thehawk
Goto Top

My Documents, Roaming Profile und Lokaler Admin

Hallo Ng,

Ich habe in meiner Domaine alle Benutzer auf ihrem Pc als Lokalen Administrator definiert.
Alle Profile sind Roaming Profile.

Da manche Benutzer sich manchmal an versichedenen Pc's anmelden ergibt sich jetzt folgendes Problem.
Der Nutzer geht auf c:\Documents and Settings.
Dann sieht er dort die Profile der anderen Benutzer, er kann dann dort Informationen lesen die Ihn nichts angehn, unter anderem die "My documents" der anderen Benutzer.

Wegen einiger Programme müssen die Benutzter leider Lokaler Admin sein.

Frage:
Wie kann ich es unterbieten dass der Benutzter dort ein "access denied" erhält.

Mfg,

Steve

Content-ID: 91986

Url: https://administrator.de/forum/my-documents-roaming-profile-und-lokaler-admin-91986.html

Ausgedruckt am: 23.12.2024 um 08:12 Uhr

Logan000
Logan000 14.07.2008 um 13:47:26 Uhr
Goto Top
Moin

Dann sieht er dort die Profile der anderen Benutzer, er kann dann dort Informationen lesen die Ihn nichts angehn, unter anderem die "My documents" der anderen Benutzer.

Nun das ist ganz einfach. Du musst der Gruppe der (lokalen) Administratoren das lesen Recht auf die jeweiligen Profil Ordner nehmen.

Nun wirst Du sicherlich sagen das ist je jede Menge arbeit, womit wir bei Grund Nr. 1 sind warum User keine Lokalen Adminrechte haben sollten.

Grund Nr. 2 ist, die lokalen Admins können sich die Rechte jederzeit wieder holen.

Falls Du ein AD hast kannst du die Rechte für den Profilordner per GPO setzen. Das hilft dir bei Grund 1. Grund 2 so ist nicht zu lösen.

Wegen einiger Programme müssen die Benutzter leider Lokaler Admin sein.
In 98% aller Falle kann man dieses Problem in den Griff kriegen ohne mit Rechten um sich zuschmeißen.
Die letzten 2% kann man verzichten.

Gruß L.
TheHawk
TheHawk 14.07.2008 um 13:51:46 Uhr
Goto Top
Re,

Ich hab versucht dass ich jetz mal einigen Benutzern nur noch die Rechte eines "Hauptbenutzers" zu geben. Nun habe ich dann folgendes Problem:

Der Benutzer bekommt zwar im C:\documents and settings keine Rechte mehr auf andere Ordner, aber die Drucker sind jetzt verloren und er kann auch keine hinzufügen da er dann eine Fehlemeldung bekommt dass der Computer keine Drucker hinzufügen dürfe, ausserdem starte Outlook nicht mehr.

Mfg,
Logan000
Logan000 14.07.2008 um 14:21:05 Uhr
Goto Top
aber die Drucker sind jetzt verloren
Oh mein Gott sie sind verloren face-wink

und er kann auch keine hinzufügen da er dann eine Fehlemeldung bekommt dass der Computer keine Drucker hinzufügen dürfe,
Lokale Drucker oder Netzwerkdrucker?
- bei lokalem Drucker als admin installieren und in den Eigenschaften dem Anwender gegebenenfalls Zugriff gewähren.
- Netzwerkdrucker kann normalerweise jeder User verbinden. Ansonsten auch hier rechte (Jeder Drucken) gewähren.

ausserdem starte Outlook nicht mehr.
Welche Outlook Version? Seit Office 2K gibt da eigentlich keine Probleme mehr.
Hat der Anwender das Office selbst installiert?

Gruß L.
TheHawk
TheHawk 14.07.2008 um 14:26:57 Uhr
Goto Top
Re,

Es sind Netzwerkdrucker, da bekommt er dann einen Fehler dass er die nicht hinzufügen kann. Es hat jeder Rechte auf dem Drucker.

Was komisch ist dass der Computer ein ganz neues Profil auf dem Pc erstellt wenn ich im Hauptbenutzerrechte gebe und die Adminrechte mehme.

Es ist Office 2k7

Mfg,
Jochem
Jochem 14.07.2008 um 14:27:04 Uhr
Goto Top
Moin,
also so kann das eigentlich auch nicht funktionieren.

Der Hauptbenutzer gilt für den lokalen Rechner. Wenn sich also UserX am RechnerX anmeldet, ist es soweit ok, dann hat er die Möglichkeiten, Drucker hinzuzufügen und auch die Outlook-Komponente kann geladen werden. Meldet sich jetzt UserY am RechnerX an, ist er nicht als Hauptbenutzer registriert (vermute ich mal jetzt aufgrund der Vorgeschichte) und ihm fehlen demnach auch die notwendigen Rechte.

