Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Rechte, Vererbung, Zugriff

Mitglied: Sasuke35

Sasuke35 (Level 1) - Jetzt verbinden

17.10.2019 um 09:58 Uhr, 390 Aufrufe, 28 Kommentare, 9 Danke

Hallo.....

kurz zu der Frage die ich Habe.

Wir müssen jetzt externe Programmierer bei und Anstellen.
Diese bekommen über VPN Zugriff auf die Firma.

Vorher werden sie noch als Domänen Mitglieder angelegt.

Und sollen einen Bestimmten Ordner eines Fileservers als Netzlaufwerk bekommen.
Bis hier hin alles klar.

Aber ich möchte das gern mit Variablen machen:

Also User a--> Arbeitet an Auftrag xy --> Darf nur Auftrag XY Sehen--> Und genau das soll vorher im AD ausgelesen werden. --> er kommt vorher in die Gruppe Auftrag XY

Und User b--> Arbeitet an Auftrag xy und yz

usw.

wie kann ich das mit einer Shell auslesen lassen und Batch wieder übergeben oder Komplett mit einer Shell lösen?

Vielen dank schonmal!
28 Antworten
Mitglied: emeriks
17.10.2019 um 10:52 Uhr
Hi,
bis hin zu den Gruppen hast Du doch schon alles kortrekt erfasst.

wie kann ich das mit einer Shell auslesen lassen und Batch wieder übergeben oder Komplett mit einer Shell lösen?
Was willst Du auslesen lassen? Wofür?

Willst Du wissen, wie man das Laufwerk per Loginscript verbindet?
Oder wie man per Kommandozeile die Berechtigungen vergibt?
Oder was jetzt?

E.
Bitte warten ..
Mitglied: SlainteMhath
17.10.2019 um 11:13 Uhr
Moin,

gib den Gruppen Rechte auf die Verzeichnisse und weise die Gruppen den Usern zu. Dann aktivierst du am Server Access-based enumeration und schon sieht jetzt der User nur noch die Verzeichnisse auf die er auch Rechte hat.

Zuweisung User zu Gruppen kannst du per Powershell auslesen oder setzen.

lg,
Slainte
Bitte warten ..
Mitglied: Sasuke35
17.10.2019 um 11:47 Uhr
Danke euch beiden schonmal,

so wird doch jetzt ein schuh draus.

Was willst Du auslesen lassen? Wofür?
-->Ich möchte das Wen User a zu neuer Gruppe cv Hinzugefügt wird Automatisch der Auftragsordner cv gemappt wird.
Und da wollte ich eben wissen, ob es da Möglichkeiten gibt das mit powershell auszulesen.
Bitte warten ..
Mitglied: emeriks
17.10.2019 um 11:53 Uhr
Und wenn er mehreren Gruppen angehört, wie dein Beispiel "User b", dann mehrere Laufwerke? Falls ja: Was, wenn das dann mehr als 25 Laufwerke werden müssten?

Beser ist, wie @SlainteMhath schon schrieb:
Nur genau ein Laufwerk verbinden. Bei allen Benutzern gleich.
Und in diesem einen Laufwerk sieht man dann nur das, wofür man Berechtigungen hat. Berechtigungen werden nur an Gruppen erteilt. Benutzer erlangen diese Berechtigungen durch Mitgliedschaft in diesen Gruppen. Großes Hexenwerk! Nenntg sich auch "AGDLP" bzw. "AGP". Nach diesen Begriffen kann man im web suchen und wird massig Ergebnisse bekommen.
Bitte warten ..
Mitglied: Sasuke35
18.10.2019 um 07:40 Uhr
Guten morgen,

Ja AGDL ist mir bekannt wird auch so angewendet.

Aber der User soll eben nur diesen einen Ordner des Netzlaufwerkes sehen und nicht mehr.

Deswegen immer noch meine Frage bezüglich PowerShell?

Danke für eure Hilfe und Unterstützung.
Bitte warten ..
Mitglied: SlainteMhath
18.10.2019 um 08:23 Uhr
Aber der User soll eben nur diesen einen Ordner des Netzlaufwerkes sehen und nicht mehr.
Deswegen immer noch meine Frage bezüglich PowerShell?
Das hat mit PoSH nichts zu tun. Was du willst ist ein Laufwerk für alle (ggfs. via DFS) und auf dem Server aktivierte ABE.
Bitte warten ..
Mitglied: Sasuke35
18.10.2019 um 08:41 Uhr
Hast du persönlich Erfahrung damit?

