My Documents, Roaming Profile und Lokaler Admin
Hallo Ng,
Ich habe in meiner Domaine alle Benutzer auf ihrem Pc als Lokalen Administrator definiert.
Alle Profile sind Roaming Profile.
Da manche Benutzer sich manchmal an versichedenen Pc's anmelden ergibt sich jetzt folgendes Problem.
Der Nutzer geht auf c:\Documents and Settings.
Dann sieht er dort die Profile der anderen Benutzer, er kann dann dort Informationen lesen die Ihn nichts angehn, unter anderem die "My documents" der anderen Benutzer.
Wegen einiger Programme müssen die Benutzter leider Lokaler Admin sein.
Frage:
Wie kann ich es unterbieten dass der Benutzter dort ein "access denied" erhält.
Mfg,
Steve
Ich habe in meiner Domaine alle Benutzer auf ihrem Pc als Lokalen Administrator definiert.
Alle Profile sind Roaming Profile.
Da manche Benutzer sich manchmal an versichedenen Pc's anmelden ergibt sich jetzt folgendes Problem.
Der Nutzer geht auf c:\Documents and Settings.
Dann sieht er dort die Profile der anderen Benutzer, er kann dann dort Informationen lesen die Ihn nichts angehn, unter anderem die "My documents" der anderen Benutzer.
Wegen einiger Programme müssen die Benutzter leider Lokaler Admin sein.
Frage:
Wie kann ich es unterbieten dass der Benutzter dort ein "access denied" erhält.
Mfg,
Steve
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 91986
Url: https://administrator.de/forum/my-documents-roaming-profile-und-lokaler-admin-91986.html
Ausgedruckt am: 23.12.2024 um 08:12 Uhr
11 Kommentare
Neuester Kommentar
Moin
Nun das ist ganz einfach. Du musst der Gruppe der (lokalen) Administratoren das lesen Recht auf die jeweiligen Profil Ordner nehmen.
Nun wirst Du sicherlich sagen das ist je jede Menge arbeit, womit wir bei Grund Nr. 1 sind warum User keine Lokalen Adminrechte haben sollten.
Grund Nr. 2 ist, die lokalen Admins können sich die Rechte jederzeit wieder holen.
Falls Du ein AD hast kannst du die Rechte für den Profilordner per GPO setzen. Das hilft dir bei Grund 1. Grund 2 so ist nicht zu lösen.
Die letzten 2% kann man verzichten.
Gruß L.
Dann sieht er dort die Profile der anderen Benutzer, er kann dann dort Informationen lesen die Ihn nichts angehn, unter anderem die "My documents" der anderen Benutzer.
Nun das ist ganz einfach. Du musst der Gruppe der (lokalen) Administratoren das lesen Recht auf die jeweiligen Profil Ordner nehmen.
Nun wirst Du sicherlich sagen das ist je jede Menge arbeit, womit wir bei Grund Nr. 1 sind warum User keine Lokalen Adminrechte haben sollten.
Grund Nr. 2 ist, die lokalen Admins können sich die Rechte jederzeit wieder holen.
Falls Du ein AD hast kannst du die Rechte für den Profilordner per GPO setzen. Das hilft dir bei Grund 1. Grund 2 so ist nicht zu lösen.
Wegen einiger Programme müssen die Benutzter leider Lokaler Admin sein.
In 98% aller Falle kann man dieses Problem in den Griff kriegen ohne mit Rechten um sich zuschmeißen.Die letzten 2% kann man verzichten.
Gruß L.
aber die Drucker sind jetzt verloren
Oh mein Gott sie sind verloren und er kann auch keine hinzufügen da er dann eine Fehlemeldung bekommt dass der Computer keine Drucker hinzufügen dürfe,
Lokale Drucker oder Netzwerkdrucker?- bei lokalem Drucker als admin installieren und in den Eigenschaften dem Anwender gegebenenfalls Zugriff gewähren.
- Netzwerkdrucker kann normalerweise jeder User verbinden. Ansonsten auch hier rechte (Jeder Drucken) gewähren.
ausserdem starte Outlook nicht mehr.
Welche Outlook Version? Seit Office 2K gibt da eigentlich keine Probleme mehr.Hat der Anwender das Office selbst installiert?
Gruß L.
Moin,
also so kann das eigentlich auch nicht funktionieren.
