Server gespeichteres Profil legt sich mit total blöden Befugnissen an
Der serverseitige Ordner hat kein Adminzugriff.
Vorweg ich übe gerade den Umgang mit Servergespeicherten Profilen. Wär offen für gute Seiten oder PDFs zu dem Thema.
Bis auf ein blöd übersetztes Microsoft skript aber habe ich dazu nämlich wenig Infos gefunden.
Nun - meine User sind angelgt. User Gruppen sind gesetzt. Die Profile funktionieren auch (hin und Rückspielung).
ABER wenn ich als Admin drauf zugreifen will habe ich keine Befugisse.
Ich kann sie mir zwar geben - das is nicht das Problem. Ich steh voll auf Schlauch.
Gibt es den keinen Weg das so auf zu bauen:
\\server\benutzer\ %username% = Admins & User (später noch evtl. spezielle Sicherungs Operatoren )
user1 = Admins etz. soll vererbt werden & user1 soll für seinen Ordner zugriff haben.
user2 = Admins etz. soll vererbt werden ...
user3 = ..
user4 = ..
Es von Hand einzutragen wär Möglich - aber wie ich finde unnötig aufändig. Es muss doch ne Möglichkeit geben
in auf \\server\benutzer\ %username% so einzustellen zumindest alle "untergeordneten objekte" automatisch auch den
Domänen Admin als Besitzer aufweisen. ??
Oder wie wird sowas normalerweise gemacht???
Vorweg ich übe gerade den Umgang mit Servergespeicherten Profilen. Wär offen für gute Seiten oder PDFs zu dem Thema.
Bis auf ein blöd übersetztes Microsoft skript aber habe ich dazu nämlich wenig Infos gefunden.
Nun - meine User sind angelgt. User Gruppen sind gesetzt. Die Profile funktionieren auch (hin und Rückspielung).
ABER wenn ich als Admin drauf zugreifen will habe ich keine Befugisse.
Ich kann sie mir zwar geben - das is nicht das Problem. Ich steh voll auf Schlauch.
Gibt es den keinen Weg das so auf zu bauen:
\\server\benutzer\ %username% = Admins & User (später noch evtl. spezielle Sicherungs Operatoren )
user1 = Admins etz. soll vererbt werden & user1 soll für seinen Ordner zugriff haben.
user2 = Admins etz. soll vererbt werden ...
user3 = ..
user4 = ..
Es von Hand einzutragen wär Möglich - aber wie ich finde unnötig aufändig. Es muss doch ne Möglichkeit geben
in auf \\server\benutzer\ %username% so einzustellen zumindest alle "untergeordneten objekte" automatisch auch den
Domänen Admin als Besitzer aufweisen. ??
Oder wie wird sowas normalerweise gemacht???
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 119492
Url: https://administrator.de/forum/server-gespeichteres-profil-legt-sich-mit-total-bloeden-befugnissen-an-119492.html
Ausgedruckt am: 29.04.2025 um 12:04 Uhr
7 Kommentare
Neuester Kommentar
Zunächst: Hallo!
Was Du beschreibst, nämlich, dass der Admin nur eingeschränkte Rechte auf den Benutzerprofilen hat, ist Standard und sinnvoll. Warum möchtest Du das ändern?
Eines der Hauptrisiken unter Unix/Linux (ich bin sonst ein Linux-Freund!) ist ja gerade der root-User der alles darf und die meisten Sicherheitserweiterungen zielen u.a. darauf ab, das zu ändern. Insofern ist es sinnvoll, dass Windows hier restriktiver ist.
Was Du beschreibst, nämlich, dass der Admin nur eingeschränkte Rechte auf den Benutzerprofilen hat, ist Standard und sinnvoll. Warum möchtest Du das ändern?
Eines der Hauptrisiken unter Unix/Linux (ich bin sonst ein Linux-Freund!) ist ja gerade der root-User der alles darf und die meisten Sicherheitserweiterungen zielen u.a. darauf ab, das zu ändern. Insofern ist es sinnvoll, dass Windows hier restriktiver ist.
Weil ich es schwachsinnig und absolut GEGEN die Verwaltung finde. Bsp. ich will nur mal "kurz" nachschauen von wann die ntuser.dat ist um zu erkennen das das Profil das letzte mal zum Zeitpunkt X zugegriffen wurde.
