Rechteproblem mit Nutzerprofilen
Hi,
hab gerade folgendes problem festgestellt.
habe meine ad jetzt so konfiguriert, dass die userprofile auf dem server in einem bestimmt ordner abgelegt werden. hat alles ja wunderbar funktioniert. aber wenn ich mir jetzt als administrator das profil anschauen will, dann darf ich das nicht.
wie sage ich dem server, das administratoren immer zugriff darauf haben? habe nämlich keine lust dann jedes profil extra behandeln zu müssen.
mfg
JimK
hab gerade folgendes problem festgestellt.
habe meine ad jetzt so konfiguriert, dass die userprofile auf dem server in einem bestimmt ordner abgelegt werden. hat alles ja wunderbar funktioniert. aber wenn ich mir jetzt als administrator das profil anschauen will, dann darf ich das nicht.
wie sage ich dem server, das administratoren immer zugriff darauf haben? habe nämlich keine lust dann jedes profil extra behandeln zu müssen.
mfg
JimK
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 71719
Url: https://administrator.de/contentid/71719
Ausgedruckt am: 05.11.2024 um 20:11 Uhr
13 Kommentare
Neuester Kommentar
Hi JimK,
eigentlich ganz simpel. *g*
Du gehst in die Eigenschaften des Ordner gehen und dort einfach die Gruppe "Administratoren" hinzufügen. Die restlichen Benutzer einfachlöschen. Danch solltest du noch auf "Erweitert" klicken und dort angeben:" Er soll nach unten vererben!". Somit gilt das für alle Unterordner.
Du kannst das aber auch gleich über das Übergeordete Verzeichnis machen (sprich alle Userordner) befinden sich darunter.
Grüße
Dani
eigentlich ganz simpel. *g*
Du gehst in die Eigenschaften des Ordner gehen und dort einfach die Gruppe "Administratoren" hinzufügen. Die restlichen Benutzer einfachlöschen. Danch solltest du noch auf "Erweitert" klicken und dort angeben:" Er soll nach unten vererben!". Somit gilt das für alle Unterordner.
Du kannst das aber auch gleich über das Übergeordete Verzeichnis machen (sprich alle Userordner) befinden sich darunter.
Grüße
Dani
Hallo JimK,
wie Dani geschrieben hat, würde ich in den übergeordneten Ordner gehen, den in dem alle Profile liegen. Dort in den Eigensschften des Ordns auf Sicherheitseinstellungen -> Erweitert, dann auf den Karteireiter Besitzer wechseln. Oben wird der aktuelle Besitzer angezeigt und darunter die Benutzer auf die du wechseln kannst. Unten links gibt es den Haken um die Einstellungen für die Unterobjekte zu übernehmen.
Nachdem du dich zum Besitzer gemacht hast, kannst du auch die Sicherheitseinstellungen ändern.
Ich würde das aber vorher testen.
Ich habe bei uns auch keinen Zugriff auf die Benutzerprofile und musste dies bisher nur bei einzelnen Benutzern tun.
Dreadnik
wie Dani geschrieben hat, würde ich in den übergeordneten Ordner gehen, den in dem alle Profile liegen. Dort in den Eigensschften des Ordns auf Sicherheitseinstellungen -> Erweitert, dann auf den Karteireiter Besitzer wechseln. Oben wird der aktuelle Besitzer angezeigt und darunter die Benutzer auf die du wechseln kannst. Unten links gibt es den Haken um die Einstellungen für die Unterobjekte zu übernehmen.
Nachdem du dich zum Besitzer gemacht hast, kannst du auch die Sicherheitseinstellungen ändern.
Ich würde das aber vorher testen.
Ich habe bei uns auch keinen Zugriff auf die Benutzerprofile und musste dies bisher nur bei einzelnen Benutzern tun.
Dreadnik
mal ne Frage, warum musst du an die Profile der User? Maximal doch nur der Sicherungsadministrator, oder?
Hallo JimK,
standardmäßig verhält sich Windows so, das ausschließlich der Benutzer und System Zugriff auf das Profil hat. Hat ja auch seinen Sinn.
Für Umgebungen in denen auch Administratoren Zugriff haben sollen, gibt es eine Richtlinie.
