28
Roaming Profile - Admin Zugriff
Hallo zusammen.
Ich habe einen Win Server 2019 als Domain Controler.
Benutzer habe ich hinzugefügt.
Auf Laufwerk E:\ habe ich die Home-Folder erstellt - funktioniert Problemlos.
Auf Laufwerk F:\ habe ich einen Ordner Profile erstellt wo dann die Roaming Profile gespeichert werden sollen.
Soweit funktioniert auch alles wie es soll. Sobald sich ein Benutzer das erste Mal anmeldet, sehe ich den neu erstellten Profile Ordner auf F:\
Jetzt kommt aber das Problem: ich kann als Admin, angemeldet direkt auf dem Domain Controler
- nicht auf den Profile Ordner zugreifen (keine Berechtigung)
- keinen Profile Ordner löschen, wenn mal ein Benutzer entfernt wurde.
Ich habe versucht die Group Policy zu ändern unter:
Computer Configuration > Policies > Administrative Templates > System > User Profiles und hier “Add the Administrator security group to roaming users profiles” aktiviert. Funktioniert trotzdem nicht.
Kann mir bitte jemand helfen. Was mache ich falsch?
Vielen Dank.
Viele Grüße
Tom
Ich habe einen Win Server 2019 als Domain Controler.
Benutzer habe ich hinzugefügt.
Auf Laufwerk E:\ habe ich die Home-Folder erstellt - funktioniert Problemlos.
Auf Laufwerk F:\ habe ich einen Ordner Profile erstellt wo dann die Roaming Profile gespeichert werden sollen.
Soweit funktioniert auch alles wie es soll. Sobald sich ein Benutzer das erste Mal anmeldet, sehe ich den neu erstellten Profile Ordner auf F:\
Jetzt kommt aber das Problem: ich kann als Admin, angemeldet direkt auf dem Domain Controler
- nicht auf den Profile Ordner zugreifen (keine Berechtigung)
- keinen Profile Ordner löschen, wenn mal ein Benutzer entfernt wurde.
Ich habe versucht die Group Policy zu ändern unter:
Computer Configuration > Policies > Administrative Templates > System > User Profiles und hier “Add the Administrator security group to roaming users profiles” aktiviert. Funktioniert trotzdem nicht.
Kann mir bitte jemand helfen. Was mache ich falsch?
Vielen Dank.
Viele Grüße
Tom
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 62622611512
Url: https://administrator.de/contentid/62622611512
Printed on: May 5, 2024 at 20:05 o'clock
28 Comments
Latest comment
Wenn der User ausgeschieden ist, kannst Du den Besitz fuer den Ordner uebernehmen und das Profil loeschen.
Moin,
Works as designed.
Bei bestehenden Usern: Finger weg von den Rechten. Macht nur Ärger. Da sollte man nur die Ordner öffnen, wenn es wirklich notwendig ist.
Bei ausgeschiedenen Usern:
1. Besitz übernehmen.
2. Rechte sich beschaffen.
Danach kann man die dann öffnen oder auch löschen.
Doch, das funktioniert. Allerdings nur bei zukünftigen Usern. Bei bestehenden Usern ändert die Richtlinie nichts.
Nichts. Wie gesagt: Works as designed.
Liebe Grüße
Erik
Zitat von @tom990:
Jetzt kommt aber das Problem: ich kann als Admin, angemeldet direkt auf dem Domain Controler
- nicht auf den Profile Ordner zugreifen (keine Berechtigung)
- keinen Profile Ordner löschen, wenn mal ein Benutzer entfernt wurde.
Jetzt kommt aber das Problem: ich kann als Admin, angemeldet direkt auf dem Domain Controler
- nicht auf den Profile Ordner zugreifen (keine Berechtigung)
- keinen Profile Ordner löschen, wenn mal ein Benutzer entfernt wurde.
Works as designed.
Bei bestehenden Usern: Finger weg von den Rechten. Macht nur Ärger. Da sollte man nur die Ordner öffnen, wenn es wirklich notwendig ist.
Bei ausgeschiedenen Usern:
1. Besitz übernehmen.
2. Rechte sich beschaffen.
Danach kann man die dann öffnen oder auch löschen.
Ich habe versucht die Group Policy zu ändern unter:
Computer Configuration > Policies > Administrative Templates > System > User Profiles und hier “Add the Administrator security group to roaming users profiles” aktiviert. Funktioniert trotzdem nicht.
Computer Configuration > Policies > Administrative Templates > System > User Profiles und hier “Add the Administrator security group to roaming users profiles” aktiviert. Funktioniert trotzdem nicht.
Doch, das funktioniert. Allerdings nur bei zukünftigen Usern. Bei bestehenden Usern ändert die Richtlinie nichts.
Kann mir bitte jemand helfen. Was mache ich falsch?
Nichts. Wie gesagt: Works as designed.
Liebe Grüße
Erik
Moin @tom990m
probiere mal folgenden Trick.
Zuerst CMD als Administrator starten ...
... dann in dieser einfach "explorer" eintippseln und Enter drücken.
Danach sollte sich ein neues Windows-Dateiexplorer Fenster öffnen.