Weil ich weiß von einen Kollegen, ABE kann sehr rechenintensiv sein.
Bitte warten ..
Mitglied: SlainteMhath
18.10.2019 um 09:27 Uhr
Hast du persönlich Erfahrung damit?
Ja, das funktioniert.

Weil ich weiß von einen Kollegen, ABE kann sehr rechenintensiv sein.
Ja, kommt aber auf die Zahl der Ordner an. Notfalls muss man ABE einschränken: https://www.ugg.li/windows-server-2012r2-mit-abe-hat-hohe-cpu-last-gestb ...
Bitte warten ..
Mitglied: emeriks
18.10.2019 um 09:36 Uhr
Zitat von Sasuke35:
Weil ich weiß von einen Kollegen, ABE kann sehr rechenintensiv sein.
Es geht nur damit. Mach es oder lass es. Man kann es ja auch einfach testen. Wenn es denn zu lastig sein sollte, kann man es wieder ausschalten.
Wir haben hier zig Fileserver mit je Millionen von Dateien und hunderttausenden Ordnern und das funktioneirt tadellos.
Bitte warten ..
Mitglied: mayho33
19.10.2019, aktualisiert um 12:16 Uhr
Aber der User soll eben nur diesen einen
Ordner des Netzlaufwerkes sehen und nicht
mehr.

Du könntest DFS-Shares erstellen und diese verlinken.
Bitte warten ..
Mitglied: SlainteMhath
21.10.2019 um 08:22 Uhr
Du könntest DFS-Shares erstellen und diese verlinken.
Wie soll DFS bei der Aufgabenstellung helfen? Erklär mal bitte!
Bitte warten ..
Mitglied: emeriks
21.10.2019 um 09:21 Uhr
Zitat von SlainteMhath:
Wie soll DFS bei der Aufgabenstellung helfen? Erklär mal bitte!
Verstehe ich auch nicht.
Bitte warten ..
Mitglied: Sasuke35
23.10.2019 um 07:36 Uhr
Hallo,

nur mal was zwischendurch gefragt.

Wenn ich ihn den Ordner direkt als Netzlaufwerk verbinde,

Kann er da trotzdem alles andere sehen?
Oder bin ich jetzt völlig raus?!
Bitte warten ..
Mitglied: SlainteMhath
23.10.2019 um 08:19 Uhr
Was ist "der ordner"?
Was ist "alles andere"?
Bitte warten ..
Mitglied: Sasuke35
23.10.2019 um 08:28 Uhr
Der ordner ist Aufträge

Und liegt in einem Verzeichniss:

H:\xx\xx\xx\xx\xx\xx\Ordner ?
Bitte warten ..
Mitglied: SlainteMhath
23.10.2019 um 08:32 Uhr
Der user sieht in "Aufträge"...
...bei aktivierten ABE: nur die Unterordner auf die er/sie Rechte hat.
...bei deaktivierten ABE: alle Unterordner, kann auf nur auf Inhalte der Unterordner zugreifen auf die er/sie Rechte hat.
Bitte warten ..
Mitglied: Sasuke35
23.10.2019 um 09:15 Uhr
Danke dir, was soll ich agen.

Wenn mans richtig macht klappt es auch.

Nun noch eine Kurze Frage, die Ausgabe einer Batch Datei soll auf einem Bestimmten Netzlaufwerk in eine Log ausgegeben werden.
Aber es Funktioniert nicht.

Weiß das wer was?

Danke schonmal
Bitte warten ..
Mitglied: emeriks
23.10.2019 um 09:21 Uhr
Zitat von Sasuke35:
Nun noch eine Kurze Frage, die Ausgabe einer Batch Datei soll auf einem Bestimmten Netzlaufwerk in eine Log ausgegeben werden.
Aber es Funktioniert nicht.
Ja, ja, sicher. Und wie ist das umgekehrt?
Bitte warten ..
Mitglied: Sasuke35
23.10.2019 um 09:47 Uhr
Vielen dank für ihre Hilfe!
Bitte warten ..
Mitglied: SlainteMhath
23.10.2019 um 09:48 Uhr
Aber es Funktioniert nicht.
Weiß das wer was?
Evtl. liegt's an den Sonnenflecken? Oder das Magnetfeld der Erde fluktuiert momentan zu stark?
Bitte warten ..
Mitglied: emeriks
23.10.2019 um 10:18 Uhr
Zitat von Sasuke35:
Vielen dank für ihre Hilfe!
Ein bisschen Selbstironie schadet nie.
Ließ einfach Deine Frage und stelle dir vor, wir hätten Sie Dir gestellt. Was könntest Du darauf sinnfällig antworten?

