Berechtigungen der Profilpfade im Eimer
Schönen guten Abend,
ich habe in Bezug auf das AD wieder einmal ein Problem und zwar schildere ich praktischerweise mal die Situation:
Ich habe die Aufgabe in einer Domäne, bei der der DC seltsame Phänome zeigt wie MMC stürzt ab..., den DC, den Fileserver und den SQL Server auf seperaten Maschinen unterzubringen, was mein Vorgänger leider etwas unpraktisch alles auf einer Kiste installiert hat... Es wurde im Vorfeld ein zweiter DC installiert, in die Domäne aufgenommen und repliziert. Ziel war es den ersten nach und nach abzulösen. Das hat gestern auch ganz gut mit der Deinstallation der DC-Kompontente und von DHCP, sowieso DNS, geklappt. Der Großteil der Anwender heute hatte jetzt das Problem dass sie teilweise auf ihre eigenen Dateien nicht mehr zugreifen konnte, manchmal die Icons vom Desktop einfach verschwunden sind und andere komische Phänome.
Da jetzt leider keiner mehr durchblickt, was eine sinnvolle Berechtigungsstruktur für die Profile, die leider auch noch des öfteren persönliche Dateien enthalten, was aber in den nächsten zwei Wochen durch ein NAS o.ä. geändert wird, ist?
Hat jemand einen Vorschlag, was die verschiedenen Ordner der User für die Profile als Besitzer usw. haben müssen, damit der Admin, der teilweise noch ausgesperrt ist, diese Ordner alle auf den neuen DC kopieren kann?
DCs laufen alle unter 2003 Standard Server und die Clients unter XP.
Hoffe man konnte mir folgen.
Danke im voraus & beste Grüße!!
ich habe in Bezug auf das AD wieder einmal ein Problem und zwar schildere ich praktischerweise mal die Situation:
Ich habe die Aufgabe in einer Domäne, bei der der DC seltsame Phänome zeigt wie MMC stürzt ab..., den DC, den Fileserver und den SQL Server auf seperaten Maschinen unterzubringen, was mein Vorgänger leider etwas unpraktisch alles auf einer Kiste installiert hat... Es wurde im Vorfeld ein zweiter DC installiert, in die Domäne aufgenommen und repliziert. Ziel war es den ersten nach und nach abzulösen. Das hat gestern auch ganz gut mit der Deinstallation der DC-Kompontente und von DHCP, sowieso DNS, geklappt. Der Großteil der Anwender heute hatte jetzt das Problem dass sie teilweise auf ihre eigenen Dateien nicht mehr zugreifen konnte, manchmal die Icons vom Desktop einfach verschwunden sind und andere komische Phänome.
Da jetzt leider keiner mehr durchblickt, was eine sinnvolle Berechtigungsstruktur für die Profile, die leider auch noch des öfteren persönliche Dateien enthalten, was aber in den nächsten zwei Wochen durch ein NAS o.ä. geändert wird, ist?
Hat jemand einen Vorschlag, was die verschiedenen Ordner der User für die Profile als Besitzer usw. haben müssen, damit der Admin, der teilweise noch ausgesperrt ist, diese Ordner alle auf den neuen DC kopieren kann?
DCs laufen alle unter 2003 Standard Server und die Clients unter XP.
Hoffe man konnte mir folgen.
Danke im voraus & beste Grüße!!
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 36925
Url: https://administrator.de/contentid/36925
Ausgedruckt am: 22.11.2024 um 18:11 Uhr
7 Kommentare
Neuester Kommentar
Moin,
naja, das mit den Berechtigungen ist eigentlich ganz simpel. Der Benutzer muß natürlich Vollzugriff auf sein Verzeichnis haben, und nur da. Den bekommt er ja auch automatisch, wenn das Verzeichnis aus dem AD heraus angelegt wird. Was man auf jedem Fall machen soll, ist dem Admin ebenfalls Vollzugriff auf _alle_ Beutzerverzeichnisse zu geben. Dann kommt man nicht in die Verlegeneit andauert irgendwo den Besitz übernehmen zu müssen. Das der Admin auch Vollzugriff bekommt, ist per Gruppenrichlinie einstellbar.
Das wirkt natürlich alles nur bei Neuanlegen, bei den vorhandenen Verzeichnissen bleibt Dir wohl nichts anderes übrig als sie alle manuell zu überprüfen und ggf die Rechte neu zu setzen...
Ralf
naja, das mit den Berechtigungen ist eigentlich ganz simpel. Der Benutzer muß natürlich Vollzugriff auf sein Verzeichnis haben, und nur da. Den bekommt er ja auch automatisch, wenn das Verzeichnis aus dem AD heraus angelegt wird. Was man auf jedem Fall machen soll, ist dem Admin ebenfalls Vollzugriff auf _alle_ Beutzerverzeichnisse zu geben. Dann kommt man nicht in die Verlegeneit andauert irgendwo den Besitz übernehmen zu müssen. Das der Admin auch Vollzugriff bekommt, ist per Gruppenrichlinie einstellbar.
Das wirkt natürlich alles nur bei Neuanlegen, bei den vorhandenen Verzeichnissen bleibt Dir wohl nichts anderes übrig als sie alle manuell zu überprüfen und ggf die Rechte neu zu setzen...
