12
Keine Admin-Rechte auf servergespeicherten Benutzerprofile
Wenn ich als Admin auf die Profil-Dateien/Verzeichnisse von den einzelnen Benutzerzugreifen möchte, dann habe ich keine Rechte. Eigentlich möchte ich "nur den Inhalt" löschen.
Wie kann ich auf die Profil-Verzeichnisse der Benutzer als Admin zugreifen, wenn ich keine Rechte habe?
Gruss
Simon Vetterli
Wie kann ich auf die Profil-Verzeichnisse der Benutzer als Admin zugreifen, wenn ich keine Rechte habe?
Gruss
Simon Vetterli
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 35618
Url: https://administrator.de/contentid/35618
Ausgedruckt am: 19.11.2024 um 23:11 Uhr
12 Kommentare
Neuester Kommentar
Hallo Simon,
du kannst für neue Profile eine GPo erstellen die die Rechte bei Erstellung entsprechend
mitgibt. Damit bekommt der Admin zusätzlich zum Benutzer Vollzugriff, findest du in
den Gruppenrichtlinien.
Bei vorhandenen Profilen musst erst den "Besitz übernehmen" und anschließend
die Berechtigung für den Administrator hinzufügen. Du findest beide Funktionen
in den Eigeschaften des Ordners unter "Sicherheit" -> "Erweitert". Bei beiden
Aktionen musst du das Häckchen setzen damit die Aktion auch für alle Unterordner
angewendet wird.
Danach kannst du die Profile löschen oder auch sonst damit machen was du möchtest.
Gruß aus dem Badischen
Patrick
du kannst für neue Profile eine GPo erstellen die die Rechte bei Erstellung entsprechend
mitgibt. Damit bekommt der Admin zusätzlich zum Benutzer Vollzugriff, findest du in
den Gruppenrichtlinien.
Bei vorhandenen Profilen musst erst den "Besitz übernehmen" und anschließend
die Berechtigung für den Administrator hinzufügen. Du findest beide Funktionen
in den Eigeschaften des Ordners unter "Sicherheit" -> "Erweitert". Bei beiden
Aktionen musst du das Häckchen setzen damit die Aktion auch für alle Unterordner
angewendet wird.
Danach kannst du die Profile löschen oder auch sonst damit machen was du möchtest.
Gruß aus dem Badischen
Patrick
Für bestehende Profile habe ich ins Loginscript (Kixtart) eine Zeile eingebunden, welche mittels dem Kommandozeilen-Tool CACLS die Rechte auch dem Admin einräumt.
Sprich der User der ja Vollzugriff darauf hat, erteilt dem Admin die Rechte.
Die Zeile läuft als Subroutine, welche sicherstellt, dass sie nur einmal aufgerufen wird.
Gruß,
Thomas
Sprich der User der ja Vollzugriff darauf hat, erteilt dem Admin die Rechte.
Die Zeile läuft als Subroutine, welche sicherstellt, dass sie nur einmal aufgerufen wird.
Gruß,
Thomas
Hallo Thomas,
das hört sich gut an!!
Würdest du das Skript mal posten?
Danke und Gruß aus Baden
Patrick
das hört sich gut an!!
Würdest du das Skript mal posten?
Danke und Gruß aus Baden
Patrick
Hier der Schnippsel aus dem Login-Script (Kixtart):
Der angegebene Registry-Key wird dazu benutzt, um festzustellen, ob die Rechte schon mal angepasst wurden.
Gruß,
Thomas
; Rechte auf Profil-Verzeichnis für Domänen-Admin hinzufügen
$profilpfad="\\WinSrv02\profiles\"
$regkey="HKEY_CURRENT_USER\FirmaXYZ\Konfiguration\Rechte auf Profil"
$rc=KeyExist($regkey)
If $rc<>1
$rc=AddKey($regkey)
Shell "cacls "+$profilpfad+@USERID+" /t /e /g Domänen-Admins:f"
$rc=WriteValue($regkey,"","1","REG_SZ")
EndIfGruß,
Thomas
Hallo Thomas
Du meinst also, mit Kix arbeiten wäre die sauberste Lösung? Dann schaue ich das ganze einmal genauer an.
Gruss
Simon
Du meinst also, mit Kix arbeiten wäre die sauberste Lösung? Dann schaue ich das ganze einmal genauer an.
Gruss
Simon
Du meinst also, mit Kix arbeiten wäre die sauberste Lösung?
Hi,
das ist geschmackssache. Ich finde Kix halt eine einfache aber sehr mächtige Scriptsprache.
Gruß,
Thomas
Hallo Patrick
Dumme Frage, bzw. bin noch etwas unsicher...
Wo und wie soll ich dies bewerkstelligen, damit das System noch überschaubar wird...
Gruss
Simon Vetterli
Dumme Frage, bzw. bin noch etwas unsicher...
Wo und wie soll ich dies bewerkstelligen, damit das System noch überschaubar wird...
Gruss
Simon Vetterli
Hallo Thomas
Ja, im Moment vielleicht zu mächtig, aber ich werde einmal schauen, ob ich es mit Kix auch hinkriege. Ich denke, dass dann das System "flexibler/offen" ist, für Änderungen.
Gruss
Simon Vetterli
Ja, im Moment vielleicht zu mächtig, aber ich werde einmal schauen, ob ich es mit Kix auch hinkriege. Ich denke, dass dann das System "flexibler/offen" ist, für Änderungen.
Gruss
Simon Vetterli
Du kannst mein Script-Schnippsel jedoch auch 1:1 als reine CMD-Datei umstricken. Mit dem Befehl "reg.exe" kannst Du auch einen Key in der Registry anlegen und auch einen Auslesen.
