Rechte, Vererbung, Zugriff

17.10.2019 um 09:58 Uhr, 1049 Aufrufe, 28 Kommentare, 9 Danke

Hallo.....

kurz zu der Frage die ich Habe.

Wir müssen jetzt externe Programmierer bei und Anstellen.
Diese bekommen über VPN Zugriff auf die Firma.

Vorher werden sie noch als Domänen Mitglieder angelegt.

Und sollen einen Bestimmten Ordner eines Fileservers als Netzlaufwerk bekommen.
Bis hier hin alles klar.

Aber ich möchte das gern mit Variablen machen:

Also User a--> Arbeitet an Auftrag xy --> Darf nur Auftrag XY Sehen--> Und genau das soll vorher im AD ausgelesen werden. --> er kommt vorher in die Gruppe Auftrag XY

Und User b--> Arbeitet an Auftrag xy und yz

usw.

wie kann ich das mit einer Shell auslesen lassen und Batch wieder übergeben oder Komplett mit einer Shell lösen?

Vielen dank schonmal!

28 Antworten

LÖSUNG emeriks schreibt am 17.10.2019 um 10:52:32 Uhr
LÖSUNG SlainteMhath schreibt am 17.10.2019 um 11:13:28 Uhr
- LÖSUNG Sasuke35 schreibt am 17.10.2019 um 11:47:05 Uhr
  - LÖSUNG emeriks schreibt am 17.10.2019 um 11:53:32 Uhr
    - LÖSUNG Sasuke35 schreibt am 18.10.2019 um 07:40:25 Uhr
      - LÖSUNG SlainteMhath schreibt am 18.10.2019 um 08:23:21 Uhr
        
        LÖSUNG Sasuke35 schreibt am 18.10.2019 um 08:41:03 Uhr
        
        LÖSUNG SlainteMhath schreibt am 18.10.2019 um 09:27:33 Uhr
        LÖSUNG emeriks schreibt am 18.10.2019 um 09:36:21 Uhr
      - LÖSUNG mayho33 schreibt am 19.10.2019 um 12:16:08 Uhr
        
        LÖSUNG SlainteMhath schreibt am 21.10.2019 um 08:22:05 Uhr
        
        LÖSUNG emeriks schreibt am 21.10.2019 um 09:21:42 Uhr
        
        LÖSUNG Sasuke35 schreibt am 23.10.2019 um 07:36:35 Uhr
        
        LÖSUNG SlainteMhath schreibt am 23.10.2019 um 08:19:49 Uhr
        
        LÖSUNG Sasuke35 schreibt am 23.10.2019 um 08:28:22 Uhr
        
        LÖSUNG SlainteMhath schreibt am 23.10.2019 um 08:32:39 Uhr
        
        LÖSUNG Sasuke35 schreibt am 23.10.2019 um 09:15:38 Uhr
        
        LÖSUNG emeriks schreibt am 23.10.2019 um 09:21:35 Uhr
        
        LÖSUNG Sasuke35 schreibt am 23.10.2019 um 09:47:19 Uhr
        
        LÖSUNG emeriks schreibt am 23.10.2019 um 10:18:15 Uhr
        
        LÖSUNG SlainteMhath schreibt am 23.10.2019 um 09:48:00 Uhr
        
        LÖSUNG mayho33 schreibt am 23.10.2019 um 14:11:31 Uhr
        
        LÖSUNG SlainteMhath schreibt am 23.10.2019 um 14:16:02 Uhr
        
        LÖSUNG mayho33 schreibt am 23.10.2019 um 14:19:47 Uhr
        
        LÖSUNG emeriks schreibt am 23.10.2019 um 14:32:05 Uhr
        
        LÖSUNG mayho33 schreibt am 23.10.2019 um 14:43:00 Uhr
        
        LÖSUNG SlainteMhath schreibt am 23.10.2019 um 16:35:12 Uhr
        LÖSUNG emeriks schreibt am 23.10.2019 um 16:36:46 Uhr

emeriks (Level 5) - Jetzt verbinden

LÖSUNG 17.10.2019 um 10:52 Uhr

Hi,
bis hin zu den Gruppen hast Du doch schon alles kortrekt erfasst.

wie kann ich das mit einer Shell auslesen lassen und Batch wieder übergeben oder Komplett mit einer Shell lösen?