Ralf
Also, die User benötigen auf jeden Fall Vollzugriff Rechte auf Ihre eigenen Ordner. Der User muss dort mit allen Unterordnern auch Besitzer dieser Daten sein.
Am Einfachsten ist es, wenn Du diese Daten auf ein anderes System schaffen willst, dass Du mit ntbackup eine Datensicherung (komplett) davon erstellst, und diese einfach unter Weiterverwendng der Sicherheitseinstellungen auf dem neuen System wieder zurückspielst. So hast Du alle Ordner der User mit den alten Berechtigungen übernommen.
Am Einfachsten ist es, wenn Du diese Daten auf ein anderes System schaffen willst, dass Du mit ntbackup eine Datensicherung (komplett) davon erstellst, und diese einfach unter Weiterverwendng der Sicherheitseinstellungen auf dem neuen System wieder zurückspielst. So hast Du alle Ordner der User mit den alten Berechtigungen übernommen.
ahoi,
bei home- und profilverzeichnissen brauchste keine berechtigung für system bzw. ersteller besitzer etc. drin stehen haben. da hat allein der user vollzugriff. nt backup darf das dann dennoch sichern. bei unseren dcs ist es überall so eingerichtet. bis jetzt habe ich im falle eines umzugs eines mitarbeiters zum anderen standort die daten immer mit ntbackup "portiert". ist im prinzip das einfachste der welt. einfach eine datensicherung der betroffenen verzeichnisse erstellen und später wieder auf der anderen maschine zurückspielen.
musst nur darauf achten, dass sämtliche sicherheitsinformationen übernommen werden sollen (auf die häkchen achten).
wichtig ist natürlich, dass sich die sid des users nicht ändern. du hast sicherlich die user per sync auf den anderen dc übernommen, dann sollte das kein problem sein. hast du die user allerdings händisch neu angelegt, dann haste n problem.
generell gehe ich bei verlorenen berechtigungen immer so vor, dass ich zunächst als administrator den besitz aller dateien und unterordner übernehme. danach richte ich für den administrator sowie für den entspr. user vollzugriff auf alle unterordner und dateien ein. danach stufe ich den besitz der dateien wieder auf den usernamen und nehme dem administrator die berechtigungen wieder weg. damit sperre ich mich zwar selbst aus, aber es funktioniert.
wichtig ist auch, dass die user auf das unterverzeichnis in dem die homeverzeichnisse bzw. profile liegen ausführen und leserechte haben.
bei home- und profilverzeichnissen brauchste keine berechtigung für system bzw. ersteller besitzer etc. drin stehen haben. da hat allein der user vollzugriff. nt backup darf das dann dennoch sichern. bei unseren dcs ist es überall so eingerichtet. bis jetzt habe ich im falle eines umzugs eines mitarbeiters zum anderen standort die daten immer mit ntbackup "portiert". ist im prinzip das einfachste der welt. einfach eine datensicherung der betroffenen verzeichnisse erstellen und später wieder auf der anderen maschine zurückspielen.
musst nur darauf achten, dass sämtliche sicherheitsinformationen übernommen werden sollen (auf die häkchen achten).
wichtig ist natürlich, dass sich die sid des users nicht ändern. du hast sicherlich die user per sync auf den anderen dc übernommen, dann sollte das kein problem sein. hast du die user allerdings händisch neu angelegt, dann haste n problem.
generell gehe ich bei verlorenen berechtigungen immer so vor, dass ich zunächst als administrator den besitz aller dateien und unterordner übernehme. danach richte ich für den administrator sowie für den entspr. user vollzugriff auf alle unterordner und dateien ein. danach stufe ich den besitz der dateien wieder auf den usernamen und nehme dem administrator die berechtigungen wieder weg. damit sperre ich mich zwar selbst aus, aber es funktioniert.
wichtig ist auch, dass die user auf das unterverzeichnis in dem die homeverzeichnisse bzw. profile liegen ausführen und leserechte haben.
Weis zwar nicht genau was Du mit "Besitzrechten" meinst aber nein. Falls Du meinst das der User Besitzer sein muss: NEIN, muß er nicht kann er aber.
Falls Du die Gruppe "Ersteller/Besitzer" meinst: Dort solltest Du mindestens "ändern" eintragen (Du möchtest ja auch mit Deinen Dateien machen was Du willst oder?)
Falls Du viele "Spielkinder" bei Dir hast und Du öfter mal an die Dateien als Admin ran musst,
würde ich den Besitz der jeweiligen Ordner behalten und nur "ändern"-Rechte erteilen.
Brauchst Du nicht an die Dateien ran und Deine Leute wissen was sie tun, dann kannst Du den Besitz bei den Usern lassen und Vollzugriff erteilen.
Falls Du die Gruppe "Ersteller/Besitzer" meinst: Dort solltest Du mindestens "ändern" eintragen (Du möchtest ja auch mit Deinen Dateien machen was Du willst oder?)
Falls Du viele "Spielkinder" bei Dir hast und Du öfter mal an die Dateien als Admin ran musst,
würde ich den Besitz der jeweiligen Ordner behalten und nur "ändern"-Rechte erteilen.
Brauchst Du nicht an die Dateien ran und Deine Leute wissen was sie tun, dann kannst Du den Besitz bei den Usern lassen und Vollzugriff erteilen.