Rechte, Vererbung, Zugriff
Hallo.....
kurz zu der Frage die ich Habe.
Wir müssen jetzt externe Programmierer bei und Anstellen.
Diese bekommen über VPN Zugriff auf die Firma.
Vorher werden sie noch als Domänen Mitglieder angelegt.
Und sollen einen Bestimmten Ordner eines Fileservers als Netzlaufwerk bekommen.
Bis hier hin alles klar.
Aber ich möchte das gern mit Variablen machen:
Also User a--> Arbeitet an Auftrag xy --> Darf nur Auftrag XY Sehen--> Und genau das soll vorher im AD ausgelesen werden. --> er kommt vorher in die Gruppe Auftrag XY
Und User b--> Arbeitet an Auftrag xy und yz
usw.
wie kann ich das mit einer Shell auslesen lassen und Batch wieder übergeben oder Komplett mit einer Shell lösen?
Vielen dank schonmal!
kurz zu der Frage die ich Habe.
Wir müssen jetzt externe Programmierer bei und Anstellen.
Diese bekommen über VPN Zugriff auf die Firma.
Vorher werden sie noch als Domänen Mitglieder angelegt.
Und sollen einen Bestimmten Ordner eines Fileservers als Netzlaufwerk bekommen.
Bis hier hin alles klar.
Aber ich möchte das gern mit Variablen machen:
Also User a--> Arbeitet an Auftrag xy --> Darf nur Auftrag XY Sehen--> Und genau das soll vorher im AD ausgelesen werden. --> er kommt vorher in die Gruppe Auftrag XY
Und User b--> Arbeitet an Auftrag xy und yz
usw.
wie kann ich das mit einer Shell auslesen lassen und Batch wieder übergeben oder Komplett mit einer Shell lösen?
Vielen dank schonmal!
28 Antworten
- LÖSUNG emeriks schreibt am 17.10.2019 um 10:52:32 Uhr
- LÖSUNG SlainteMhath schreibt am 17.10.2019 um 11:13:28 Uhr
- LÖSUNG Sasuke35 schreibt am 17.10.2019 um 11:47:05 Uhr
- LÖSUNG emeriks schreibt am 17.10.2019 um 11:53:32 Uhr
- LÖSUNG Sasuke35 schreibt am 18.10.2019 um 07:40:25 Uhr
- LÖSUNG SlainteMhath schreibt am 18.10.2019 um 08:23:21 Uhr
- LÖSUNG Sasuke35 schreibt am 18.10.2019 um 08:41:03 Uhr
- LÖSUNG SlainteMhath schreibt am 18.10.2019 um 09:27:33 Uhr
- LÖSUNG emeriks schreibt am 18.10.2019 um 09:36:21 Uhr
- LÖSUNG Sasuke35 schreibt am 18.10.2019 um 08:41:03 Uhr
- LÖSUNG mayho33 schreibt am 19.10.2019 um 12:16:08 Uhr
- LÖSUNG SlainteMhath schreibt am 21.10.2019 um 08:22:05 Uhr
- LÖSUNG emeriks schreibt am 21.10.2019 um 09:21:42 Uhr
- LÖSUNG Sasuke35 schreibt am 23.10.2019 um 07:36:35 Uhr
- LÖSUNG SlainteMhath schreibt am 23.10.2019 um 08:19:49 Uhr
- LÖSUNG Sasuke35 schreibt am 23.10.2019 um 08:28:22 Uhr
- LÖSUNG SlainteMhath schreibt am 23.10.2019 um 08:32:39 Uhr
- LÖSUNG Sasuke35 schreibt am 23.10.2019 um 09:15:38 Uhr
- LÖSUNG emeriks schreibt am 23.10.2019 um 09:21:35 Uhr
- LÖSUNG Sasuke35 schreibt am 23.10.2019 um 09:47:19 Uhr
- LÖSUNG emeriks schreibt am 23.10.2019 um 10:18:15 Uhr
- LÖSUNG Sasuke35 schreibt am 23.10.2019 um 09:47:19 Uhr
- LÖSUNG SlainteMhath schreibt am 23.10.2019 um 09:48:00 Uhr
