Probleme mit Profilberechtigung (HKCU)
Hallo,
ich befinde mich derzeit in einer Migration
Ausgangsumgebung :
Netwareanmeldung der Benutzer von PC's die sich in einer Arbeitsgruppe befinden
Zielumgebung: Netwareanmeldung und AD Anmeldung der Benutzer (Computerkonten werden von der Arbeitsgruppe in das AD migriert. (Benutzerkonten werden via Meta-Verzeichnissynchronisation zwischen Netware und AD synchron gehalten)
Die Verzeichnisse der Roaming Profile liegen auf Netwareservern, haben daher keine NTFS Rechte. Die User authentisieren sich nach wie vor über Ihre Netwareanmeldung an Ihren Profilen. Alle Dateien und Ordner der Roaming Profile sind daher durch die neue AD-Authentisierung nicht berührt.
Außnahme sind die HKCU Bestandteile der ntuser.dat, in der sehr wohl ACL's der Windowskonten enthalten sind.
Ich möchte keine Zeitpunkt-X Migration, sondern, dass sich die Benutzer sowohl an den PC's die noch Arbeitsgruppenmitglieder als auch an PC's die schon AD-Mitglieder (dann auch AD-Benutzeranmeldung) anmelden können.
Meine Vorgehensweise war daher HKCU zusätzlich zu den Arbeitsgruppen-benutzern auch auf die AD-Benutzer zu berechtigen. Das realisiere ich via SetACL, was auch gut funktioniert....
.. ABER (und jetzt kommt mein Problem)
Unter
HKCU\Software\Policies
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies
HKCU\Software\Classes
ist die Rechtevererbung deaktiviert und ab dem Pfad der Benutzer nur noch lesend auf die registry berechtigt (klar)
Das bedeutet jedoch, dass der User an diesen Stellen per SETACL natürlich auch nicht den AD-Benutzer in die Berechtigungen hinzufügen kann.
Versuche ich via RunAs oder ähnlichen Tools diesen vorgang als Benutzer mit Administrativen Berechtigungen auszuführen wird nicht der Userkontext gezogen, sondern der HKCU-Kontext des mit RunAs ausführenden Administrators
...
so und da stehe ich gerade und wiess nicht weiter
Hat wer evtl einen Tipp für mich ?
Gruß, jan
PS.: Tools wie USMT etc. helfen mir nicht weiter, da hier NUR der neue AD-User rechte aufs HKCU erhält.. ich benötige jedoch den ArbeitsgruppenUser weiterhin
PPS.: Danke fürs lesen ^^
ich befinde mich derzeit in einer Migration
Ausgangsumgebung :
Netwareanmeldung der Benutzer von PC's die sich in einer Arbeitsgruppe befinden
Zielumgebung: Netwareanmeldung und AD Anmeldung der Benutzer (Computerkonten werden von der Arbeitsgruppe in das AD migriert. (Benutzerkonten werden via Meta-Verzeichnissynchronisation zwischen Netware und AD synchron gehalten)
Die Verzeichnisse der Roaming Profile liegen auf Netwareservern, haben daher keine NTFS Rechte. Die User authentisieren sich nach wie vor über Ihre Netwareanmeldung an Ihren Profilen. Alle Dateien und Ordner der Roaming Profile sind daher durch die neue AD-Authentisierung nicht berührt.
Außnahme sind die HKCU Bestandteile der ntuser.dat, in der sehr wohl ACL's der Windowskonten enthalten sind.
Ich möchte keine Zeitpunkt-X Migration, sondern, dass sich die Benutzer sowohl an den PC's die noch Arbeitsgruppenmitglieder als auch an PC's die schon AD-Mitglieder (dann auch AD-Benutzeranmeldung) anmelden können.
Meine Vorgehensweise war daher HKCU zusätzlich zu den Arbeitsgruppen-benutzern auch auf die AD-Benutzer zu berechtigen. Das realisiere ich via SetACL, was auch gut funktioniert....
.. ABER (und jetzt kommt mein Problem)
Unter
HKCU\Software\Policies
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies
HKCU\Software\Classes
ist die Rechtevererbung deaktiviert und ab dem Pfad der Benutzer nur noch lesend auf die registry berechtigt (klar)
Das bedeutet jedoch, dass der User an diesen Stellen per SETACL natürlich auch nicht den AD-Benutzer in die Berechtigungen hinzufügen kann.
Versuche ich via RunAs oder ähnlichen Tools diesen vorgang als Benutzer mit Administrativen Berechtigungen auszuführen wird nicht der Userkontext gezogen, sondern der HKCU-Kontext des mit RunAs ausführenden Administrators
...
so und da stehe ich gerade und wiess nicht weiter
Hat wer evtl einen Tipp für mich ?
Gruß, jan
PS.: Tools wie USMT etc. helfen mir nicht weiter, da hier NUR der neue AD-User rechte aufs HKCU erhält.. ich benötige jedoch den ArbeitsgruppenUser weiterhin
PPS.: Danke fürs lesen ^^
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 77533
Url: https://administrator.de/contentid/77533
Ausgedruckt am: 04.11.2024 um 22:11 Uhr