Im meinen Garten wächst dieses spezielle Gemüse nicht über 30 cm hinaus. Woran könnte das liegen?
Bitte warten ..
Mitglied: mayho33
23.10.2019 um 14:11 Uhr
Zitat von emeriks:

Zitat von SlainteMhath:
Wie soll DFS bei der Aufgabenstellung helfen? Erklär mal bitte!
Verstehe ich auch nicht.

Via DFS - Share kann man einen bestimmten Ordner oder mehrere in ein Share zusammenfassen...
Bitte warten ..
Mitglied: SlainteMhath
23.10.2019 um 14:16 Uhr
Zitat von mayho33:
Via DFS - Share kann man einen bestimmten Ordner oder mehrere in ein Share zusammenfassen...
Ja, richtig, nur ist das "Problem" des TOs ein anders (ABE)
Bitte warten ..
Mitglied: mayho33
23.10.2019 um 14:19 Uhr
Zitat von SlainteMhath:

Zitat von mayho33:
Via DFS - Share kann man einen bestimmten Ordner oder mehrere in ein Share zusammenfassen...
Ja, richtig, nur ist das "Problem" des TOs ein anders (ABE)

Erwiil doch, dass bestimmte User oder Gruppen nur bestimmte Netzwerk-Ordner oder Gruppen davon sehen können. Das ist also genau das Problem des TO.
Bitte warten ..
Mitglied: emeriks
23.10.2019 um 14:32 Uhr
Zitat von mayho33:
Erwiil doch, dass bestimmte User oder Gruppen nur bestimmte Netzwerk-Ordner oder Gruppen davon sehen können. Das ist also genau das Problem des TO.
Nein, ist es nicht.
Das würde bedeuten, dass man für jeden Benutzer einen eigenen DFS-Stamm aufbauen müsste, wo nur die Ordner verlinkt werden, welche er sehen soll. Wie bekloppt wäre das denn?
Bitte warten ..
Mitglied: mayho33
23.10.2019, aktualisiert um 14:49 Uhr
Zitat von emeriks:

Zitat von mayho33:
Erwiil doch, dass bestimmte User oder Gruppen nur bestimmte Netzwerk-Ordner oder Gruppen davon sehen können. Das ist also genau das Problem des TO.
Nein, ist es nicht.
Das würde bedeuten, dass man für jeden Benutzer einen eigenen DFS-Stamm aufbauen müsste, wo nur die Ordner verlinkt werden, welche er sehen soll. Wie bekloppt wäre das denn?

Dann wäre ja jeder Administrator bekloppt der ein User Share für jeden Benutzer einrichten muss. Ist aber gängige Praxis.

Jaja! Das wird normalerweise so gemacht: https://support.microsoft.com/de-at/help/816313/how-to-assign-a-home-fol ...

Man kann es ev. Ja für den Fall des TO missbrauchen.
Allzuviele Möglichkeiten gibt es nicht, wenn es wartbar bleiben soll.
Bitte warten ..
Mitglied: SlainteMhath
23.10.2019 um 16:35 Uhr
Wie bekloppt wäre das denn?


@mayho33
Dann wäre ja jeder Administrator bekloppt der ein User Share für jeden Benutzer einrichten muss.
Richtig ;P Also ich fackel hier alle User mit einer GPO ab, die die gleichen Shares jedem User mapped.

Ist aber gängige Praxis.


Allzuviele Möglichkeiten gibt es nicht, wenn es wartbar bleiben soll.
Eigentlich nur eine, und die ist genau für einen solchen Fall gemacht -> ABE. Und da brauchst nur ein Share für alle externen. Ob das jetzt mit oder ohne DFS bereitgestellt wird, ist vollkommen egal.

