simonvetterli
Goto Top

Keine Admin-Rechte auf servergespeicherten Benutzerprofile

Wenn ich als Admin auf die Profil-Dateien/Verzeichnisse von den einzelnen Benutzerzugreifen möchte, dann habe ich keine Rechte. Eigentlich möchte ich "nur den Inhalt" löschen.

Wie kann ich auf die Profil-Verzeichnisse der Benutzer als Admin zugreifen, wenn ich keine Rechte habe?

Gruss

Simon Vetterli

Content-ID: 35618

Url: https://administrator.de/forum/keine-admin-rechte-auf-servergespeicherten-benutzerprofile-35618.html

Ausgedruckt am: 22.12.2024 um 08:12 Uhr

unzhurst
unzhurst 07.07.2006 um 19:42:22 Uhr
Goto Top
Hallo Simon,

du kannst für neue Profile eine GPo erstellen die die Rechte bei Erstellung entsprechend
mitgibt. Damit bekommt der Admin zusätzlich zum Benutzer Vollzugriff, findest du in
den Gruppenrichtlinien.

Bei vorhandenen Profilen musst erst den "Besitz übernehmen" und anschließend
die Berechtigung für den Administrator hinzufügen. Du findest beide Funktionen
in den Eigeschaften des Ordners unter "Sicherheit" -> "Erweitert". Bei beiden
Aktionen musst du das Häckchen setzen damit die Aktion auch für alle Unterordner
angewendet wird.

Danach kannst du die Profile löschen oder auch sonst damit machen was du möchtest.

Gruß aus dem Badischen
Patrick
superboh
superboh 07.07.2006 um 21:42:36 Uhr
Goto Top
Für bestehende Profile habe ich ins Loginscript (Kixtart) eine Zeile eingebunden, welche mittels dem Kommandozeilen-Tool CACLS die Rechte auch dem Admin einräumt.
Sprich der User der ja Vollzugriff darauf hat, erteilt dem Admin die Rechte.
Die Zeile läuft als Subroutine, welche sicherstellt, dass sie nur einmal aufgerufen wird.

Gruß,
Thomas
unzhurst
unzhurst 07.07.2006 um 21:52:54 Uhr
Goto Top
Hallo Thomas,

das hört sich gut an!!
Würdest du das Skript mal posten?

Danke und Gruß aus Baden
Patrick
superboh
superboh 08.07.2006 um 01:28:21 Uhr
Goto Top
Hier der Schnippsel aus dem Login-Script (Kixtart):

; Rechte auf Profil-Verzeichnis für Domänen-Admin hinzufügen
$profilpfad="\\WinSrv02\profiles\"  
$regkey="HKEY_CURRENT_USER\FirmaXYZ\Konfiguration\Rechte auf Profil"  
$rc=KeyExist($regkey)
If $rc<>1
	$rc=AddKey($regkey)
	Shell "cacls "+$profilpfad+@USERID+" /t /e /g Domänen-Admins:f"  
	$rc=WriteValue($regkey,"","1","REG_SZ")  
EndIf
Der angegebene Registry-Key wird dazu benutzt, um festzustellen, ob die Rechte schon mal angepasst wurden.

Gruß,
Thomas
Simonvetterli
Simonvetterli 08.07.2006 um 07:56:35 Uhr
Goto Top
Hallo Thomas

Du meinst also, mit Kix arbeiten wäre die sauberste Lösung? Dann schaue ich das ganze einmal genauer an.

Gruss
Simon
superboh
superboh 08.07.2006 um 16:22:52 Uhr
Goto Top
Du meinst also, mit Kix arbeiten wäre die sauberste Lösung?

Hi,

das ist geschmackssache. Ich finde Kix halt eine einfache aber sehr mächtige Scriptsprache.

Gruß,
Thomas
Simonvetterli
Simonvetterli 10.07.2006 um 18:51:19 Uhr
Goto Top
Hallo Patrick

Dumme Frage, bzw. bin noch etwas unsicher...

Wo und wie soll ich dies bewerkstelligen, damit das System noch überschaubar wird...

