Server gespeichteres Profil legt sich mit total blöden Befugnissen an
Der serverseitige Ordner hat kein Adminzugriff.
Vorweg ich übe gerade den Umgang mit Servergespeicherten Profilen. Wär offen für gute Seiten oder PDFs zu dem Thema.
Bis auf ein blöd übersetztes Microsoft skript aber habe ich dazu nämlich wenig Infos gefunden.
Nun - meine User sind angelgt. User Gruppen sind gesetzt. Die Profile funktionieren auch (hin und Rückspielung).
ABER wenn ich als Admin drauf zugreifen will habe ich keine Befugisse.
Ich kann sie mir zwar geben - das is nicht das Problem. Ich steh voll auf Schlauch.
Gibt es den keinen Weg das so auf zu bauen:
\\server\benutzer\ %username% = Admins & User (später noch evtl. spezielle Sicherungs Operatoren )
user1 = Admins etz. soll vererbt werden & user1 soll für seinen Ordner zugriff haben.
user2 = Admins etz. soll vererbt werden ...
user3 = ..
user4 = ..
Es von Hand einzutragen wär Möglich - aber wie ich finde unnötig aufändig. Es muss doch ne Möglichkeit geben
in auf \\server\benutzer\ %username% so einzustellen zumindest alle "untergeordneten objekte" automatisch auch den
Domänen Admin als Besitzer aufweisen. ??
Oder wie wird sowas normalerweise gemacht???
Vorweg ich übe gerade den Umgang mit Servergespeicherten Profilen. Wär offen für gute Seiten oder PDFs zu dem Thema.
Bis auf ein blöd übersetztes Microsoft skript aber habe ich dazu nämlich wenig Infos gefunden.
Nun - meine User sind angelgt. User Gruppen sind gesetzt. Die Profile funktionieren auch (hin und Rückspielung).
ABER wenn ich als Admin drauf zugreifen will habe ich keine Befugisse.
Ich kann sie mir zwar geben - das is nicht das Problem. Ich steh voll auf Schlauch.
Gibt es den keinen Weg das so auf zu bauen:
\\server\benutzer\ %username% = Admins & User (später noch evtl. spezielle Sicherungs Operatoren )
user1 = Admins etz. soll vererbt werden & user1 soll für seinen Ordner zugriff haben.
user2 = Admins etz. soll vererbt werden ...
user3 = ..
user4 = ..
Es von Hand einzutragen wär Möglich - aber wie ich finde unnötig aufändig. Es muss doch ne Möglichkeit geben
in auf \\server\benutzer\ %username% so einzustellen zumindest alle "untergeordneten objekte" automatisch auch den
Domänen Admin als Besitzer aufweisen. ??
Oder wie wird sowas normalerweise gemacht???
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 119492
Url: https://administrator.de/forum/server-gespeichteres-profil-legt-sich-mit-total-bloeden-befugnissen-an-119492.html
Ausgedruckt am: 04.04.2025 um 19:04 Uhr
7 Kommentare
Neuester Kommentar
Zunächst: Hallo!
Was Du beschreibst, nämlich, dass der Admin nur eingeschränkte Rechte auf den Benutzerprofilen hat, ist Standard und sinnvoll. Warum möchtest Du das ändern?
Eines der Hauptrisiken unter Unix/Linux (ich bin sonst ein Linux-Freund!) ist ja gerade der root-User der alles darf und die meisten Sicherheitserweiterungen zielen u.a. darauf ab, das zu ändern. Insofern ist es sinnvoll, dass Windows hier restriktiver ist.
Was Du beschreibst, nämlich, dass der Admin nur eingeschränkte Rechte auf den Benutzerprofilen hat, ist Standard und sinnvoll. Warum möchtest Du das ändern?
Eines der Hauptrisiken unter Unix/Linux (ich bin sonst ein Linux-Freund!) ist ja gerade der root-User der alles darf und die meisten Sicherheitserweiterungen zielen u.a. darauf ab, das zu ändern. Insofern ist es sinnvoll, dass Windows hier restriktiver ist.
Es gibt eine Gruppenrichtlinie die du setzen kannst.
Ich weiß leider auswendig nicht genau wie sie heißt.
Dort kannst Du einstellen, daß der Admin Zugriff auf die Benutzerprofile haben soll.
(cave: Datenschutz und interne Richtlinien beachten)
Funktioniert aber nur dür Profile die nach dem Setzen der GP angelegt werden!
(War auch schon unter 2003 so)
Grüße, FFK
Ich weiß leider auswendig nicht genau wie sie heißt.
Dort kannst Du einstellen, daß der Admin Zugriff auf die Benutzerprofile haben soll.
(cave: Datenschutz und interne Richtlinien beachten)
Funktioniert aber nur dür Profile die nach dem Setzen der GP angelegt werden!
(War auch schon unter 2003 so)
Grüße, FFK
Hallo TechnoX,
wir hatten das selbe "Problem" bei uns in der Firma. Es ist normal, das der Administrator keine Rechte auf servergespeicherten Profilen bekommt. Hat unter anderem auch etwas mit Datenschutz zu tun. Auch wenn Du Admin bist und überall rankommst, darfst Du es unter Umständen gar nicht.
Wir haben über Gruppenrichtlinien die Adminrechte vergeben können. Das Zauberwort heißt:
"Fügt die Sicherheitsgruppe "Administratoren" zur Freigabe der servergespeicherten Benutzerprofile hinzu". Also einfach eine neue Richtlinie anlegen. Die Option ist unter "Computerkonfiguration->Administrative Vorlagen->System->Anmeldung" zu finden.
Vorsicht: für Profileordner die bereits existieren wird diese Richtlinie nicht übernommen.
Ich denke das ist das was Du gesucht hast.
MfG jaldy
wir hatten das selbe "Problem" bei uns in der Firma. Es ist normal, das der Administrator keine Rechte auf servergespeicherten Profilen bekommt. Hat unter anderem auch etwas mit Datenschutz zu tun. Auch wenn Du Admin bist und überall rankommst, darfst Du es unter Umständen gar nicht.
Wir haben über Gruppenrichtlinien die Adminrechte vergeben können. Das Zauberwort heißt:
"Fügt die Sicherheitsgruppe "Administratoren" zur Freigabe der servergespeicherten Benutzerprofile hinzu". Also einfach eine neue Richtlinie anlegen. Die Option ist unter "Computerkonfiguration->Administrative Vorlagen->System->Anmeldung" zu finden.
Vorsicht: für Profileordner die bereits existieren wird diese Richtlinie nicht übernommen.
Ich denke das ist das was Du gesucht hast.
MfG jaldy