Versuche mal über dieses auf die Profile zuzugreifen. ๐
Diese GPO sollte aber nicht auf dem DC gesetzt werden, sondern auf den Rechnern/Servern, auf denen das Profil generiert, sprich zum ersten Mal erstellt wird.
Gruss Alex
Jetzt kommt aber das Problem: ich kann als Admin, angemeldet direkt auf dem Domain Controler
- nicht auf den Profile Ordner zugreifen (keine Berechtigung)
- keinen Profile Ordner löschen, wenn mal ein Benutzer entfernt wurde.
- nicht auf den Profile Ordner zugreifen (keine Berechtigung)
- keinen Profile Ordner löschen, wenn mal ein Benutzer entfernt wurde.
probiere mal folgenden Trick.
Zuerst CMD als Administrator starten ...
... dann in dieser einfach "explorer" eintippseln und Enter drücken.
Danach sollte sich ein neues Windows-Dateiexplorer Fenster öffnen.
Versuche mal über dieses auf die Profile zuzugreifen. ๐
Ich habe versucht die Group Policy zu ändern unter:
Computer Configuration > Policies > Administrative Templates > System > User Profiles und hier “Add the Administrator security group to roaming users profiles” aktiviert. Funktioniert trotzdem nicht.
Computer Configuration > Policies > Administrative Templates > System > User Profiles und hier “Add the Administrator security group to roaming users profiles” aktiviert. Funktioniert trotzdem nicht.
Diese GPO sollte aber nicht auf dem DC gesetzt werden, sondern auf den Rechnern/Servern, auf denen das Profil generiert, sprich zum ersten Mal erstellt wird.
Gruss Alex
Hi..
Wie obere schon sagten.. alles ok...
Bei "ausgeschiedenen" solltest Du so an die Daten kommen - eigentlich haben die aber auch Ihren Serverspeicherplatz gehabt, dort aber nie Ihre Daten abgelegt (Dieses Problem ist weit bekannt). und des weiteren haben wir hier die DGSVO an welche sich aber auch nicht einmal unsere Behörden halten ;(
@all
Mich würde Interessieren wie es die Admins hier in groesseren Konzernen handhaben ??
Was sagt denn da der Datenschutzbeauftragte dazu?
Wer darf abgelegte Daten eines ausgeschiedenen Benutzers welcher die Daten lokal abgelegt hat einsehen? Was passiert mit dem eMail-Account? Der Nachfolger muss Kenntnis über vorhergehende Abläufe mit den Kunden einsehen?
Gruss Globe!
Wie obere schon sagten.. alles ok...
Bei "ausgeschiedenen" solltest Du so an die Daten kommen - eigentlich haben die aber auch Ihren Serverspeicherplatz gehabt, dort aber nie Ihre Daten abgelegt (Dieses Problem ist weit bekannt). und des weiteren haben wir hier die DGSVO an welche sich aber auch nicht einmal unsere Behörden halten ;(
Doch, das funktioniert. Allerdings nur bei zukünftigen Usern. Bei bestehenden Usern ändert die Richtlinie nichts.
Eigentlich darfst Du das gar nicht - wenn man es genau nimmt... Man kann diese Angelegenheit wirklich auf die Spitze treiben...@all
Mich würde Interessieren wie es die Admins hier in groesseren Konzernen handhaben ??
Was sagt denn da der Datenschutzbeauftragte dazu?
Wer darf abgelegte Daten eines ausgeschiedenen Benutzers welcher die Daten lokal abgelegt hat einsehen? Was passiert mit dem eMail-Account? Der Nachfolger muss Kenntnis über vorhergehende Abläufe mit den Kunden einsehen?
Gruss Globe!
Moin @Globetrotter,
mir als Admin ... hoffentlich nichts ... sonst bekommt er sofort DSGVO Art 32 Abs. 1.b & 1.c & 1.d & 2 um die Ohren gehauen. ๐คช
Kleiner Tipp, ohne einen Benutzer zu kennen, der die entsprechenden Daten lesen und oder schreiben kann, ist das für einen Admin schwer zu bewerkstelligen/sicherzustellen. ๐
Gruss Alex
@all
Was sagt denn da der Datenschutzbeauftragte dazu?
Was sagt denn da der Datenschutzbeauftragte dazu?
mir als Admin ... hoffentlich nichts ... sonst bekommt er sofort DSGVO Art 32 Abs. 1.b & 1.c & 1.d & 2 um die Ohren gehauen. ๐คช
Kleiner Tipp, ohne einen Benutzer zu kennen, der die entsprechenden Daten lesen und oder schreiben kann, ist das für einen Admin schwer zu bewerkstelligen/sicherzustellen. ๐
Gruss Alex
Zitat von @Globetrotter:
@all
Mich würde Interessieren wie es die Admins hier in groesseren Konzernen handhaben ??
Was sagt denn da der Datenschutzbeauftragte dazu?
Wer darf abgelegte Daten eines ausgeschiedenen Benutzers welcher die Daten lokal abgelegt hat einsehen? Was passiert mit dem eMail-Account? Der Nachfolger muss Kenntnis über vorhergehende Abläufe mit den Kunden einsehen?