Was willst Du auslesen lassen? Wofür?

Willst Du wissen, wie man das Laufwerk per Loginscript verbindet?
Oder wie man per Kommandozeile die Berechtigungen vergibt?
Oder was jetzt?

E.

SlainteMhath (Level 4) - Jetzt verbinden

LÖSUNG 17.10.2019 um 11:13 Uhr

Moin,

gib den Gruppen Rechte auf die Verzeichnisse und weise die Gruppen den Usern zu. Dann aktivierst du am Server Access-based enumeration und schon sieht jetzt der User nur noch die Verzeichnisse auf die er auch Rechte hat.

Zuweisung User zu Gruppen kannst du per Powershell auslesen oder setzen.

lg,
Slainte

Sasuke35 (Level 1) - Jetzt verbinden

LÖSUNG 17.10.2019 um 11:47 Uhr

Danke euch beiden schonmal,

so wird doch jetzt ein schuh draus. :) face-smile

Was willst Du auslesen lassen? Wofür?
-->Ich möchte das Wen User a zu neuer Gruppe cv Hinzugefügt wird Automatisch der Auftragsordner cv gemappt wird.
Und da wollte ich eben wissen, ob es da Möglichkeiten gibt das mit powershell auszulesen.

emeriks (Level 5) - Jetzt verbinden

LÖSUNG 17.10.2019 um 11:53 Uhr

Und wenn er mehreren Gruppen angehört, wie dein Beispiel "User b", dann mehrere Laufwerke? Falls ja: Was, wenn das dann mehr als 25 Laufwerke werden müssten?

Beser ist, wie @SlainteMhath schon schrieb:
Nur genau ein Laufwerk verbinden. Bei allen Benutzern gleich.
Und in diesem einen Laufwerk sieht man dann nur das, wofür man Berechtigungen hat. Berechtigungen werden nur an Gruppen erteilt. Benutzer erlangen diese Berechtigungen durch Mitgliedschaft in diesen Gruppen. Großes Hexenwerk! Nenntg sich auch "AGDLP" bzw. "AGP". Nach diesen Begriffen kann man im web suchen und wird massig Ergebnisse bekommen.

Sasuke35 (Level 1) - Jetzt verbinden

LÖSUNG 18.10.2019 um 07:40 Uhr

Guten morgen,

Ja AGDL ist mir bekannt wird auch so angewendet.

Aber der User soll eben nur diesen einen Ordner des Netzlaufwerkes sehen und nicht mehr.

Deswegen immer noch meine Frage bezüglich PowerShell?

Danke für eure Hilfe und Unterstützung.

SlainteMhath (Level 4) - Jetzt verbinden

LÖSUNG 18.10.2019 um 08:23 Uhr

Aber der User soll eben nur diesen einen Ordner des Netzlaufwerkes sehen und nicht mehr.
Deswegen immer noch meine Frage bezüglich PowerShell?

Das hat mit PoSH nichts zu tun. Was du willst ist ein Laufwerk für alle (ggfs. via DFS) und auf dem Server aktivierte ABE.

Sasuke35 (Level 1) - Jetzt verbinden

LÖSUNG 18.10.2019 um 08:41 Uhr

Hast du persönlich Erfahrung damit?

Weil ich weiß von einen Kollegen, ABE kann sehr rechenintensiv sein.

SlainteMhath (Level 4) - Jetzt verbinden

LÖSUNG 18.10.2019 um 09:27 Uhr

Hast du persönlich Erfahrung damit?

Ja, das funktioniert.

Weil ich weiß von einen Kollegen, ABE kann sehr rechenintensiv sein.