Sehe ich aha die datei is zb. von vor 3 Tagen.. der User arbeitet aber fröhlich weiter lässt sich auf ein Problem mit dem Abgleich zwischen Server & Client schließen.
Nur um ein Sinnvolles Beispiel zu nehnen... und da nur Admins & der User Zugriff haben in meinem Falle wäre der NTFS Zugriff für den User1 gewärleistet welcher ja notwenig ist um das Profil zu sichern.
Und als Admin hat man die möglichkeit die Profile ebenfalls zu "administrieren". Oder willst du mir verzählen das deine User alle so braf sind und sich an die Anweisung halten NICHT im Profil zu speichern? 90% speichern alles im Profil obwohl dafür die Server den Platz bieten.
Das Resultat - große Profile & hohe Netzlast beim an/abmelden.
Ich hab zwar schon versucht zu schulen - aber viele haben soviel Ahnung von computern das es gerade für word und surfen langt. Wenn ich als Admin etwas nicht darf heist das das ich meinen Job nicht ausführen kann. So seh ich das.
Sicherheit ist zwar wichtig - aber in dem Falle wird ja auch der Virenscanner keinen Zugriff auf den Ordner bekommen. etz.
Drücke ichs manuell durch hab ich zugriff - kann aber nicht verhindern das beim Anlegen den Profils eben nüx geht bis ichs aufbohre.
Das nervt..
Sehe ich aha die datei is zb. von vor 3 Tagen.. der User arbeitet aber fröhlich weiter lässt sich auf ein Problem mit dem Abgleich zwischen Server & Client schließen.
Nur um ein Sinnvolles Beispiel zu nehnen... und da nur Admins & der User Zugriff haben in meinem Falle wäre der NTFS Zugriff für den User1 gewärleistet welcher ja notwenig ist um das Profil zu sichern.
Und als Admin hat man die möglichkeit die Profile ebenfalls zu "administrieren". Oder willst du mir verzählen das deine User alle so braf sind und sich an die Anweisung halten NICHT im Profil zu speichern? 90% speichern alles im Profil obwohl dafür die Server den Platz bieten.
Das Resultat - große Profile & hohe Netzlast beim an/abmelden.
Ich hab zwar schon versucht zu schulen - aber viele haben soviel Ahnung von computern das es gerade für word und surfen langt. Wenn ich als Admin etwas nicht darf heist das das ich meinen Job nicht ausführen kann. So seh ich das.
Sicherheit ist zwar wichtig - aber in dem Falle wird ja auch der Virenscanner keinen Zugriff auf den Ordner bekommen. etz.
Drücke ichs manuell durch hab ich zugriff - kann aber nicht verhindern das beim Anlegen den Profils eben nüx geht bis ichs aufbohre.
Das nervt..
ich kann dich gut verstehen und muss sagen, das ich gerade bei Server 2008 vorm selben Problem stehe ^^.
Es gibt eine Gruppenrichtlinie die du setzen kannst.
Ich weiß leider auswendig nicht genau wie sie heißt.
Dort kannst Du einstellen, daß der Admin Zugriff auf die Benutzerprofile haben soll.
(cave: Datenschutz und interne Richtlinien beachten)
Funktioniert aber nur dür Profile die nach dem Setzen der GP angelegt werden!
(War auch schon unter 2003 so)
Grüße, FFK
Ich weiß leider auswendig nicht genau wie sie heißt.
Dort kannst Du einstellen, daß der Admin Zugriff auf die Benutzerprofile haben soll.
(cave: Datenschutz und interne Richtlinien beachten)
Funktioniert aber nur dür Profile die nach dem Setzen der GP angelegt werden!
(War auch schon unter 2003 so)
Grüße, FFK
Add the administrators security group to roaming user profiles
zu finden unter:
Local Computer Policy \ system \ userprofiles
Hab vor 2 min meinen Kollegen gefragt der wusste es aber auch nicht mehr so genau. Doch er nannte mir das gleiche.
Danke
zu finden unter:
Local Computer Policy \ system \ userprofiles
Hab vor 2 min meinen Kollegen gefragt der wusste es aber auch nicht mehr so genau. Doch er nannte mir das gleiche.