Gruss Globe!
Mich würde Interessieren wie es die Admins hier in groesseren Konzernen handhaben ??
Was sagt denn da der Datenschutzbeauftragte dazu?
Wer darf abgelegte Daten eines ausgeschiedenen Benutzers welcher die Daten lokal abgelegt hat einsehen? Was passiert mit dem eMail-Account? Der Nachfolger muss Kenntnis über vorhergehende Abläufe mit den Kunden einsehen?
Gruss Globe!
Also bei mir in der Firma ist dieses Thema mit den IT Richtlinien die jeder Mitarbeiter bei Dienstantritt bekommt, klar geregelt.
Der PC gehört der Firma. Alles auf dem PC gehört der Firma. Wenn man private Daten auf dem PC hat, (sollte man aber nicht, der PC darf nicht für private Zwecke verwendet werden) müssen diese deutlich mit dem Wort "privat" gekennzeichnet sein, bzw. ein Ordner "privat" und dort die Daten dann abgespeichert.
Wenn ein Mitarbeiter das Unternehmen verlässt, wird die ganze Festplatte gelöscht (wipe) und das Betriebssystem neu aufgesetzt.
Der PC gehört der Firma. Alles auf dem PC gehört der Firma. Wenn man private Daten auf dem PC hat, (sollte man aber nicht, der PC darf nicht für private Zwecke verwendet werden) müssen diese deutlich mit dem Wort "privat" gekennzeichnet sein, bzw. ein Ordner "privat" und dort die Daten dann abgespeichert.
????
Rechtssicher ist das aber garantiert NICHT!
Sorry.. habe keine Ahnung davon..(rechtliches)... aber pauschalisieren lässt sich das so sicherlich nicht.
Das ist ebenso gemeint wie das archivieren von Mails und deren privaten Eigentums...
Wir archivieren. alle.. seit 10 Jahren... für 10 Jahre....ob das rechtens ist ???
Grus Globe!
Moin,
Wie kommst Du denn darauf? Das sind firmeneigene Daten, auf die die Firma Zugriff haben darf/muss.
Entweder steht das in der BV oder im Arbeitsvertrag, private Nutzung verboten ist und aus die Maus.
Liebe Grüße
Erik
Zitat von @Globetrotter:
Doch, das funktioniert. Allerdings nur bei zukünftigen Usern. Bei bestehenden Usern ändert die Richtlinie nichts.
Eigentlich darfst Du das gar nicht - wenn man es genau nimmt... Man kann diese Angelegenheit wirklich auf die Spitze treiben...Wie kommst Du denn darauf? Das sind firmeneigene Daten, auf die die Firma Zugriff haben darf/muss.
@all
Mich würde Interessieren wie es die Admins hier in groesseren Konzernen handhaben ??
Was sagt denn da der Datenschutzbeauftragte dazu?
Wer darf abgelegte Daten eines ausgeschiedenen Benutzers welcher die Daten lokal abgelegt hat einsehen? Was passiert mit dem eMail-Account? Der Nachfolger muss Kenntnis über vorhergehende Abläufe mit den Kunden einsehen?
Mich würde Interessieren wie es die Admins hier in groesseren Konzernen handhaben ??
Was sagt denn da der Datenschutzbeauftragte dazu?
Wer darf abgelegte Daten eines ausgeschiedenen Benutzers welcher die Daten lokal abgelegt hat einsehen? Was passiert mit dem eMail-Account? Der Nachfolger muss Kenntnis über vorhergehende Abläufe mit den Kunden einsehen?
Entweder steht das in der BV oder im Arbeitsvertrag, private Nutzung verboten ist und aus die Maus.
Liebe Grüße
Erik
1Zitat von @Globetrotter:
Wir archivieren. alle.. seit 10 Jahren... für 10 Jahre....ob das rechtens ist ???
Das ist nicht nur rechtens, sondern Vorschrift. Alle Daten der Buchhaltung müssen zehn und alle anderen Geschäftsdaten müssen sechs Jahre lang aufbewahrt werden.
1Zitat von @MysticFoxDE:
Moin @tom990m
probiere mal folgenden Trick.
Zuerst CMD als Administrator starten ...
... dann in dieser einfach "explorer" eintippseln und Enter drücken.
Danach sollte sich ein neues Windows-Dateiexplorer Fenster öffnen.
Versuche mal über dieses auf die Profile zuzugreifen. ๐
Diese GPO sollte aber nicht auf dem DC gesetzt werden, sondern auf den Rechnern/Servern, auf denen das Profil generiert, sprich zum ersten Mal erstellt wird.
Gruss Alex
Moin @tom990m
Jetzt kommt aber das Problem: ich kann als Admin, angemeldet direkt auf dem Domain Controler
- nicht auf den Profile Ordner zugreifen (keine Berechtigung)
- keinen Profile Ordner löschen, wenn mal ein Benutzer entfernt wurde.
- nicht auf den Profile Ordner zugreifen (keine Berechtigung)
- keinen Profile Ordner löschen, wenn mal ein Benutzer entfernt wurde.
probiere mal folgenden Trick.