- LÖSUNG emeriks schreibt am 23.10.2019 um 09:21:35 Uhr
- LÖSUNG Sasuke35 schreibt am 23.10.2019 um 09:15:38 Uhr
- LÖSUNG SlainteMhath schreibt am 23.10.2019 um 08:32:39 Uhr
- LÖSUNG Sasuke35 schreibt am 23.10.2019 um 08:28:22 Uhr
- LÖSUNG SlainteMhath schreibt am 23.10.2019 um 08:19:49 Uhr
- LÖSUNG mayho33 schreibt am 23.10.2019 um 14:11:31 Uhr
- LÖSUNG SlainteMhath schreibt am 23.10.2019 um 14:16:02 Uhr
- LÖSUNG mayho33 schreibt am 23.10.2019 um 14:19:47 Uhr
- LÖSUNG emeriks schreibt am 23.10.2019 um 14:32:05 Uhr
- LÖSUNG mayho33 schreibt am 23.10.2019 um 14:43:00 Uhr
- LÖSUNG SlainteMhath schreibt am 23.10.2019 um 16:35:12 Uhr
- LÖSUNG emeriks schreibt am 23.10.2019 um 16:36:46 Uhr
- LÖSUNG mayho33 schreibt am 23.10.2019 um 14:43:00 Uhr
- LÖSUNG emeriks schreibt am 23.10.2019 um 14:32:05 Uhr
- LÖSUNG mayho33 schreibt am 23.10.2019 um 14:19:47 Uhr
- LÖSUNG SlainteMhath schreibt am 23.10.2019 um 14:16:02 Uhr
- LÖSUNG Sasuke35 schreibt am 23.10.2019 um 07:36:35 Uhr
- LÖSUNG emeriks schreibt am 21.10.2019 um 09:21:42 Uhr
- LÖSUNG SlainteMhath schreibt am 21.10.2019 um 08:22:05 Uhr
- LÖSUNG SlainteMhath schreibt am 18.10.2019 um 08:23:21 Uhr
- LÖSUNG Sasuke35 schreibt am 18.10.2019 um 07:40:25 Uhr
- LÖSUNG emeriks schreibt am 17.10.2019 um 11:53:32 Uhr
- LÖSUNG Sasuke35 schreibt am 17.10.2019 um 11:47:05 Uhr
LÖSUNG 17.10.2019 um 10:52 Uhr
Hi,
bis hin zu den Gruppen hast Du doch schon alles kortrekt erfasst.
Willst Du wissen, wie man das Laufwerk per Loginscript verbindet?
Oder wie man per Kommandozeile die Berechtigungen vergibt?
Oder was jetzt?
E.
bis hin zu den Gruppen hast Du doch schon alles kortrekt erfasst.
wie kann ich das mit einer Shell auslesen lassen und Batch wieder übergeben oder Komplett mit einer Shell lösen?
Was willst Du auslesen lassen? Wofür?Willst Du wissen, wie man das Laufwerk per Loginscript verbindet?
Oder wie man per Kommandozeile die Berechtigungen vergibt?
Oder was jetzt?
E.
LÖSUNG 17.10.2019 um 11:13 Uhr
Moin,
gib den Gruppen Rechte auf die Verzeichnisse und weise die Gruppen den Usern zu. Dann aktivierst du am Server Access-based enumeration und schon sieht jetzt der User nur noch die Verzeichnisse auf die er auch Rechte hat.
Zuweisung User zu Gruppen kannst du per Powershell auslesen oder setzen.
lg,
Slainte
gib den Gruppen Rechte auf die Verzeichnisse und weise die Gruppen den Usern zu. Dann aktivierst du am Server Access-based enumeration und schon sieht jetzt der User nur noch die Verzeichnisse auf die er auch Rechte hat.
Zuweisung User zu Gruppen kannst du per Powershell auslesen oder setzen.
lg,
Slainte
LÖSUNG 17.10.2019 um 11:47 Uhr
Danke euch beiden schonmal,
so wird doch jetzt ein schuh draus.
Was willst Du auslesen lassen? Wofür?
-->Ich möchte das Wen User a zu neuer Gruppe cv Hinzugefügt wird Automatisch der Auftragsordner cv gemappt wird.