Aber ok, lassen wir das jetzt. Dem TO ist geholfen und gut.
Bitte warten ..
Mitglied: emeriks
23.10.2019 um 16:36 Uhr
Zitat von mayho33:
Dann wäre ja jeder Administrator bekloppt der ein User Share für jeden Benutzer einrichten muss. Ist aber gängige Praxis.
Jaja! Das wird normalerweise so gemacht: https://support.microsoft.com/de-at/help/816313/how-to-assign-a-home-fol ...
Was haben denn Homedrectories mit diesem vom TO beschriebene Fall zu tun? Nichts!
Bitte warten ..
Ähnliche Inhalte
Windows Userverwaltung
GPO und Vererbung
gelöst Frage von Sasuke35Windows Userverwaltung2 Kommentare

Hallo Folgendes Problem. Ab der 2 Ebene soll die Vererbung deaktiviert werden. Aber ab der 2 Ebene zu deaktivieren ...

Windows Server
Recht Administrator
gelöst Frage von rudeboyWindows Server8 Kommentare

Hi! Kann mir jemand sagen wie ich das deuten soll? NTFS-Berechtigung Vollzugriff für den Admin aber trotzdem rot ausgekreuzt? ...

Windows Server
WSUS GPO Vererbung
gelöst Frage von 77282Windows Server10 Kommentare

Hallo zusammen, mal eine Frage: Ein Kunde hat in der Default Domain Policy den WSUS Teil folgender maßen konfiguriert: ...

Windows Server
GPO Vererbung deaktivieren
Frage von BovarianWindows Server4 Kommentare

Hallo zusammen, ich habe folgende Grundaufgabe Auf einem bestehendem Terminalserver mit Lockdown per GPO soll es eine zusätliche Gruppe ...

Neue Wissensbeiträge
Windows 10
Die tickende DSGVO-Zeitbombe von Microsoft
Information von Frank vor 15 StundenWindows 104 Kommentare

Hier ein guter Beitrag von Golem.de zum Thema DSGVO und das Windows 10 aktuell nicht DSGVO konform ist! Das ...

Microsoft Office

Gebrandete OEM-Version von Office 2003 auf Nachfolgerechner installieren

Tipp von Lochkartenstanzer vor 17 StundenMicrosoft Office

Hallo Kollegen, gerade mal wieder ein Kundensystem mit Widows 10 in den Fingern gehabt, bei dem der Besitzer sein ...

Windows Server

Ein Feature, welches einem das Arbeiten mit Windows-2019-Coreservern erleichtern kann

Information von DerWoWusste vor 18 StundenWindows Server3 Kommentare

Man kann mittels Kommando nun folgendes auf Server 2019 in der Coreversion v1809 freischalten, so dass man es lokal ...

Windows 10
MS möchte offenbar lokale Konten abschaffen
Information von UweGri vor 1 TagWindows 1011 Kommentare

Guten Tag Admins, ab und an lese ich bei Dr.-Windows Bei dieser Meldung dachte ich, wird MS jetzt offen ...

Heiß diskutierte Inhalte
Erkennung und -Abwehr
MS-Hotline-Telefonterror
Frage von HenereErkennung und -Abwehr22 Kommentare

Servus zusammen, seit ca 3 Wochen haben wir immer wieder Anrufe von unbekannten Nummern, teils aus dem Ausland. Nach ...

Batch & Shell
Active Directory Picker - Get-ADGroup kann nicht in den Typ konvertiert werden
Frage von dispatcherBatch & Shell17 Kommentare

Mahlzeit zusammen, Im folgenden Skript erhalte ich immer die Meldung: Get-ADGroup : "System.Object " kann nicht in den Typ "Microsoft.ActiveDirectory.Management.ADGroup" ...

Windows Netzwerk
DNS und DHCP Server Einträge stimmen nicht überein
Frage von gabeBUWindows Netzwerk12 Kommentare

Hallo Zusammen Ich habe ein Problem bei meinen zwei DC's (Beide Windows Server 2012 64-Bit, virtualisiert über VMWARE). Seit ...

Windows 10
Windows 10 mit kaputtem .Net 4.8
Frage von krischeuWindows 1012 Kommentare

Hi, ich habe mit dem Programm ADDISON ein Stabilitätsproblem. Es stürzt regelmäßig während des Arbeitens ab. In der Ereignisanzeige ...