Zuerst CMD als Administrator starten ...
... dann in dieser einfach "explorer" eintippseln und Enter drücken.
Danach sollte sich ein neues Windows-Dateiexplorer Fenster öffnen.
Versuche mal über dieses auf die Profile zuzugreifen. ๐
Ich habe versucht die Group Policy zu ändern unter:
Computer Configuration > Policies > Administrative Templates > System > User Profiles und hier “Add the Administrator security group to roaming users profiles” aktiviert. Funktioniert trotzdem nicht.
Computer Configuration > Policies > Administrative Templates > System > User Profiles und hier “Add the Administrator security group to roaming users profiles” aktiviert. Funktioniert trotzdem nicht.
Diese GPO sollte aber nicht auf dem DC gesetzt werden, sondern auf den Rechnern/Servern, auf denen das Profil generiert, sprich zum ersten Mal erstellt wird.
Gruss Alex
Hallo Alex,
habe es mti cmd und explorer ausprobiert. Funktioniert leider nicht. Bekomme die gleiche Meldung wie vorher.
Zitat von @tom990:
habe es mti cmd und explorer ausprobiert. Funktioniert leider nicht. Bekomme die gleiche Meldung wie vorher.
Das hat ja auch noch nie so funktioniert. Der Explorer wird immer im Userkontext gestartet, auch dann, wenn ich ihn von einem evaluated prompt aus starte.
ALo zu deinem Fehler:
Works as designd.
Mit der GPO bist du auf dem richtigen weg aber nur bei neuen Benutzern.
Kleiner Tipp: Lass die Rechte wie sie sind. Wenn es nicht sein muss nichts ändern. Wenn ein User
das Unternehmen verlässt dann entspr. Besitz übernehmen.
Eventuell kann das mit dem lokalem Admin funktionieren aber nicht wenn der Server ein DC ist denn
da gibt es keine Lokalen Benutzer mehr.
Wie machen wir das in großen Firmen ?
Also bei uns haben die Benutzer alle eine Nummer in Form von X/S/O/A plus 6. Zahl ( Bsp. X250447 ).
Entsprechend heißen dann auch die Ordner. Somit ist es schon mal nicht so einfach festzustellen wem welcher Ordner gehört. Für uns Admin ist das aber kein Problem denn der SAM Account Name ist ja die o.g. Nummer bzw. auch noch mal als extra Variable im AD Schema hinterlegt. Ein Fremder hat da aber schon mal seine Probleme.
Wir fassen die Ordner aber so gut wie nie an bzw. nur dann wenn es umbedingt sein muss.
Der Zugriff bzw. die Berechtigung wird über die GPO gesetzt. Der entsprechend berechtigte Benutzer hat ein Kennwort aus 18 Zeichen was geteilt ist ( 4 Augen Prinzip ) es werden immer 2 Admin benötigt um sich entsprechend anmelden zu können da Admin A Teil 1 vom Kennwort hat und Admin B hat dann den Rest.
Derzeit stellen wir hier auf Smartcard um. Da wird es dann so sein das ein mehrere Admins eine Untspr. Smartcard in Hardware haben werden und die anderen Admins dann entsprechend die PIN´s.
Die Schlüssel zum Administrieren der Smartcards sind im Safe bei der GL hinterlegt. Also wird ein Zurücksetzen oder entsperren der Smartcard sehr erschwert. Ja es gibt Möglichkeiten und Hintertürchen aber der Weg ist entsprechend kompliziert und es würde jemand etwas mitbekommen.
Die Accounts der GL und Co ( Führungsebene + HR + Finance + Controling ) wurden als erstes angemeldet und die GPO für den Admin Access war zu dieser Zeit deaktiviert. Würde also nur über Besitz übernehmen gehen und da würde unser SIEM ansprechend Meldung machen wenn hier Berechtigungen geändert werden da wir i.d.R alles über AD gruppen machen
Works as designd.
Mit der GPO bist du auf dem richtigen weg aber nur bei neuen Benutzern.
Kleiner Tipp: Lass die Rechte wie sie sind. Wenn es nicht sein muss nichts ändern. Wenn ein User
das Unternehmen verlässt dann entspr. Besitz übernehmen.
Eventuell kann das mit dem lokalem Admin funktionieren aber nicht wenn der Server ein DC ist denn
da gibt es keine Lokalen Benutzer mehr.
Wie machen wir das in großen Firmen ?
Also bei uns haben die Benutzer alle eine Nummer in Form von X/S/O/A plus 6. Zahl ( Bsp. X250447 ).
Entsprechend heißen dann auch die Ordner. Somit ist es schon mal nicht so einfach festzustellen wem welcher Ordner gehört. Für uns Admin ist das aber kein Problem denn der SAM Account Name ist ja die o.g. Nummer bzw. auch noch mal als extra Variable im AD Schema hinterlegt. Ein Fremder hat da aber schon mal seine Probleme.
Wir fassen die Ordner aber so gut wie nie an bzw. nur dann wenn es umbedingt sein muss.