Und da wollte ich eben wissen, ob es da Möglichkeiten gibt das mit powershell auszulesen.
so wird doch jetzt ein schuh draus.
Was willst Du auslesen lassen? Wofür?
-->Ich möchte das Wen User a zu neuer Gruppe cv Hinzugefügt wird Automatisch der Auftragsordner cv gemappt wird.
Und da wollte ich eben wissen, ob es da Möglichkeiten gibt das mit powershell auszulesen.
LÖSUNG 17.10.2019 um 11:53 Uhr
Und wenn er mehreren Gruppen angehört, wie dein Beispiel "User b", dann mehrere Laufwerke? Falls ja: Was, wenn das dann mehr als 25 Laufwerke werden müssten?
Beser ist, wie @SlainteMhath schon schrieb:
Nur genau ein Laufwerk verbinden. Bei allen Benutzern gleich.
Und in diesem einen Laufwerk sieht man dann nur das, wofür man Berechtigungen hat. Berechtigungen werden nur an Gruppen erteilt. Benutzer erlangen diese Berechtigungen durch Mitgliedschaft in diesen Gruppen. Großes Hexenwerk! Nenntg sich auch "AGDLP" bzw. "AGP". Nach diesen Begriffen kann man im web suchen und wird massig Ergebnisse bekommen.
Beser ist, wie @SlainteMhath schon schrieb:
Nur genau ein Laufwerk verbinden. Bei allen Benutzern gleich.
Und in diesem einen Laufwerk sieht man dann nur das, wofür man Berechtigungen hat. Berechtigungen werden nur an Gruppen erteilt. Benutzer erlangen diese Berechtigungen durch Mitgliedschaft in diesen Gruppen. Großes Hexenwerk! Nenntg sich auch "AGDLP" bzw. "AGP". Nach diesen Begriffen kann man im web suchen und wird massig Ergebnisse bekommen.
LÖSUNG 18.10.2019 um 07:40 Uhr
LÖSUNG 18.10.2019 um 08:23 Uhr
LÖSUNG 18.10.2019 um 08:41 Uhr
LÖSUNG 18.10.2019 um 09:27 Uhr
Hast du persönlich Erfahrung damit?
Ja, das funktioniert.Weil ich weiß von einen Kollegen, ABE kann sehr rechenintensiv sein.
Ja, kommt aber auf die Zahl der Ordner an. Notfalls muss man ABE einschränken: https://www.ugg.li/windows-server-2012r2-mit-abe-hat-hohe-cpu-last-gestb ...LÖSUNG 18.10.2019 um 09:36 Uhr
LÖSUNG 19.10.2019, aktualisiert um 12:16 Uhr
LÖSUNG 21.10.2019 um 08:22 Uhr
LÖSUNG 23.10.2019 um 07:36 Uhr
LÖSUNG 23.10.2019 um 08:28 Uhr
LÖSUNG 23.10.2019 um 08:32 Uhr
LÖSUNG 23.10.2019 um 09:15 Uhr
LÖSUNG 23.10.2019 um 09:21 Uhr
Zitat von Sasuke35:
Nun noch eine Kurze Frage, die Ausgabe einer Batch Datei soll auf einem Bestimmten Netzlaufwerk in eine Log ausgegeben werden.
Aber es Funktioniert nicht.
Ja, ja, sicher. Und wie ist das umgekehrt?Nun noch eine Kurze Frage, die Ausgabe einer Batch Datei soll auf einem Bestimmten Netzlaufwerk in eine Log ausgegeben werden.
Aber es Funktioniert nicht.
LÖSUNG 23.10.2019 um 09:48 Uhr
LÖSUNG 23.10.2019 um 10:18 Uhr
LÖSUNG 23.10.2019 um 14:11 Uhr
Via DFS - Share kann man einen bestimmten Ordner oder mehrere in ein Share zusammenfassen...
LÖSUNG 23.10.2019 um 14:16 Uhr
Zitat von mayho33:
Via DFS - Share kann man einen bestimmten Ordner oder mehrere in ein Share zusammenfassen...
Ja, richtig, nur ist das "Problem" des TOs ein anders (ABE)Via DFS - Share kann man einen bestimmten Ordner oder mehrere in ein Share zusammenfassen...