Click through: Comp.konfig. > Adm. Vorlagen > System > Benutzerprofile > Sicherheitsgruppe "Administratoren" ... hinzufügen
Die Kruz an der Sache; das wirkt nur für zukünftig erstelle Profile, deine bereits bestehenden 800 Profile musst du manuell anpassen
Das mit dem durchvererben wird so einfach auch nicht gehen, da standardmäßig der Admin (und jeder andere natürlich auch) nicht mal die Rechte sehen kann.
Es muss also zuerst der Besitz übernommen werden bevor die Rechte angepasst werden können.
Ggfs. kannst du das auch mit xcacls machen, würd ich aber nur nach seeehr ausführlichen Tests.
Könnte dann skizzenhaft so aussehen:
xcacls filename /T /E /C /G Administrator:O;O
xcacls filename /T /E /C /G Administrator:F;F
Wie gesagt, ohne Gewähr und vorher ausgiebig testen.
HTH,
gemini
standardmäßig verhält sich Windows so, das ausschließlich der Benutzer und System Zugriff auf das Profil hat. Hat ja auch seinen Sinn.
Für Umgebungen in denen auch Administratoren Zugriff haben sollen, gibt es eine Richtlinie.
Click through: Comp.konfig. > Adm. Vorlagen > System > Benutzerprofile > Sicherheitsgruppe "Administratoren" ... hinzufügen
Die Kruz an der Sache; das wirkt nur für zukünftig erstelle Profile, deine bereits bestehenden 800 Profile musst du manuell anpassen
Das mit dem durchvererben wird so einfach auch nicht gehen, da standardmäßig der Admin (und jeder andere natürlich auch) nicht mal die Rechte sehen kann.
Es muss also zuerst der Besitz übernommen werden bevor die Rechte angepasst werden können.
Ggfs. kannst du das auch mit xcacls machen, würd ich aber nur nach seeehr ausführlichen Tests.
Könnte dann skizzenhaft so aussehen:
xcacls filename /T /E /C /G Administrator:O;O
xcacls filename /T /E /C /G Administrator:F;F
Wie gesagt, ohne Gewähr und vorher ausgiebig testen.
HTH,
gemini
Hallo Gemini,
du hast die 'fast' vollständige Lösung... Fehlt noch der Hinweis, das standardmäßig geprüft wird, ob der User auch Besitzer ist. Also mußt du, nachdem du den Besitz übernommen und die Rechte gesetzt hast, den Besitzer wieder zurück stellen. Alternativ kannst du über GPO einstellen, daß der Besitzer eines Profiles nicht geprüft wird.
Grüße, Steffen
du hast die 'fast' vollständige Lösung... Fehlt noch der Hinweis, das standardmäßig geprüft wird, ob der User auch Besitzer ist. Also mußt du, nachdem du den Besitz übernommen und die Rechte gesetzt hast, den Besitzer wieder zurück stellen. Alternativ kannst du über GPO einstellen, daß der Besitzer eines Profiles nicht geprüft wird.
Grüße, Steffen
@ smerlin
Hast natürlich Recht Steffen,
dann noch eine Zeile mehr
xcacls filename /T /E /C /G Administrator:O;O
xcacls filename /T /E /C /G Administrator:F;F
xcacls filename /T /E /C /G DerJeweiligeBenutzer:O;O
Jetzt muss er es aber in ein Script einbauen, sonst artet es in Arbeit aus
Schönen Abend noch...
gemini
du hast die 'fast' vollständige Lösung... Fehlt noch der Hinweis, das standardmäßig geprüft wird, ob der User auch Besitzer ist. Also mußt du, nachdem du den Besitz übernommen und die Rechte gesetzt hast, den Besitzer wieder zurück stellen. Alternativ kannst du über GPO einstellen, daß der Besitzer eines Profiles nicht geprüft wird.
Hast natürlich Recht Steffen,
dann noch eine Zeile mehr
xcacls filename /T /E /C /G Administrator:O;O
xcacls filename /T /E /C /G Administrator:F;F
xcacls filename /T /E /C /G DerJeweiligeBenutzer:O;O
Jetzt muss er es aber in ein Script einbauen, sonst artet es in Arbeit aus
Schönen Abend noch...
gemini
Hallo Gemini,
noch eine Anmerkung, die Vererbung wird für den Profile-Ordner per Standard unterbrochen.
Steffen
noch eine Anmerkung, die Vererbung wird für den Profile-Ordner per Standard unterbrochen.
Steffen