flodderpalme
Goto Top

Servergespeicherte Profile unter Windows 2003 Server bearbeiten

Servergespeicherte Profile unter Windows 2003 Server können nicht bearbeitet werden

Hallo Leute

Ich habe folgendes Problem:

Erstelle ich einen Benutzer im ADS mit der Benutzerverwaltung, und weise ihm ein Home- und Profil Verzeichnis zu, kann ich diese Verzeichnisse nicht bearbeiten. Als Administrator habe ich keinen Zugriff, und kann auch keine Berechtigungen vergeben. Wenn ich den Besitz übernehme hat der Benutzer keinen Zugriff mehr, was logisch ist. Ich habe auch schon in den Policys unter: System/Benutzerprofile "Sicherheitsgruppe "Administratoren" zu servergespeicherten Profilen hinzufügen" aktiviert. Kein Erfolg.


Vielleicht hat jemand von euch eine Idee.


Achim

Content-ID: 12529

Url: https://administrator.de/contentid/12529

Ausgedruckt am: 22.11.2024 um 12:11 Uhr

traced82
traced82 30.06.2005 um 12:02:36 Uhr
Goto Top
Hi Achim,

probier einfach den Besitz der Ordner zu übernehmen,
aber vorsicht, nicht die Benutzer selber aussperren ;)
Also z.B. als Besitzer die Gruppe Administratoren, das dann auch
für die Unterverzeichnisse übernehmen.

MfG
Basti
flodderpalme
flodderpalme 30.06.2005 um 13:46:27 Uhr
Goto Top
Hallo Basti

Habe ich schon probiert und ist bei einem User vielleicht sinnvoll. Habe aber über 200. Es muß eine generelle Lösung geben, damit man von vornherein auf die Ordner zugreifen kann.

Vielen Dank

Achim
traced
traced 30.06.2005 um 18:50:45 Uhr
Goto Top
Hmm...

oder einfach den Besitz des User-Dirs übernehmen, so mach ichs zumindest,
also bei z.B. D:\User\.... da sind meine ganzen Profile und HomeDirs drin.

Aber falls hier einer ne Möglichkeit findet, wäre auch interessiert!

MfG
Basti
pc-pure
pc-pure 03.07.2005 um 10:56:48 Uhr
Goto Top
Die generelle Zugriffsmöglichkeit eines Admins auf Profile und Home Folder ist zumindest in Deutschland rechtlich sehr bedenklich (BDSG).

MS hat bei Server2003 alle Möglichkeiten des generellen Zugriffs abgeriegelt.

Einzige Möglichkeit:

Alle Rechte auf die entsprechenden Ordner haben System und der User.
Besitzrechte kann der User "Administrator" übernehmen.
Dieser kann sich dann temporär auch Zugriffsrechte auf den Ordner geben, aber Vorsicht:
diese sollten vor dem nächsten Userzugriff wieder entfernt werden, sonst gibbet Probleme.

Ausserdem, wenn der Administrator sich die Mühe macht und den Besitz der gesamten Ordnerstruktur übernimmt (das ist ein Vorgang der vom System mitgeloggt wird und auch bei Besitzrückgabe nachvollziehbar ist), besteht grundsätzlich ein Anfangsverdacht, dass nicht unbedingt nach BDSG gehandelt wird.


Kann teuer werden.
schnorz
schnorz 18.01.2006 um 08:03:14 Uhr
Goto Top
Hallo
Bin zwar etwas spät mit meinen Eintrag, möchte aber hier etwas richtig stellen:

Vorgang Korrekterweise Benutzer und Profile erstellen:
Auf dem Fileserver separat ein Verzeichnis "Home" und "Profile" erstellen, diesen dann
für die Domänenbenutzer freigeben mit "Home$" und "Profile$".
Im ADS beim Benutzer im Reiter "profile" den Pfad wie folgt eingeben:
\\fileserver\profile$\%username% (fileserver steht natürlich für den entsprechenden Servername), das gleiche beim Home Verzeichnis: \\fileserver\home$\%username%.
Damit nun auch die Administratoren Berechtigungen bekommen, im ADS eine Policy erstellen welche auf der "Machine Policy" sprich Computerrichtlinie basiert und nicht auf der Benutzerseite.
Richtlinie erstellen:
Computerrichtlinie - Administrative Vorlagen- System - Benutzerprofile "Sicherheitsgruppe
Administratoren zu servergespeicherten Profile hinzufügen" aktivieren.

Ist dies so erstellt und wird ein neuer Benutzer angelegt, funktioniert das ganze dann.
Im Home Verzeichnis ist es etwas anders. Ist dort bei der Berechtigung auch die Administratorengruppe vorgängig in NTFS Berechtigungen enthalten müssen diese dann auch im Home Verzeichnis erscheinen, ansonten wurde eine Definition eingerichtet sein welche ich hier jetzt nicht gearade auswendig erwähnen kann.