Ja, kommt aber auf die Zahl der Ordner an. Notfalls muss man ABE einschränken: https://www.ugg.li/windows-server-2012r2-mit-abe-hat-hohe-cpu-last-gestb ...

emeriks (Level 5) - Jetzt verbinden

LÖSUNG 18.10.2019 um 09:36 Uhr

Zitat von Sasuke35:
Weil ich weiß von einen Kollegen, ABE kann sehr rechenintensiv sein.

Es geht nur damit. Mach es oder lass es. Man kann es ja auch einfach testen. Wenn es denn zu lastig sein sollte, kann man es wieder ausschalten.
Wir haben hier zig Fileserver mit je Millionen von Dateien und hunderttausenden Ordnern und das funktioneirt tadellos.

mayho33 (Level 2) - Jetzt verbinden

LÖSUNG 19.10.2019, aktualisiert um 12:16 Uhr

Aber der User soll eben nur diesen einen
Ordner des Netzlaufwerkes sehen und nicht
mehr.

Du könntest DFS-Shares erstellen und diese verlinken.

SlainteMhath (Level 4) - Jetzt verbinden

LÖSUNG 21.10.2019 um 08:22 Uhr

Du könntest DFS-Shares erstellen und diese verlinken.

Wie soll DFS bei der Aufgabenstellung helfen? Erklär mal bitte!

emeriks (Level 5) - Jetzt verbinden

LÖSUNG 21.10.2019 um 09:21 Uhr

Zitat von SlainteMhath:
Wie soll DFS bei der Aufgabenstellung helfen? Erklär mal bitte!

Verstehe ich auch nicht.

Sasuke35 (Level 1) - Jetzt verbinden

LÖSUNG 23.10.2019 um 07:36 Uhr

Hallo,

nur mal was zwischendurch gefragt.

Wenn ich ihn den Ordner direkt als Netzlaufwerk verbinde,

Kann er da trotzdem alles andere sehen?
Oder bin ich jetzt völlig raus?!

SlainteMhath (Level 4) - Jetzt verbinden

LÖSUNG 23.10.2019 um 08:19 Uhr

Was ist "der ordner"?
Was ist "alles andere"?

Sasuke35 (Level 1) - Jetzt verbinden

LÖSUNG 23.10.2019 um 08:28 Uhr

Der ordner ist Aufträge

Und liegt in einem Verzeichniss:

H:\xx\xx\xx\xx\xx\xx\Ordner ?

SlainteMhath (Level 4) - Jetzt verbinden

LÖSUNG 23.10.2019 um 08:32 Uhr

Der user sieht in "Aufträge"...
...bei aktivierten ABE: nur die Unterordner auf die er/sie Rechte hat.
...bei deaktivierten ABE: alle Unterordner, kann auf nur auf Inhalte der Unterordner zugreifen auf die er/sie Rechte hat.

Sasuke35 (Level 1) - Jetzt verbinden

LÖSUNG 23.10.2019 um 09:15 Uhr

Danke dir, was soll ich agen.

Wenn mans richtig macht klappt es auch.

Nun noch eine Kurze Frage, die Ausgabe einer Batch Datei soll auf einem Bestimmten Netzlaufwerk in eine Log ausgegeben werden.
Aber es Funktioniert nicht.

Weiß das wer was?

Danke schonmal

emeriks (Level 5) - Jetzt verbinden

LÖSUNG 23.10.2019 um 09:21 Uhr

Zitat von Sasuke35:
Nun noch eine Kurze Frage, die Ausgabe einer Batch Datei soll auf einem Bestimmten Netzlaufwerk in eine Log ausgegeben werden.
Aber es Funktioniert nicht.

Ja, ja, sicher. Und wie ist das umgekehrt?

Sasuke35 (Level 1) - Jetzt verbinden

LÖSUNG 23.10.2019 um 09:47 Uhr

Vielen dank für ihre Hilfe!