Der Zugriff bzw. die Berechtigung wird über die GPO gesetzt. Der entsprechend berechtigte Benutzer hat ein Kennwort aus 18 Zeichen was geteilt ist ( 4 Augen Prinzip ) es werden immer 2 Admin benötigt um sich entsprechend anmelden zu können da Admin A Teil 1 vom Kennwort hat und Admin B hat dann den Rest.
Derzeit stellen wir hier auf Smartcard um. Da wird es dann so sein das ein mehrere Admins eine Untspr. Smartcard in Hardware haben werden und die anderen Admins dann entsprechend die PIN´s.
Die Schlüssel zum Administrieren der Smartcards sind im Safe bei der GL hinterlegt. Also wird ein Zurücksetzen oder entsperren der Smartcard sehr erschwert. Ja es gibt Möglichkeiten und Hintertürchen aber der Weg ist entsprechend kompliziert und es würde jemand etwas mitbekommen.
Die Accounts der GL und Co ( Führungsebene + HR + Finance + Controling ) wurden als erstes angemeldet und die GPO für den Admin Access war zu dieser Zeit deaktiviert. Würde also nur über Besitz übernehmen gehen und da würde unser SIEM ansprechend Meldung machen wenn hier Berechtigungen geändert werden da wir i.d.R alles über AD gruppen machen
Zitat von @erikro:
Das hat ja auch noch nie so funktioniert. Der Explorer wird immer im Userkontext gestartet, auch dann, wenn ich ihn von einem evaluated prompt aus starte.
Zitat von @tom990:
habe es mti cmd und explorer ausprobiert. Funktioniert leider nicht. Bekomme die gleiche Meldung wie vorher.
Das hat ja auch noch nie so funktioniert. Der Explorer wird immer im Userkontext gestartet, auch dann, wenn ich ihn von einem evaluated prompt aus starte.
Das klappt sowieso auf einem DC nur begrenzt da es hier keinen lokalen Admin gibt.
Wäre es ein Fileserver so würde es einen lokalen Admin geben ( der Default Admin )
es scheint als ob ich eine Lösung gefunden habe:
ich habe auf dem DC eine GPO bei der OU Computers angelegt und dort die Option “Add the Administrator security group to roaming users profiles” aktiviert.
Jetzt habe ich Zugriff auf alle Profile Ordner.
ich habe auf dem DC eine GPO bei der OU Computers angelegt und dort die Option “Add the Administrator security group to roaming users profiles” aktiviert.
Jetzt habe ich Zugriff auf alle Profile Ordner.
Moin @tom990,
dann war die entsprechende GPO auf den Rechner wo das Profil zum ersten Mal generiert wurde, noch nicht aktiv.
Im Nachgang kann man das nur mit etwas Handarbeit beheben.
Sprich, zuerst den Besitz als Admin krallen, dann die Berechtigungen von Hand um die Administratoren Gruppe erweitern und anschliessend Besitz wieder auf den User übertragen.
Gruss Alex
Hallo Alex,
habe es mti cmd und explorer ausprobiert. Funktioniert leider nicht. Bekomme die gleiche Meldung wie vorher.
habe es mti cmd und explorer ausprobiert. Funktioniert leider nicht. Bekomme die gleiche Meldung wie vorher.
dann war die entsprechende GPO auf den Rechner wo das Profil zum ersten Mal generiert wurde, noch nicht aktiv.
Im Nachgang kann man das nur mit etwas Handarbeit beheben.
Sprich, zuerst den Besitz als Admin krallen, dann die Berechtigungen von Hand um die Administratoren Gruppe erweitern und anschliessend Besitz wieder auf den User übertragen.
Gruss Alex
Moin @tom990,
๐ฏ ... jetzt bin ich maximal verwirrt. ๐
Wie klappt den dieser Zauber?
Diese GPO greift normalerweise nur beim erstellen des Profils, aber nicht im Nachgang.
Gruss Alex
ich habe auf dem DC eine GPO bei der OU Computers angelegt und dort die Option “Add the Administrator security group to roaming users profiles” aktiviert.
Jetzt habe ich Zugriff auf alle Profile Ordner.
Jetzt habe ich Zugriff auf alle Profile Ordner.
๐ฏ ... jetzt bin ich maximal verwirrt. ๐
Wie klappt den dieser Zauber?
Diese GPO greift normalerweise nur beim erstellen des Profils, aber nicht im Nachgang.
Gruss Alex
Zitat von @MysticFoxDE:
Moin @tom990,
๐ฏ ... jetzt bin ich maximal verwirrt. ๐
Wie klappt den dieser Zauber?
Diese GPO greift normalerweise nur beim erstellen des Profils, aber nicht im Nachgang.
Gruss Alex
Moin @tom990,
ich habe auf dem DC eine GPO bei der OU Computers angelegt und dort die Option “Add the Administrator security group to roaming users profiles” aktiviert.
Jetzt habe ich Zugriff auf alle Profile Ordner.
Jetzt habe ich Zugriff auf alle Profile Ordner.
๐ฏ ... jetzt bin ich maximal verwirrt. ๐
Wie klappt den dieser Zauber?