Der Hauptbenutzer gilt für den lokalen Rechner. Wenn sich also UserX am RechnerX anmeldet, ist es soweit ok, dann hat er die Möglichkeiten, Drucker hinzuzufügen und auch die Outlook-Komponente kann geladen werden. Meldet sich jetzt UserY am RechnerX an, ist er nicht als Hauptbenutzer registriert (vermute ich mal jetzt aufgrund der Vorgeschichte) und ihm fehlen demnach auch die notwendigen Rechte.
Eine Lösung wäre, die User einer Gruppe zuzuordnen und dieser Gruppe dann am lokalen Rechner als Hauptbenutzer zu deklarieren. Nachteil dieser Lösung: Du hast erheblichen Aufwand , das durchzuziehen (wäre grundsätzlich aber machbar) und Du hast trotz Aufwand nichts geschafft, denn damit haben auch alle User wieder dank Gruppenrechten Zugriff auf die anderen "privaten" Ordner.
Dein Knackpunkt sind tatsächlich die User, die lokaler Admin sein müssen. Du kannst es drehen und wenden wie Du willst, als Admin ist der User Herrscher auf der Kiste und kann machen, was er will. Nimmst Du dem "Admin-User" bestimmte Rechte weg, kann er sich die ohne große Probleme wieder zurückholen.
Hast Du mal mittels Regmon und/oder Filemon (aus dem MS-Utilities; ehemals Sysinternals) verfolgt, welche Dateien da explizite Zugriffsrechte benötigen? Evtl. reicht ja eine Einschränkung auf bestimmte Dateien, was sich mit einer Benutzergruppe und entsprechenden Rechten auf Verzeichnis-/Dateiebene bewerkstelligen ließe?
Gruß J chem
also so kann das eigentlich auch nicht funktionieren.
Der Hauptbenutzer gilt für den lokalen Rechner. Wenn sich also UserX am RechnerX anmeldet, ist es soweit ok, dann hat er die Möglichkeiten, Drucker hinzuzufügen und auch die Outlook-Komponente kann geladen werden. Meldet sich jetzt UserY am RechnerX an, ist er nicht als Hauptbenutzer registriert (vermute ich mal jetzt aufgrund der Vorgeschichte) und ihm fehlen demnach auch die notwendigen Rechte.
Eine Lösung wäre, die User einer Gruppe zuzuordnen und dieser Gruppe dann am lokalen Rechner als Hauptbenutzer zu deklarieren. Nachteil dieser Lösung: Du hast erheblichen Aufwand , das durchzuziehen (wäre grundsätzlich aber machbar) und Du hast trotz Aufwand nichts geschafft, denn damit haben auch alle User wieder dank Gruppenrechten Zugriff auf die anderen "privaten" Ordner.
Dein Knackpunkt sind tatsächlich die User, die lokaler Admin sein müssen. Du kannst es drehen und wenden wie Du willst, als Admin ist der User Herrscher auf der Kiste und kann machen, was er will. Nimmst Du dem "Admin-User" bestimmte Rechte weg, kann er sich die ohne große Probleme wieder zurückholen.
Wegen einiger Programme müssen die Benutzter leider Lokaler Admin sein.<<
Gruß J chem
Moin,
dann mach ich bzw. machen meine User irgendwas falsch, denn hier klappt es (W2K-Domäne (Sp4) mit W2K-Clients (Sp4), Office 2K3 (Sp3)).
Wäre ganz hilfreich, wenn Du mal mit ein paar "Internas" rüberkommst: also welches BS, welche SPs und welche Software wird eingesetzt? Ich hoffe mal, das alles in einer Umgebung, die auf "de" lautet, wobei ich mir da bei der Bezeichnung "My Documents" nicht mehr ganz sicher bin.
Gruß J chem
dann mach ich bzw. machen meine User irgendwas falsch, denn hier klappt es (W2K-Domäne (Sp4) mit W2K-Clients (Sp4), Office 2K3 (Sp3)).
Wäre ganz hilfreich, wenn Du mal mit ein paar "Internas" rüberkommst: also welches BS, welche SPs und welche Software wird eingesetzt? Ich hoffe mal, das alles in einer Umgebung, die auf "de" lautet, wobei ich mir da bei der Bezeichnung "My Documents" nicht mehr ganz sicher bin.
Gruß J chem