Oder noch einfacher, schreib eine Temp-Datei irgendwo ins Userprofil und überprüfe ob die schon existiert.
Wenn die Datei mal gelöscht werden sollte, läuft die Rechteverteilung halt nochmal durch, dauert zwar etwas, aber ein Beinbruch ist es ja nicht.
Gruß,
Thomas
Oder noch einfacher, schreib eine Temp-Datei irgendwo ins Userprofil und überprüfe ob die schon existiert.
Wenn die Datei mal gelöscht werden sollte, läuft die Rechteverteilung halt nochmal durch, dauert zwar etwas, aber ein Beinbruch ist es ja nicht.
Gruß,
Thomas
Hallo Simon,
du kannst für neue Profile eine GPo
erstellen die die Rechte bei Erstellung
entsprechend
mitgibt. Damit bekommt der Admin
zusätzlich zum Benutzer Vollzugriff,
findest du in
den Gruppenrichtlinien.
Bei vorhandenen Profilen musst erst den
"Besitz übernehmen" und
anschließend
die Berechtigung für den Administrator
hinzufügen. Du findest beide
Funktionen
in den Eigeschaften des Ordners unter
"Sicherheit" ->
"Erweitert". Bei beiden
Aktionen musst du das Häckchen setzen
damit die Aktion auch für alle
Unterordner
angewendet wird.
Danach kannst du die Profile löschen
oder auch sonst damit machen was du
möchtest.
Gruß aus dem Badischen
Patrick
du kannst für neue Profile eine GPo
erstellen die die Rechte bei Erstellung
entsprechend
mitgibt. Damit bekommt der Admin
zusätzlich zum Benutzer Vollzugriff,
findest du in
den Gruppenrichtlinien.
Bei vorhandenen Profilen musst erst den
"Besitz übernehmen" und
anschließend
die Berechtigung für den Administrator
hinzufügen. Du findest beide
Funktionen
in den Eigeschaften des Ordners unter
"Sicherheit" ->
"Erweitert". Bei beiden
Aktionen musst du das Häckchen setzen
damit die Aktion auch für alle
Unterordner
angewendet wird.
Danach kannst du die Profile löschen
oder auch sonst damit machen was du
möchtest.
Gruß aus dem Badischen
Patrick
Hallo Patrick
Kannst Du mir ein "ultra-kurz-how-to" machen...
Stecke im Moment zwischen GPO und wer soll hinein etc...
bzw. wann wird die GPO ausgeführt etc...
Gruss
Simon Vetterli
Hallo Simon,
für was genau willst du ein Howto?
Du verknüpfst die GPo mit der OU unter der alle Benutzer liegen auf die die
Richtlinie "wirken" soll. Wenn es eine allgemeine Richtlinie ist, die für alle gelten
soll, dann kannst du "Authentifzierte Benutzer" drin lassen. Ansonsten legst du
dir eine Sicherheitsgruppe an und fügst diese an Stelle der "auth. Benutzer" ein.
Innerhalb der GPo gibts dann unter Computer->Adm. Vorlagen->System->Benutzerprofile
die Richtlinie "Sicherheitsgruppe Administratoren zu servergespeicherten..."
Diese GPo bringt dir allerdings wie gesagt nur bei neuen Benutzern was, vorhandene
Profilverzeichnisse werden nicht "umgebogen".
Deshalb solltest du diese entweder in Handarbeit ändern, oder eine Kombi aus der
GPo (für neue Benutzer) und dem Skript von Thomas zusammenbauen.
Das Skript könntest du auch innerhalb der GPo aufrufen lassen, so kannst du mit der
GPo beide Varianten abdecken.
Mitunter würde dir auch das Skript alleine schon reichen.
Die Geschichte mit der GPo ist halt top wenn du ein neues Netz aufbaust und es von
Anfang an "richtig" machst. Dann brauchst du an dieser Stelle nicht mit Skripts arbeiten...
Ist das was du hören wolltest ?
Gruß
Patrick
für was genau willst du ein Howto?
Du verknüpfst die GPo mit der OU unter der alle Benutzer liegen auf die die
Richtlinie "wirken" soll. Wenn es eine allgemeine Richtlinie ist, die für alle gelten
soll, dann kannst du "Authentifzierte Benutzer" drin lassen. Ansonsten legst du
dir eine Sicherheitsgruppe an und fügst diese an Stelle der "auth. Benutzer" ein.
Innerhalb der GPo gibts dann unter Computer->Adm. Vorlagen->System->Benutzerprofile
die Richtlinie "Sicherheitsgruppe Administratoren zu servergespeicherten..."
Diese GPo bringt dir allerdings wie gesagt nur bei neuen Benutzern was, vorhandene
Profilverzeichnisse werden nicht "umgebogen".
Deshalb solltest du diese entweder in Handarbeit ändern, oder eine Kombi aus der
GPo (für neue Benutzer) und dem Skript von Thomas zusammenbauen.
Das Skript könntest du auch innerhalb der GPo aufrufen lassen, so kannst du mit der
GPo beide Varianten abdecken.
Mitunter würde dir auch das Skript alleine schon reichen.
Die Geschichte mit der GPo ist halt top wenn du ein neues Netz aufbaust und es von
Anfang an "richtig" machst. Dann brauchst du an dieser Stelle nicht mit Skripts arbeiten...
Ist das was du hören wolltest ?
Gruß
Patrick
Hallo Patrick
Ja, genau das habe ich noch benötigt.
Vielen herzlichen Dank
Gruss
Simon
Ja, genau das habe ich noch benötigt.
Vielen herzlichen Dank
Gruss
Simon