SlainteMhath (Level 4) - Jetzt verbinden

LÖSUNG 23.10.2019 um 09:48 Uhr

Aber es Funktioniert nicht.
Weiß das wer was?

Evtl. liegt's an den Sonnenflecken? Oder das Magnetfeld der Erde fluktuiert momentan zu stark?

emeriks (Level 5) - Jetzt verbinden

LÖSUNG 23.10.2019 um 10:18 Uhr

Zitat von Sasuke35:
Vielen dank für ihre Hilfe!

Ein bisschen Selbstironie schadet nie.
Ließ einfach Deine Frage und stelle dir vor, wir hätten Sie Dir gestellt. Was könntest Du darauf sinnfällig antworten?

Im meinen Garten wächst dieses spezielle Gemüse nicht über 30 cm hinaus. Woran könnte das liegen?

mayho33 (Level 2) - Jetzt verbinden

LÖSUNG 23.10.2019 um 14:11 Uhr

Zitat von emeriks:

Zitat von SlainteMhath:
Wie soll DFS bei der Aufgabenstellung helfen? Erklär mal bitte!

Verstehe ich auch nicht.

Via DFS - Share kann man einen bestimmten Ordner oder mehrere in ein Share zusammenfassen...

SlainteMhath (Level 4) - Jetzt verbinden

LÖSUNG 23.10.2019 um 14:16 Uhr

Zitat von mayho33:
Via DFS - Share kann man einen bestimmten Ordner oder mehrere in ein Share zusammenfassen...

Ja, richtig, nur ist das "Problem" des TOs ein anders (ABE)

mayho33 (Level 2) - Jetzt verbinden

LÖSUNG 23.10.2019 um 14:19 Uhr

Zitat von SlainteMhath:

Zitat von mayho33:
Via DFS - Share kann man einen bestimmten Ordner oder mehrere in ein Share zusammenfassen...

Ja, richtig, nur ist das "Problem" des TOs ein anders (ABE)

Erwiil doch, dass bestimmte User oder Gruppen nur bestimmte Netzwerk-Ordner oder Gruppen davon sehen können. Das ist also genau das Problem des TO.

emeriks (Level 5) - Jetzt verbinden

LÖSUNG 23.10.2019 um 14:32 Uhr

Zitat von mayho33:
Erwiil doch, dass bestimmte User oder Gruppen nur bestimmte Netzwerk-Ordner oder Gruppen davon sehen können. Das ist also genau das Problem des TO.

Nein, ist es nicht.
Das würde bedeuten, dass man für jeden Benutzer einen eigenen DFS-Stamm aufbauen müsste, wo nur die Ordner verlinkt werden, welche er sehen soll. Wie bekloppt wäre das denn?

mayho33 (Level 2) - Jetzt verbinden

LÖSUNG 23.10.2019, aktualisiert um 14:49 Uhr

Zitat von emeriks:

Zitat von mayho33:
Erwiil doch, dass bestimmte User oder Gruppen nur bestimmte Netzwerk-Ordner oder Gruppen davon sehen können. Das ist also genau das Problem des TO.

Nein, ist es nicht.
Das würde bedeuten, dass man für jeden Benutzer einen eigenen DFS-Stamm aufbauen müsste, wo nur die Ordner verlinkt werden, welche er sehen soll. Wie bekloppt wäre das denn?

Dann wäre ja jeder Administrator bekloppt der ein User Share für jeden Benutzer einrichten muss. Ist aber gängige Praxis.

Jaja! Das wird normalerweise so gemacht: https://support.microsoft.com/de-at/help/816313/how-to-assign-a-home-fol ...

Man kann es ev. Ja für den Fall des TO missbrauchen.
Allzuviele Möglichkeiten gibt es nicht, wenn es wartbar bleiben soll.

SlainteMhath (Level 4) - Jetzt verbinden

LÖSUNG 23.10.2019 um 16:35 Uhr

Wie bekloppt wäre das denn?

@mayho33

Dann wäre ja jeder Administrator bekloppt der ein User Share für jeden Benutzer einrichten muss.