Diese GPO greift normalerweise nur beim erstellen des Profils, aber nicht im Nachgang.
Gruss Alex
Vielleicht hätte ich dieses eine kleine Detail dazu schreiben sollen
- ich bin noch am Testen vom ganzen. Das ist ein neuer DC den ich vorbereite und ich probiere/teste alles aus. Deswegen. Es gibt noch keine aktiven Benutzer, die schon mal angemeldet waren bzw. ein Profil haben. Das kommt erst.
Moin @tom990,
das mit dem im Vorfeld gut durchtesten, finde ich super. ๐๐๐
Das mit der Infor darüber, hättest du uns aber auch etwas früher schreiben können. ๐
Gruss Alex
Vielleicht hätte ich dieses eine kleine Detail dazu schreiben sollen - ich bin noch am Testen vom ganzen. Das ist ein neuer DC den ich vorbereite und ich probiere/teste alles aus. Deswegen. Es gibt noch keine aktiven Benutzer, die schon mal angemeldet waren bzw. ein Profil haben. Das kommt erst.
- ich bin noch am Testen vom ganzen. Das ist ein neuer DC den ich vorbereite und ich probiere/teste alles aus. Deswegen. Es gibt noch keine aktiven Benutzer, die schon mal angemeldet waren bzw. ein Profil haben. Das kommt erst.das mit dem im Vorfeld gut durchtesten, finde ich super. ๐๐๐
Das mit der Infor darüber, hättest du uns aber auch etwas früher schreiben können. ๐
Gruss Alex
Mal eine andere Frage bezüglich Roaming Profile - ist es unbedingt notwendig eine Security Group zu erstellen und da dann die Benutzer hinzufügen, wenn man Roaming Profile erstellen will?
Ich habe einfach eine share "Profile" auf einer separaten Festplatte erstellt, und dann bei allen Benutzern den Profile Path auf dieses Share gegeben. Funktioniert alles.
Viele Grüße
Tom
Ich habe einfach eine share "Profile" auf einer separaten Festplatte erstellt, und dann bei allen Benutzern den Profile Path auf dieses Share gegeben. Funktioniert alles.
Viele Grüße
Tom
Ist halt einfacher hinterher neue Admins hinzuzufügen
@all
Anscheinend habe ich ne "Welle" ausgelöst - dies wollte ich eigentlich auch...
Leute - Mal im Ernst - das was wir als Admins machmal machen ist sehr "regelunkonform"
Gerade in Sachen "eMails" und "User-Folders" bin ich gegenüber der GL ein ernstzunehmender Admin. Wenn die wollen - freigeben per Unterschrift..
Gruss Globe
PS. Archivieren tu ich alles - ist ja "Muss"...
Anscheinend habe ich ne "Welle" ausgelöst - dies wollte ich eigentlich auch...
Leute - Mal im Ernst - das was wir als Admins machmal machen ist sehr "regelunkonform"
Gerade in Sachen "eMails" und "User-Folders" bin ich gegenüber der GL ein ernstzunehmender Admin. Wenn die wollen - freigeben per Unterschrift..
Gruss Globe
PS. Archivieren tu ich alles - ist ja "Muss"...
Moin @Globetrotter,
๐ฎ … wie du hast die Büchse der Pandora hier im Admin Forum auch noch mit Absicht geöffnet, sprich die DSGVO bewusst angesprochen … arme Pandora, dir ist aber schon bewusst, dass ihr das hier nicht wirklich gut tut. ๐คช
Und was genau soll das denn sein?
Nö, so einfach kommen die bei mir nicht davon.
Respektive doch, wenn es eine rechtgültige Regelung gibt, die den Usern das Nutzen der geschäftlichen IT-Umgebung, nur für betriebliche Zwecke erlaubt und alles andere aussliesst, dann schon.
Bei allem anderen, verweise ich sehr freundlich auf eine vorherige Abstimmung mit dem Betriebsrat und oder einem Fachanwalt und zwar nicht um die GL zu ärgern, sondern eher um diese vor sich selbst zu schützen. Den am Ende des Tages, kann sich die GL mit rechtswidrig erlangter Information, meistens nur selbst kräftigst ins eigene Knie schiessen.
Gruss Alex
Anscheinend habe ich ne "Welle" ausgelöst - dies wollte ich eigentlich auch...
๐ฎ … wie du hast die Büchse der Pandora hier im Admin Forum auch noch mit Absicht geöffnet, sprich die DSGVO bewusst angesprochen … arme Pandora, dir ist aber schon bewusst, dass ihr das hier nicht wirklich gut tut. ๐คช
Leute - Mal im Ernst - das was wir als Admins machmal machen ist sehr "regelunkonform"
Und was genau soll das denn sein?
Gerade in Sachen "eMails" und "User-Folders" bin ich gegenüber der GL ein ernstzunehmender Admin. Wenn die wollen - freigeben per Unterschrift..
Nö, so einfach kommen die bei mir nicht davon.
Respektive doch, wenn es eine rechtgültige Regelung gibt, die den Usern das Nutzen der geschäftlichen IT-Umgebung, nur für betriebliche Zwecke erlaubt und alles andere aussliesst, dann schon.
