Keine Admin-Rechte auf servergespeicherten Benutzerprofile
Wenn ich als Admin auf die Profil-Dateien/Verzeichnisse von den einzelnen Benutzerzugreifen möchte, dann habe ich keine Rechte. Eigentlich möchte ich "nur den Inhalt" löschen.
Wie kann ich auf die Profil-Verzeichnisse der Benutzer als Admin zugreifen, wenn ich keine Rechte habe?
Gruss
Simon Vetterli
Wie kann ich auf die Profil-Verzeichnisse der Benutzer als Admin zugreifen, wenn ich keine Rechte habe?
Gruss
Simon Vetterli
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 35618
Url: https://administrator.de/forum/keine-admin-rechte-auf-servergespeicherten-benutzerprofile-35618.html
Ausgedruckt am: 22.12.2024 um 08:12 Uhr
12 Kommentare
Neuester Kommentar
Hallo Simon,
du kannst für neue Profile eine GPo erstellen die die Rechte bei Erstellung entsprechend
mitgibt. Damit bekommt der Admin zusätzlich zum Benutzer Vollzugriff, findest du in
den Gruppenrichtlinien.
Bei vorhandenen Profilen musst erst den "Besitz übernehmen" und anschließend
die Berechtigung für den Administrator hinzufügen. Du findest beide Funktionen
in den Eigeschaften des Ordners unter "Sicherheit" -> "Erweitert". Bei beiden
Aktionen musst du das Häckchen setzen damit die Aktion auch für alle Unterordner
angewendet wird.
Danach kannst du die Profile löschen oder auch sonst damit machen was du möchtest.
Gruß aus dem Badischen
Patrick
du kannst für neue Profile eine GPo erstellen die die Rechte bei Erstellung entsprechend
mitgibt. Damit bekommt der Admin zusätzlich zum Benutzer Vollzugriff, findest du in
den Gruppenrichtlinien.
Bei vorhandenen Profilen musst erst den "Besitz übernehmen" und anschließend
die Berechtigung für den Administrator hinzufügen. Du findest beide Funktionen
in den Eigeschaften des Ordners unter "Sicherheit" -> "Erweitert". Bei beiden
Aktionen musst du das Häckchen setzen damit die Aktion auch für alle Unterordner
angewendet wird.
Danach kannst du die Profile löschen oder auch sonst damit machen was du möchtest.
Gruß aus dem Badischen
Patrick
Für bestehende Profile habe ich ins Loginscript (Kixtart) eine Zeile eingebunden, welche mittels dem Kommandozeilen-Tool CACLS die Rechte auch dem Admin einräumt.
Sprich der User der ja Vollzugriff darauf hat, erteilt dem Admin die Rechte.
Die Zeile läuft als Subroutine, welche sicherstellt, dass sie nur einmal aufgerufen wird.
Gruß,
Thomas
Sprich der User der ja Vollzugriff darauf hat, erteilt dem Admin die Rechte.
Die Zeile läuft als Subroutine, welche sicherstellt, dass sie nur einmal aufgerufen wird.
Gruß,
Thomas
Hier der Schnippsel aus dem Login-Script (Kixtart):
Der angegebene Registry-Key wird dazu benutzt, um festzustellen, ob die Rechte schon mal angepasst wurden.
Gruß,
Thomas
; Rechte auf Profil-Verzeichnis für Domänen-Admin hinzufügen
$profilpfad="\\WinSrv02\profiles\"
$regkey="HKEY_CURRENT_USER\FirmaXYZ\Konfiguration\Rechte auf Profil"
$rc=KeyExist($regkey)
If $rc<>1
$rc=AddKey($regkey)
Shell "cacls "+$profilpfad+@USERID+" /t /e /g Domänen-Admins:f"
$rc=WriteValue($regkey,"","1","REG_SZ")
EndIf
Gruß,
Thomas
Du kannst mein Script-Schnippsel jedoch auch 1:1 als reine CMD-Datei umstricken. Mit dem Befehl "reg.exe" kannst Du auch einen Key in der Registry anlegen und auch einen Auslesen.
Oder noch einfacher, schreib eine Temp-Datei irgendwo ins Userprofil und überprüfe ob die schon existiert.
Wenn die Datei mal gelöscht werden sollte, läuft die Rechteverteilung halt nochmal durch, dauert zwar etwas, aber ein Beinbruch ist es ja nicht.
Gruß,
Thomas
Oder noch einfacher, schreib eine Temp-Datei irgendwo ins Userprofil und überprüfe ob die schon existiert.
Wenn die Datei mal gelöscht werden sollte, läuft die Rechteverteilung halt nochmal durch, dauert zwar etwas, aber ein Beinbruch ist es ja nicht.
Gruß,
Thomas
Hallo Simon,
für was genau willst du ein Howto?
Du verknüpfst die GPo mit der OU unter der alle Benutzer liegen auf die die
Richtlinie "wirken" soll. Wenn es eine allgemeine Richtlinie ist, die für alle gelten
soll, dann kannst du "Authentifzierte Benutzer" drin lassen. Ansonsten legst du
dir eine Sicherheitsgruppe an und fügst diese an Stelle der "auth. Benutzer" ein.
Innerhalb der GPo gibts dann unter Computer->Adm. Vorlagen->System->Benutzerprofile
die Richtlinie "Sicherheitsgruppe Administratoren zu servergespeicherten..."
Diese GPo bringt dir allerdings wie gesagt nur bei neuen Benutzern was, vorhandene
Profilverzeichnisse werden nicht "umgebogen".
Deshalb solltest du diese entweder in Handarbeit ändern, oder eine Kombi aus der
GPo (für neue Benutzer) und dem Skript von Thomas zusammenbauen.
Das Skript könntest du auch innerhalb der GPo aufrufen lassen, so kannst du mit der
GPo beide Varianten abdecken.
Mitunter würde dir auch das Skript alleine schon reichen.
Die Geschichte mit der GPo ist halt top wenn du ein neues Netz aufbaust und es von
Anfang an "richtig" machst. Dann brauchst du an dieser Stelle nicht mit Skripts arbeiten...
Ist das was du hören wolltest ?
Gruß
Patrick
für was genau willst du ein Howto?
Du verknüpfst die GPo mit der OU unter der alle Benutzer liegen auf die die
Richtlinie "wirken" soll. Wenn es eine allgemeine Richtlinie ist, die für alle gelten
soll, dann kannst du "Authentifzierte Benutzer" drin lassen. Ansonsten legst du
dir eine Sicherheitsgruppe an und fügst diese an Stelle der "auth. Benutzer" ein.
Innerhalb der GPo gibts dann unter Computer->Adm. Vorlagen->System->Benutzerprofile
die Richtlinie "Sicherheitsgruppe Administratoren zu servergespeicherten..."
Diese GPo bringt dir allerdings wie gesagt nur bei neuen Benutzern was, vorhandene
Profilverzeichnisse werden nicht "umgebogen".
Deshalb solltest du diese entweder in Handarbeit ändern, oder eine Kombi aus der
GPo (für neue Benutzer) und dem Skript von Thomas zusammenbauen.
Das Skript könntest du auch innerhalb der GPo aufrufen lassen, so kannst du mit der
GPo beide Varianten abdecken.
Mitunter würde dir auch das Skript alleine schon reichen.
Die Geschichte mit der GPo ist halt top wenn du ein neues Netz aufbaust und es von
Anfang an "richtig" machst. Dann brauchst du an dieser Stelle nicht mit Skripts arbeiten...
Ist das was du hören wolltest ?
Gruß
Patrick