Richtig ;P Also ich fackel hier alle User mit einer GPO ab, die die gleichen Shares jedem User mapped.

Ist aber gängige Praxis.

Nö

Allzuviele Möglichkeiten gibt es nicht, wenn es wartbar bleiben soll.

Eigentlich nur eine, und die ist genau für einen solchen Fall gemacht -> ABE. Und da brauchst nur ein Share für alle externen. Ob das jetzt mit oder ohne DFS bereitgestellt wird, ist vollkommen egal.

Aber ok, lassen wir das jetzt. Dem TO ist geholfen und gut.

emeriks (Level 5) - Jetzt verbinden

LÖSUNG 23.10.2019 um 16:36 Uhr

Zitat von mayho33:
Dann wäre ja jeder Administrator bekloppt der ein User Share für jeden Benutzer einrichten muss. Ist aber gängige Praxis.
Jaja! Das wird normalerweise so gemacht: https://support.microsoft.com/de-at/help/816313/how-to-assign-a-home-fol ...

Was haben denn Homedrectories mit diesem vom TO beschriebene Fall zu tun? Nichts!

Frage Entwicklung Batch & Shell

Heiß diskutierte Inhalte

DSGVO-konforme Löschsoftware für Festplatten

alwayshungryVor 1 TagFrageDatenschutz38 Kommentare

Hallo zusammen, welche Software gibt es, damit man DSGVO-konform Festplatten löschen kann? Ich kenne zwar Blancco, aber gibt es denn da keine gesetzeskonforme Alternativen? ...

Wie VPN in Zeiten von HomeOffice einfach gestalten

VizKyneticVor 1 TagFrageWindows Netzwerk15 Kommentare

Moin! Vermehrt kommen die Anfragen zu HomeOffice Arbeitsplätzen und der Möglichkeit Remote zu arbeiten. Wir haben verschiedene Lösungen im Einsatz, da diese Struktur über ...

Panasonic NS700 an S0 von Fritzbox

jensgebkenVor 1 TagFrageTK-Netze & Geräte43 Kommentare

Hallo Gemeinschaft, gibt es eine Möglichkeit meine gebrauchte NS700 mit einer Fritzbox zu verbinden, so dass ich auch raustelefonieren kann - hinter der NS ...

Adobe Flash erneut aktivieren, IT-Sicherheit + Datenschutz

anteNopeVor 1 TagFrageRechtliche Fragen14 Kommentare

Hallo zusammen, ich weiß es ist noch nicht Freitag aber mir ist hier gerade die Kinnlade bis in den Keller gefallen. Opel (ja der ...

Wie kann ich mehrere PCs gleich aufsetzten (mit User)

dressaVor 1 TagFrageWindows 109 Kommentare

Hallo miteinander. Wie kann ich mehrere PCs (über 200) gleich aufsetzten. Ich habe etwa 4 Modele die sich nur von der Baugeneration unterscheiden. Also ...

Mobilfunktarife für die Firma (günstig)

gelöst ingo1988Vor 1 TagFrageFlatrates13 Kommentare

Hallo, kann mir jemand weiterhelfen im Bezug auf Mobilfunktarife für Unternehmen? Ich suche nämlich günstige Angebote im Telekom oder Vodafone Netz, ähnlich wie Lidl ...

Das ist ja nicht auszuhalten, dass ich für jeden googlen soll

NordicMikeVor 6 StundenIMHOWünsch Dir was21 Kommentare

Ich beantrage, dass bei jeder Beitragserstellung eine Checkbox angeklickt werden muss, mit dem Text: Ja, ich habe bereits danach gegoogelt. Ansonsten soll der "Senden" ...

Wie verteilt Ihr Software im AD auf die Clients? GPO?

Der-PhilVor 1 TagFrageMicrosoft14 Kommentare

Hallo! Die Kernfrage steht eigentlich schon im Titel: Wie verteilt ihr Software und haltet sie aktuell auf den Clients? Bislang mache ich das alles ...