Bei allem anderen, verweise ich sehr freundlich auf eine vorherige Abstimmung mit dem Betriebsrat und oder einem Fachanwalt und zwar nicht um die GL zu ärgern, sondern eher um diese vor sich selbst zu schützen. Den am Ende des Tages, kann sich die GL mit rechtswidrig erlangter Information, meistens nur selbst kräftigst ins eigene Knie schiessen.
Gruss Alex
@MysticFoxDE
Recht haste da.. Wenn es die GL aber nicht hinbekomt es in den AV zu integrieren.. und Dir befiehlt... hole ich mir die Unterschrift..Meine Kniee sind mir wichtiger ls andere ;)
Alles in allem habt Ihr natürlich mehr oder minder "Recht"..
Gruss Globe!
Recht haste da.. Wenn es die GL aber nicht hinbekomt es in den AV zu integrieren.. und Dir befiehlt... hole ich mir die Unterschrift..Meine Kniee sind mir wichtiger ls andere ;)
Alles in allem habt Ihr natürlich mehr oder minder "Recht"..
Gruss Globe!
Moin @Globetrotter,
ist nicht schlimm, sowas kann die GL und dem/der entsprechendem/r (Ex)Mitarbeiter(in), mit einem einfachen Schreiben auch im Nachgang regeln. ๐
Wichtig ist nur, das die Erlaubnis desjenigen, vor dem Zugriff auf in diesem Fall definitiv seine/ihre Daten gegeben worden ist und nicht im Nachgang!
!No Way!
Ich erkläre in diesem Fall der GL, dass das was sie mir gerade befehlen möchten, schlichtweg eine Straftat ist und ich das als Externer und auch noch GL, ganz sicher nicht machen werde. ๐
Mach das in Zukunft bitte nicht, denn das was du da selbst machst, ist mindestens ein Verstoss gegen StGB §202a Ab. 1.
"Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft."
https://dejure.org/gesetze/StGB/202a.html
Sprich, das ist alles andere als ein Kavaliersdelikt!
Und dem Chef droht in diesem Fall gemäss StGB 26, genau dasselbe!
"Als Anstifter wird gleich einem Täter bestraft, wer vorsätzlich einen anderen zu dessen vorsätzlich begangener rechtswidriger Tat bestimmt hat."
https://dejure.org/gesetze/StGB/26.html
Gruss Alex
Wenn es die GL aber nicht hinbekomt es in den AV zu integrieren..
ist nicht schlimm, sowas kann die GL und dem/der entsprechendem/r (Ex)Mitarbeiter(in), mit einem einfachen Schreiben auch im Nachgang regeln. ๐
Wichtig ist nur, das die Erlaubnis desjenigen, vor dem Zugriff auf in diesem Fall definitiv seine/ihre Daten gegeben worden ist und nicht im Nachgang!
und Dir befiehlt...
!No Way!
Ich erkläre in diesem Fall der GL, dass das was sie mir gerade befehlen möchten, schlichtweg eine Straftat ist und ich das als Externer und auch noch GL, ganz sicher nicht machen werde. ๐
hole ich mir die Unterschrift..Meine Kniee sind mir wichtiger ls andere ;)
Mach das in Zukunft bitte nicht, denn das was du da selbst machst, ist mindestens ein Verstoss gegen StGB §202a Ab. 1.
"Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft."
https://dejure.org/gesetze/StGB/202a.html
Sprich, das ist alles andere als ein Kavaliersdelikt!
Und dem Chef droht in diesem Fall gemäss StGB 26, genau dasselbe!
"Als Anstifter wird gleich einem Täter bestraft, wer vorsätzlich einen anderen zu dessen vorsätzlich begangener rechtswidriger Tat bestimmt hat."
https://dejure.org/gesetze/StGB/26.html
Gruss Alex
Moin @Globetrotter,
um noch die Kurve zu dem ursprünglichen Thema des TO's vollends hinzubekommen würde ich gerne die folgende Geschichte loswerden.
Ich hatte vor Jahren ein längeres Gespräch mit einem Landesdatenschutzbeauftragtem, bei dem es um die Logs von FW's / Proxies ging. Zum Schluss hat der gute Mann mir das folgende um die Ohren geworfen.
"Herr Fuchs, wenn es um die Lösung eines Usersproblems geht, sprich dass dieser z.B. eine bestimmte Seite nicht erreichen kann, dann muss die FW und oder Proxy, ihnen selbstverständlich die Möglichkeit geben dieses Problem zu lösen, sprich, in diesem Fall ist eine Durchsicht der betreffenden Logs und auch deren Vorhandensein, vollkommen OK.
Wenn nun der Chef durch die Tür kommt und von ihnen wissen möchte, was ein bestimmter Mitarbeiter zu einer bestimmten Zeit alles getrieben hat, dann gibt es darauf nur eine mögliche Antwort und die heisst "darüber haben wir keine Logs"." ๐
Gruss Alex
um noch die Kurve zu dem ursprünglichen Thema des TO's vollends hinzubekommen würde ich gerne die folgende Geschichte loswerden.