Danke
Hallo TechnoX,
wir hatten das selbe "Problem" bei uns in der Firma. Es ist normal, das der Administrator keine Rechte auf servergespeicherten Profilen bekommt. Hat unter anderem auch etwas mit Datenschutz zu tun. Auch wenn Du Admin bist und überall rankommst, darfst Du es unter Umständen gar nicht.
Wir haben über Gruppenrichtlinien die Adminrechte vergeben können. Das Zauberwort heißt:
"Fügt die Sicherheitsgruppe "Administratoren" zur Freigabe der servergespeicherten Benutzerprofile hinzu". Also einfach eine neue Richtlinie anlegen. Die Option ist unter "Computerkonfiguration->Administrative Vorlagen->System->Anmeldung" zu finden.
Vorsicht: für Profileordner die bereits existieren wird diese Richtlinie nicht übernommen.
Ich denke das ist das was Du gesucht hast.
MfG jaldy
wir hatten das selbe "Problem" bei uns in der Firma. Es ist normal, das der Administrator keine Rechte auf servergespeicherten Profilen bekommt. Hat unter anderem auch etwas mit Datenschutz zu tun. Auch wenn Du Admin bist und überall rankommst, darfst Du es unter Umständen gar nicht.
Wir haben über Gruppenrichtlinien die Adminrechte vergeben können. Das Zauberwort heißt:
"Fügt die Sicherheitsgruppe "Administratoren" zur Freigabe der servergespeicherten Benutzerprofile hinzu". Also einfach eine neue Richtlinie anlegen. Die Option ist unter "Computerkonfiguration->Administrative Vorlagen->System->Anmeldung" zu finden.
Vorsicht: für Profileordner die bereits existieren wird diese Richtlinie nicht übernommen.
Ich denke das ist das was Du gesucht hast.
MfG jaldy
NACHTRAG: das mit der Richtlinie war leider nicht so erfolgreich wie ich dachte. Das 1 Userprofil lief einwandfrei - alle folge Profile legten sich trotzem weiterhin nur mit dem eigenen User an.
Meine Lösung (um endlich mal weiter zu kommen bei meiner Trainings situation..) :
Ich kopiere den Order des funktionierenden Profils - benenne es in den user um welchen ich anlegen will. Kopiere den User in der AD so das der name mit dem 2 Profil übereinstimmt. Und dann klappts mit dem Zugriff.
Nachtrag:
Lösung gefunden!!! Die ganzen Anleitungen welche ich fand waren immer auf die Local Policy beschrieben! Ihr glaubt gar nicht wie doof ich mich gefühlt habe das ich darauf nicht selber gekommen bin.
Damit die Profile sich auch WIRKLICH mit Profil ordnern anlegen lassen, welche den Admins auch Zugriff gewähren. MUSS der besagte Richtlinieneintrag aber in der richtigen Richtlinie vorgenommen werden..
Da ich aber die LOKALE Richtlinie konfigurierte (wie in vielen Scripts dargestellt!) drückte die GLOBALE Richtlinie natürlich über. Und die Einstellung
kam nie bei den Clients an.
So.. ich hoffe ich erspaare mit meiner Peinlichkeit euch so zu blammieren. Naja.. nochmal wird mir der Fehler nicht passieren.
Meine Lösung (um endlich mal weiter zu kommen bei meiner Trainings situation..) :
Ich kopiere den Order des funktionierenden Profils - benenne es in den user um welchen ich anlegen will. Kopiere den User in der AD so das der name mit dem 2 Profil übereinstimmt. Und dann klappts mit dem Zugriff.
Nachtrag:
Lösung gefunden!!! Die ganzen Anleitungen welche ich fand waren immer auf die Local Policy beschrieben! Ihr glaubt gar nicht wie doof ich mich gefühlt habe das ich darauf nicht selber gekommen bin.
Damit die Profile sich auch WIRKLICH mit Profil ordnern anlegen lassen, welche den Admins auch Zugriff gewähren. MUSS der besagte Richtlinieneintrag aber in der richtigen Richtlinie vorgenommen werden..
Da ich aber die LOKALE Richtlinie konfigurierte (wie in vielen Scripts dargestellt!) drückte die GLOBALE Richtlinie natürlich über. Und die Einstellung
kam nie bei den Clients an.
So.. ich hoffe ich erspaare mit meiner Peinlichkeit euch so zu blammieren. Naja.. nochmal wird mir der Fehler nicht passieren.