LÖSUNG 23.10.2019 um 14:19 Uhr
Zitat von SlainteMhath:
Zitat von mayho33:
Via DFS - Share kann man einen bestimmten Ordner oder mehrere in ein Share zusammenfassen...
Ja, richtig, nur ist das "Problem" des TOs ein anders (ABE)Via DFS - Share kann man einen bestimmten Ordner oder mehrere in ein Share zusammenfassen...
Erwiil doch, dass bestimmte User oder Gruppen nur bestimmte Netzwerk-Ordner oder Gruppen davon sehen können. Das ist also genau das Problem des TO.
LÖSUNG 23.10.2019 um 14:32 Uhr
Zitat von mayho33:
Erwiil doch, dass bestimmte User oder Gruppen nur bestimmte Netzwerk-Ordner oder Gruppen davon sehen können. Das ist also genau das Problem des TO.
Nein, ist es nicht.Erwiil doch, dass bestimmte User oder Gruppen nur bestimmte Netzwerk-Ordner oder Gruppen davon sehen können. Das ist also genau das Problem des TO.
Das würde bedeuten, dass man für jeden Benutzer einen eigenen DFS-Stamm aufbauen müsste, wo nur die Ordner verlinkt werden, welche er sehen soll. Wie bekloppt wäre das denn?
LÖSUNG 23.10.2019, aktualisiert um 14:49 Uhr
Zitat von emeriks:
Das würde bedeuten, dass man für jeden Benutzer einen eigenen DFS-Stamm aufbauen müsste, wo nur die Ordner verlinkt werden, welche er sehen soll. Wie bekloppt wäre das denn?
Zitat von mayho33:
Erwiil doch, dass bestimmte User oder Gruppen nur bestimmte Netzwerk-Ordner oder Gruppen davon sehen können. Das ist also genau das Problem des TO.
Nein, ist es nicht.Erwiil doch, dass bestimmte User oder Gruppen nur bestimmte Netzwerk-Ordner oder Gruppen davon sehen können. Das ist also genau das Problem des TO.
Das würde bedeuten, dass man für jeden Benutzer einen eigenen DFS-Stamm aufbauen müsste, wo nur die Ordner verlinkt werden, welche er sehen soll. Wie bekloppt wäre das denn?
Dann wäre ja jeder Administrator bekloppt der ein User Share für jeden Benutzer einrichten muss. Ist aber gängige Praxis.
Jaja! Das wird normalerweise so gemacht: https://support.microsoft.com/de-at/help/816313/how-to-assign-a-home-fol ...
Man kann es ev. Ja für den Fall des TO missbrauchen.
Allzuviele Möglichkeiten gibt es nicht, wenn es wartbar bleiben soll.
LÖSUNG 23.10.2019 um 16:35 Uhr
Wie bekloppt wäre das denn?
@mayho33
Dann wäre ja jeder Administrator bekloppt der ein User Share für jeden Benutzer einrichten muss.
Richtig ;P Also ich fackel hier alle User mit einer GPO ab, die die gleichen Shares jedem User mapped. Ist aber gängige Praxis.
NöAllzuviele Möglichkeiten gibt es nicht, wenn es wartbar bleiben soll.
Eigentlich nur eine, und die ist genau für einen solchen Fall gemacht -> ABE. Und da brauchst nur ein Share für alle externen. Ob das jetzt mit oder ohne DFS bereitgestellt wird, ist vollkommen egal.Aber ok, lassen wir das jetzt. Dem TO ist geholfen und gut.
LÖSUNG 23.10.2019 um 16:36 Uhr
Zitat von mayho33:
Dann wäre ja jeder Administrator bekloppt der ein User Share für jeden Benutzer einrichten muss. Ist aber gängige Praxis.
Jaja! Das wird normalerweise so gemacht: https://support.microsoft.com/de-at/help/816313/how-to-assign-a-home-fol ...
Was haben denn Homedrectories mit diesem vom TO beschriebene Fall zu tun? Nichts!Dann wäre ja jeder Administrator bekloppt der ein User Share für jeden Benutzer einrichten muss. Ist aber gängige Praxis.
Jaja! Das wird normalerweise so gemacht: https://support.microsoft.com/de-at/help/816313/how-to-assign-a-home-fol ...