Ich hatte vor Jahren ein längeres Gespräch mit einem Landesdatenschutzbeauftragtem, bei dem es um die Logs von FW's / Proxies ging. Zum Schluss hat der gute Mann mir das folgende um die Ohren geworfen.
"Herr Fuchs, wenn es um die Lösung eines Usersproblems geht, sprich dass dieser z.B. eine bestimmte Seite nicht erreichen kann, dann muss die FW und oder Proxy, ihnen selbstverständlich die Möglichkeit geben dieses Problem zu lösen, sprich, in diesem Fall ist eine Durchsicht der betreffenden Logs und auch deren Vorhandensein, vollkommen OK.
Wenn nun der Chef durch die Tür kommt und von ihnen wissen möchte, was ein bestimmter Mitarbeiter zu einer bestimmten Zeit alles getrieben hat, dann gibt es darauf nur eine mögliche Antwort und die heisst "darüber haben wir keine Logs"." ๐
Gruss Alex
@MysticFoxDE
Aha?... dann läuft das Ganze so wie beim Finanzamt - Wir haben keine Daten aber wenn Sie bei Ihrer Est nicht alles angeben, haben wir sie am "Wickel"...
Mal im Ernst - wie ich schon beschrieben hatte - die Ämter kümmern sich einen "Sche" darum was mit den Daten pasiert - Du bist der A und weißt nicht mal warum
Vielen Dank für Deine Hinweise!
Gruss Globe!
Aha?... dann läuft das Ganze so wie beim Finanzamt - Wir haben keine Daten aber wenn Sie bei Ihrer Est nicht alles angeben, haben wir sie am "Wickel"...
Mal im Ernst - wie ich schon beschrieben hatte - die Ämter kümmern sich einen "Sche" darum was mit den Daten pasiert - Du bist der A und weißt nicht mal warum
Vielen Dank für Deine Hinweise!
Gruss Globe!
Moin @Globetrotter,
ich muss dir bei dieser Aussage leider absolut zustimmen. ๐
Alleine schon wie die zum Teil sehr kritischen Daten unserer Kids, aber auch deren Eltern und auch der Lehrer in den entsprechenden Schulverwaltungssystemen geschützt werden, ist einfach nur zum Kotzen.
Bei den meisten Lösungen der Bundesländer, wird so gut wie alles einfach in Klartext in einer lokalen DB in der jeweiligen Schule abgelegt. ๐ญ๐คข๐คฎ
Gruss Alex
Mal im Ernst - wie ich schon beschrieben hatte - die Ämter kümmern sich einen "Sche" darum was mit den Daten pasiert - Du bist der A und weißt nicht mal warum
ich muss dir bei dieser Aussage leider absolut zustimmen. ๐
Alleine schon wie die zum Teil sehr kritischen Daten unserer Kids, aber auch deren Eltern und auch der Lehrer in den entsprechenden Schulverwaltungssystemen geschützt werden, ist einfach nur zum Kotzen.
Bei den meisten Lösungen der Bundesländer, wird so gut wie alles einfach in Klartext in einer lokalen DB in der jeweiligen Schule abgelegt. ๐ญ๐คข๐คฎ
Gruss Alex
Hallo.
Komische Situation - ich habe gestern mit einer kleinen Abteilung ein Probebetrieb gestartet. 3 Benutzer insgesamt.
Ich kann nur auf das Roaming Profil von Benutzer 2 zugreifen, auf 1 & 3 nicht - bekomme die Meldung das ich nicht die Berechtigungen habe.
Wenn ich jetzt einen der Profile-Ordner anklicke, wo ich keinen Zugriff habe, auf Security - Advanced klicke, steht unter Owner: Unable to display current owner. (Change Option)
Beim Profile Ordner, wo der Zugriff allerdings funktioniert, steht in diesem Fenster unter Owner der tatsächliche Benutzer vom Profile. Unten dann in der Tabelle gibt es neben dem Benutzer auch noch SYSTEM, CREATOR OWNER, Administrators (alle haben Full Control).
was könnte hier die Ursache des Problems sein?
Vielen Dank für eure Hilfe.
Viele Grüße
Tom
Komische Situation - ich habe gestern mit einer kleinen Abteilung ein Probebetrieb gestartet. 3 Benutzer insgesamt.
Ich kann nur auf das Roaming Profil von Benutzer 2 zugreifen, auf 1 & 3 nicht - bekomme die Meldung das ich nicht die Berechtigungen habe.
Wenn ich jetzt einen der Profile-Ordner anklicke, wo ich keinen Zugriff habe, auf Security - Advanced klicke, steht unter Owner: Unable to display current owner. (Change Option)
Beim Profile Ordner, wo der Zugriff allerdings funktioniert, steht in diesem Fenster unter Owner der tatsächliche Benutzer vom Profile. Unten dann in der Tabelle gibt es neben dem Benutzer auch noch SYSTEM, CREATOR OWNER, Administrators (alle haben Full Control).
was könnte hier die Ursache des Problems sein?
Vielen Dank für eure Hilfe.
Viele Grüße
Tom
