch Besitzer dieser Daten sein.
Am Einfachsten ist es, wenn Du diese Daten auf ein anderes System schaffen willst, dass Du mit ntbackup eine Datensicherung (komplett) davon erstellst, und diese einfach unter Weiterverwendng der Sicherheitseinstellungen auf dem neuen System wieder zurückspielst. So hast Du alle Ordner der User mit den alten Berechtigungen übernommen.
fandert
fandert 29.07.2006 um 12:20:30 Uhr
Goto Top
Moin.

Und was is mit Berechtigung für z.B. "SYSTEM" oder "Authentifizierter Benutzer"? Ich würde gerne mit den Berechtigungen von vorne anfangen, sind ca. 50 User, nur hab ich selbst als Admin nicht überall Zugriff drauf. Aber das mit NTBACKUP werde ich mal probieren. Irgendwie hab ich das Gefühl was vergessen zu haben, denn so simpel kanns doch irgendwie nicht sein ;)
zort
zort 29.07.2006 um 17:50:48 Uhr
Goto Top
ahoi,

bei home- und profilverzeichnissen brauchste keine berechtigung für system bzw. ersteller besitzer etc. drin stehen haben. da hat allein der user vollzugriff. nt backup darf das dann dennoch sichern. bei unseren dcs ist es überall so eingerichtet. bis jetzt habe ich im falle eines umzugs eines mitarbeiters zum anderen standort die daten immer mit ntbackup "portiert". ist im prinzip das einfachste der welt. einfach eine datensicherung der betroffenen verzeichnisse erstellen und später wieder auf der anderen maschine zurückspielen.
musst nur darauf achten, dass sämtliche sicherheitsinformationen übernommen werden sollen (auf die häkchen achten).
wichtig ist natürlich, dass sich die sid des users nicht ändern. du hast sicherlich die user per sync auf den anderen dc übernommen, dann sollte das kein problem sein. hast du die user allerdings händisch neu angelegt, dann haste n problem.
generell gehe ich bei verlorenen berechtigungen immer so vor, dass ich zunächst als administrator den besitz aller dateien und unterordner übernehme. danach richte ich für den administrator sowie für den entspr. user vollzugriff auf alle unterordner und dateien ein. danach stufe ich den besitz der dateien wieder auf den usernamen und nehme dem administrator die berechtigungen wieder weg. damit sperre ich mich zwar selbst aus, aber es funktioniert.
wichtig ist auch, dass die user auf das unterverzeichnis in dem die homeverzeichnisse bzw. profile liegen ausführen und leserechte haben.
fandert
fandert 31.07.2006 um 08:36:52 Uhr
Goto Top
Guten Morgen,

braucht der User Besitzrechte auf seinen jeweilgen Ordner?
Hannibal28
Hannibal28 31.07.2006 um 09:52:50 Uhr
Goto Top
Weis zwar nicht genau was Du mit "Besitzrechten" meinst aber nein. Falls Du meinst das der User Besitzer sein muss: NEIN, muß er nicht kann er aber.
Falls Du die Gruppe "Ersteller/Besitzer" meinst: Dort solltest Du mindestens "ändern" eintragen (Du möchtest ja auch mit Deinen Dateien machen was Du willst oder?)
Falls Du viele "Spielkinder" bei Dir hast und Du öfter mal an die Dateien als Admin ran musst,
würde ich den Besitz der jeweiligen Ordner behalten und nur "ändern"-Rechte erteilen.
Brauchst Du nicht an die Dateien ran und Deine Leute wissen was sie tun, dann kannst Du den Besitz bei den Usern lassen und Vollzugriff erteilen.