doubleo
Goto Top

Servergespeicherte Eigene Dateien umgeleitet

Hallo Zusammen,

habe folgendes Problem.
Der Windows Server 2003 läuft bei uns schon seit längerem.
Mir ist aber vor kurzem aufgefallen, dass unser \Home$ Ordner für jeden User sichtbar ist.
D.h. eigentlich sollten die Eigenen Dateien nur für den einen User einsichtbar sein. Wo habe ich bei den Einstellungen für die OU den Fehler gemacht?

Gruß Olli

Content-ID: 113161

Url: https://administrator.de/contentid/113161

Ausgedruckt am: 26.11.2024 um 02:11 Uhr

pxxsxx
pxxsxx 03.04.2009 um 11:04:33 Uhr
Goto Top
Kann sein, dass ich grad auf nem Schlauch steh, aber ich meine, aber in welcher OU willst du was ändern? Ich würde das ganze mit Berechtigungen auf Dateisystemebene regeln.
Theoretisch muss jeder Benutzer den Inhalt der Freigabe \Home$ lesen können. Sonst kann er ja nicht auf seinen Ordner (\Home$\%username%) zugreifen.
Daher ist die Frage eigentlich, kann er auf die Ordner der anderen Benutzer zugreifen? Es könnte sein, dass dieses Leserecht vom übergeordneten Verzeichnis vererbt wird. Da solltest du mal schaun.

Gruß
Peter
doubleo
doubleo 03.04.2009 um 11:15:56 Uhr
Goto Top
Hallo Peter,

habe die Leserechte vom übergeordneten Verzeichnis entfernt. Jetzt sind für den Home-Ordner noch als Berechtigung die Admins und die Gruppe "Ersteller-Besitzer" mit Vollzugriff vorhanden.
Werde mal testen ob die einzelnen User immer noch auf die Ordner der anderen User zugreifen können.
pxxsxx
pxxsxx 03.04.2009 um 11:32:43 Uhr
Goto Top
Ich würde im Übergeordneten Ordner allen die Berechtigung "Ordnerinhalt auflisten" geben. somit können die Benutzer sauber ihren eigen Ordner finden.
doubleo
doubleo 03.04.2009 um 12:19:17 Uhr
Goto Top
irgendwo habe ich einen Denkfehler.
Komme jetzt nicht mehr an den Ordner als User ran.
Also unter dem Reiter der Eigenschafte des Ordners Freigabe->Freigabeberechtigung habe ich:

Domänen-Admins \"Vollzugriff\"
Ersteller-Besitzer nur \"Lesen\"

unter Reiter Sicherheit:
Domänen-Admins \"Vollzugriff\"
Ersteller-Besitzer nur \"Spezielle Berechtigung\"
dort: ---------> dort dann unter erweiterte Berechtigung:
\"übernehmen für\": nur unterordner und dateien
Vollzugriff

irgendwas habe ich in den berechtigungen verbockt und sehe die Lösung nicht.
pxxsxx
pxxsxx 03.04.2009 um 12:40:24 Uhr
Goto Top
wer ist Ersteller-Besitzer der Ordner?

Zur Vereinfachung:
Man sollte alle Berechtigungen über das Dateisystem machen. Dann kannst du in der Freigabeberechtigung jeden Vollzugriff geben und musst nur an einer Stelle nach Fehlern suchen.

Zum Verständnis:
ich habe folgenden Pfad d:\Ordner-A\Ordner-B\Ordner-C
um Zugriff auf Ordner-C zu bekommen, muss ich auch Ordner-A und Ordner-B lesen können. Ich kann ja auch meinen Nachbarn nicht besuchen wenn ich zwar bei ihm erwünscht bin aber die Straße nicht betreten darf.

Zum Vorgehen:
Wenn du im Ordner-C in den Erweiterten Sicherheitseinstellungen den Haken bei "Berechtigungen übergeordneter Objekte..." rausnimmst, wirst du gefragt, ob du die geerbten Berechtigungen löschen odeer kopieren willst. Ich würde in dem Fall auf kopieren setzen. Dann kannst du für Ordner-C die Berechtigungen anpassen.
Du solltest dir vorher aber erst mal aufschreiben, was du brauchst und/odeer haben willst. Man verliert sich leicht in undurchsichtigen Berechtigungsstrukturen

Gruß
Peter
doubleo
doubleo 03.04.2009 um 12:54:57 Uhr
Goto Top
PEINLICH!!!
Habe erst mal (keine Ahung warum) vergessen die Gruppe Domänen-Benutzer zu nehmen.
Dort dann für den Home-Ordner die Berechtigung für "Ordner auflisten" übernehmen für "nur dieser Ordner".

SO jetzt klappt es.
Die Ordner werden aufgelistet und man kann nur auf seinen eigenen Ordner zu greifen. PERFEKT!!!
Dank dir.

Kurze abweichende Frage:

Wenn ich einen neuen User im Ad erstelle muss ich dort immer unter Eigenschaften-Profil bei Basisordner -> verbinden von (z.B. \\server\home$/%username%) per Hand eingeben?
Oder geht das mit der OU auch automatisch?
pxxsxx
pxxsxx 03.04.2009 um 13:02:46 Uhr
Goto Top
sollte über Gruppenrichtlinien zu machen sein. Du kannst dir das aber eigentlich sparen indem du einfach einen bestehenden benutzer kopierst wenn du einen neuen erstellen willst.
Oder erstell und konfigurier dir einen User, den du als Vorlage für neue Benutzer verwendest.

Gruß
Peter
pxxsxx
pxxsxx 03.04.2009 um 13:06:18 Uhr
Goto Top
Nachtrag:
Wenn du einen Benutzer erstellst, solltest du den Pfad auch mit der Variable %Username% anlegen. Dann wird beim Kopieren immer der richtige Benutzername eingetragen.

Gruß
Peter
doubleo
doubleo 03.04.2009 um 13:10:35 Uhr
Goto Top
bis dato habe ich das immer so gemacht.(Benutzer kopieren oder per Hand)
war auch nur so aus Bequemlichkeit. ist ja kein riesen Aufwand bei der Neuerstellung den Basisordner einzugeben.
Habe eine Gruppenrichtlinie mal probeweise erstellt, aber wie das dann automatisch funktioniert mit dem eintrag keine Ahnung.
werde dann halt weiter den weg zu Fuss machen.
Aber hab vielen DANK:
Gruß Olli
pxxsxx
pxxsxx 03.04.2009 um 13:37:05 Uhr
Goto Top
Bitteschön, gern geschehen.

In einer neuen Gruppenrichtlinie auf der OU, in der deine Benutzer liegen

Unter:
Benutzer-Konfiguration
Windows-Einstellungen
Ordnerumleitung
Rechtklick auf "Eigene Dateien" und auf Eigenschaften klicken.
Im Auswahlfeld "Einstellungen" "Standard - Leitet alle Ordner auf den gleichen Pfad um." auswählen
Im Feld "Zielordner" "Einen Ordner für jeden Benutzer im Stammpfad anlegen" auswählen
Im Feld "Stammverzeichnis" den Stammpfad angeben (\\%logonserver%\homes$)

So sollte sich das konfigurieren lassen. Aber ohne Gewähr, ich habs noch nicht ausprobiert. face-wink

Gruß
Peter
doubleo
doubleo 03.04.2009 um 14:10:30 Uhr
Goto Top
ist ein guter Hinweis. werde ich mal nachgehen.
ALSO VIELEN DANK