Eine Lösung wäre, die User einer Gruppe zuzuordnen und dieser Gruppe dann am lokalen Rechner als Hauptbenutzer zu deklarieren. Nachteil dieser Lösung: Du hast erheblichen Aufwand , das durchzuziehen (wäre grundsätzlich aber machbar) und Du hast trotz Aufwand nichts geschafft, denn damit haben auch alle User wieder dank Gruppenrechten Zugriff auf die anderen "privaten" Ordner.

Dein Knackpunkt sind tatsächlich die User, die lokaler Admin sein müssen. Du kannst es drehen und wenden wie Du willst, als Admin ist der User Herrscher auf der Kiste und kann machen, was er will. Nimmst Du dem "Admin-User" bestimmte Rechte weg, kann er sich die ohne große Probleme wieder zurückholen.

Wegen einiger Programme müssen die Benutzter leider Lokaler Admin sein.<<
Hast Du mal mittels Regmon und/oder Filemon (aus dem MS-Utilities; ehemals Sysinternals) verfolgt, welche Dateien da explizite Zugriffsrechte benötigen? Evtl. reicht ja eine Einschränkung auf bestimmte Dateien, was sich mit einer Benutzergruppe und entsprechenden Rechten auf Verzeichnis-/Dateiebene bewerkstelligen ließe?

Gruß J face-smile chem
TheHawk
TheHawk 14.07.2008 um 14:30:29 Uhr
Goto Top
Der Hauptbenutzer gilt für den lokalen Rechner. Wenn sich also UserX am RechnerX anmeldet, ist es soweit ok, dann hat er die Möglichkeiten, Drucker hinzuzufügen und auch die Outlook-Komponente kann geladen werden.


das klapt leider nicht. Die sind als "Power User" definiert aber trotzem klappts nicht.
Logan000
Logan000 14.07.2008 um 14:46:08 Uhr
Goto Top
das klapt leider nicht. Die sind als "Power User" definiert aber trotzem klappts nicht.
Glaub mir mal, das klappt.
Warum es jetzt gerade bei Dir nicht funktioniert läßt sich ohne mehr Details natürlich nicht beantworten.

Gruß L.
Jochem
Jochem 14.07.2008 um 14:52:43 Uhr
Goto Top
Moin,
dann mach ich bzw. machen meine User irgendwas falsch, denn hier klappt es (W2K-Domäne (Sp4) mit W2K-Clients (Sp4), Office 2K3 (Sp3)).
Wäre ganz hilfreich, wenn Du mal mit ein paar "Internas" rüberkommst: also welches BS, welche SPs und welche Software wird eingesetzt? Ich hoffe mal, das alles in einer Umgebung, die auf "de" lautet, wobei ich mir da bei der Bezeichnung "My Documents" nicht mehr ganz sicher bin.

Gruß J face-smile chem
TheHawk
TheHawk 14.07.2008 um 15:06:55 Uhr
Goto Top
Hallo,

Bei mir ist es ein Englische Umgebung.
Die Arbeitsstationen sind WinXPSp2 und Server sind Windows 2003R2 Server. Domaine ist auch Server 2k3. Office 2k7Sp1.

so ich hab jetzt mal das Prpofil auf dem Pc gelöscht.
Dann hab ich mich als admin angemeldet und dem Domaineuser die Rechte des Power Users gegeben.

Jetzt hab ich den Useer neu eingeloggt. Das Profil wird wider auf die Platte kopiert, aber allerdings wieder mal ohne die Drucker und ohne dass Outlook geht. Ich hab auch noch festgestellt dass er meinen Proxy nicht mehr mag. ich geb den ein mach ok und dann ist er wieder weg.

Bei den Druckern ist es so: ich durchsuch die AD (ja das geht ! face-smile ) wähle den Drucker aus, dann bekomm ich die meldung : You do not have sufficent access to your computer to connect to the selected printer

:'(

Gibt es da eine Global Policy die sowas erzeugen könnte?
TheHawk
TheHawk 14.07.2008 um 15:38:43 Uhr
Goto Top
vielen dank schon mal für eure Mitarbeit
Jochem
Jochem 14.07.2008 um 15:59:00 Uhr
Goto Top
Moin,
also die Einstellung des Proxy kann über eine GPO geregelt werden. Insofern vermute ich mal stark, daß die anderen Einschränkungen auch über GPOs greifen. Wie sieht es denn damit aus? Und bitte vorsichtig bei gemischtsprachigen Installationen!

Gruß J face-smile chem