Gruss

Simon Vetterli
Simonvetterli
Simonvetterli 10.07.2006 um 18:55:49 Uhr
Goto Top
Hallo Thomas

Ja, im Moment vielleicht zu mächtig, aber ich werde einmal schauen, ob ich es mit Kix auch hinkriege. Ich denke, dass dann das System "flexibler/offen" ist, für Änderungen.

Gruss
Simon Vetterli
superboh
superboh 10.07.2006 um 19:29:52 Uhr
Goto Top
Du kannst mein Script-Schnippsel jedoch auch 1:1 als reine CMD-Datei umstricken. Mit dem Befehl "reg.exe" kannst Du auch einen Key in der Registry anlegen und auch einen Auslesen.
Oder noch einfacher, schreib eine Temp-Datei irgendwo ins Userprofil und überprüfe ob die schon existiert.
Wenn die Datei mal gelöscht werden sollte, läuft die Rechteverteilung halt nochmal durch, dauert zwar etwas, aber ein Beinbruch ist es ja nicht.

Gruß,
Thomas
Simonvetterli
Simonvetterli 10.07.2006 um 20:58:44 Uhr
Goto Top
Hallo Simon,

du kannst für neue Profile eine GPo
erstellen die die Rechte bei Erstellung
entsprechend
mitgibt. Damit bekommt der Admin
zusätzlich zum Benutzer Vollzugriff,
findest du in
den Gruppenrichtlinien.

Bei vorhandenen Profilen musst erst den
"Besitz übernehmen" und
anschließend
die Berechtigung für den Administrator
hinzufügen. Du findest beide
Funktionen
in den Eigeschaften des Ordners unter
"Sicherheit" ->
"Erweitert". Bei beiden
Aktionen musst du das Häckchen setzen
damit die Aktion auch für alle
Unterordner
angewendet wird.

Danach kannst du die Profile löschen
oder auch sonst damit machen was du
möchtest.

Gruß aus dem Badischen
Patrick

Hallo Patrick

Kannst Du mir ein "ultra-kurz-how-to" machen...
Stecke im Moment zwischen GPO und wer soll hinein etc...
bzw. wann wird die GPO ausgeführt etc...

Gruss

Simon Vetterli
unzhurst
unzhurst 10.07.2006 um 22:47:24 Uhr
Goto Top
Hallo Simon,

für was genau willst du ein Howto?
Du verknüpfst die GPo mit der OU unter der alle Benutzer liegen auf die die
Richtlinie "wirken" soll. Wenn es eine allgemeine Richtlinie ist, die für alle gelten
soll, dann kannst du "Authentifzierte Benutzer" drin lassen. Ansonsten legst du
dir eine Sicherheitsgruppe an und fügst diese an Stelle der "auth. Benutzer" ein.

Innerhalb der GPo gibts dann unter Computer->Adm. Vorlagen->System->Benutzerprofile
die Richtlinie "Sicherheitsgruppe Administratoren zu servergespeicherten..."
Diese GPo bringt dir allerdings wie gesagt nur bei neuen Benutzern was, vorhandene
Profilverzeichnisse werden nicht "umgebogen".
Deshalb solltest du diese entweder in Handarbeit ändern, oder eine Kombi aus der
GPo (für neue Benutzer) und dem Skript von Thomas zusammenbauen.
Das Skript könntest du auch innerhalb der GPo aufrufen lassen, so kannst du mit der
GPo beide Varianten abdecken.
Mitunter würde dir auch das Skript alleine schon reichen.

Die Geschichte mit der GPo ist halt top wenn du ein neues Netz aufbaust und es von
Anfang an "richtig" machst. Dann brauchst du an dieser Stelle nicht mit Skripts arbeiten...

Ist das was du hören wolltest ? face-smile

Gruß
Patrick
Simonvetterli
Simonvetterli 11.07.2006 um 06:02:38 Uhr
Goto Top
Hallo Patrick

Ja, genau das habe ich noch benötigt.

Vielen herzlichen Dank

Gruss
Simon