Fazit:
Es ist sinnvoll dem Administrator "Vollzugriff" auf Home und sicherlich Profile zu geben.
Die Datensicherung wird es danken wie auch den Support den der oder die Administratoren leisten müssen.
PS: Es sollten eh nur 2 bis max 3 Administratoren Zugriff auf diese Verzeichnisse erhalten sprich das Kennwort der Administrators kennen, das reicht.
25579
25579 26.03.2006 um 21:57:08 Uhr
Goto Top
Im Home Verzeichnis ist es etwas anders. Ist
dort bei der Berechtigung auch die
Administratorengruppe vorgängig in NTFS
Berechtigungen enthalten müssen diese
dann auch im Home Verzeichnis erscheinen,
ansonten wurde eine Definition eingerichtet
sein welche ich hier jetzt nicht gearade
auswendig erwähnen kann.
Kannst Du die Möglichkeiten nochmal genau (verständlich) erläutern?
Bitte face-smile
schnorz
schnorz 27.03.2006 um 08:47:29 Uhr
Goto Top
Hallo

Eigentlich ist es ganz einfach. Mein obiger Beschrieb ist zwar etwas kompliziert erklärt, ist aber der korrekte Vorgang.
Haupstächlich geht es aber vorallem darum, dass beim erstellen der Profiles, nicht nur der Benutzer die Rechte auf das Profile erhält, sondern auch die Administratorengruppe oder der Administrator (jenachdem was bei Euch rechtlich definiert ist).

Diese Richtlinie gilt es, bei den Computerrichtlinien zu erstellen (nicht bei den Benutzern), und zwar bei der OU, wo bei Euch die Computer hinzugefügt werden:

Computerrichtlinie - Administrative Vorlagen- System - Benutzerprofile "Sicherheitsgruppe
Administratoren zu servergespeicherten Profile hinzufügen" aktivieren.

Somit wird bei der Anmeldung eines vordefinierten Benutzeraccounts mit Profilepfad \\servername\profile$\%username% (wobei servername für Euer Serverhostname steht), ein profile erstellt welches bei den NTFS Rechten auch eben die Administratorengruppe enthält. Macht man dies nicht hat nur der Benutzer die Berechtigung auch auch der Besitz.

Dies sollte eigentlich Standard von jedem Administrator so definiert werden, ausser die Profiles werden mit vorgefertigten Scripts bereits vorerstellt und berechtigt (Bsp. mit der Kombination mit xcacls).

Hoffe, konnte dies nochmals genauer rüberbringen dass es so nachvollzogen werden kann.
25579
25579 27.03.2006 um 13:22:44 Uhr
Goto Top
Meine Frage bezog sich auf das Basis/Stammverzeichnis (home). Dort wo die Eigene Dateien Weiterleitung hinläuft. Werde deine Anleitung gegen Abend im Kinderheim mal testen...

Danke schonmal face-smile
schnorz
schnorz 27.03.2006 um 16:24:10 Uhr
Goto Top
Hallo
Sorry, habe dies falsch aufgefasst.

Betreffend Home Directory musst Du nicht viel machen, wenn alles am
Anfang Standard ist:

Einfach auf dem Fileserver ein Ordner "Home" erstellen und als Home$ Freigeben.
Die Berechtigung bei der Freigabe und NTFS erstellen. Wenns nicht extrem speziell ist
darfst Du hier auch die "Domänen-Benutzer" als Gruppe hinzufügen und zwar mit Vollzugriff oder mindestens mit der Berechtigung erstellen und löschen. Natürlich die lokale
Administratoren Gruppe vom Fileserver und System nicht vergessen sowie "Ersteller-Besizter" wenn diese nicht schon drinn wäre da dies eigentlich die Standard Vorgaben von MS sind.
Wird nun beim ADS im Benutzer ein Laufkwerk als Home Directory zugestellt und als Pfad
bei allen \\servername\home$\%username% definiert wird dieses sofort erstellt und nicht erst wenn sich der Benutzer anmeldet. Somit kannst Du dann sofort die Berechtigung prüfen (wie immer steht fileserver für dein Hostname des Servers).
Good Luck!!!

Grüsse
Schnorz
25579
25579 01.04.2006 um 20:46:14 Uhr
Goto Top
Das mit dem Zugriff auf die Profile funktioniert irgendwie nicht face-sad
Die Computer sind im Ordner Computer - nicht in einer OU - Standard eben.
Ich habe mal eine Richtlinie erstellt (Neu -> bearbeiten...) und mit der Domäne verknüpft - geht nicht.
In der Default Domain Polic.. den Zugriff aktiviert keine Wirkung face-sad
schnorz
schnorz 03.04.2006 um 16:36:55 Uhr
Goto Top
Hallo
Genau dies ist der Punkt. Die Computer werden in den Standard Container hinzugefügt.
Keine gute Idee. Du kannst nur in OU Richtlinien erstellen.
Am besten erstellt man vordefiniert ein paar OUs, Beispiel:
OU: "Computer"
In Computer eine OU "Desktops", eine OU "MobilePC" etc.......
Danach werden die Computer welche in die OU "Desktops" verschoben.
Die Richtlinie danach in "Desktops" anwenden und danach wird es funktionieren.
Achtung: Von Definitionen in der Default Domain Policy rate ich generell ab, hier sind alle betroffen, auch DCs, Server etc..... Was höchsten in die Default domain Policy integriert werden kann ist das Passwortrichtlinienkonzept, andere Einstellungen sind kritisch.

PS: Mit redircmp kannst Du übrigens auf dem DC konfigurieren, in welche OUs die Computer
automatisch hinzugefügt werden sollen, wenn dies bei deiner Umgebung Sinn macht. Diese
Einstellung würde danach die Computer beim neuen hinzufügen direkt in die OU "Desktops"
integrieren.
Solltet ihr eine Softwareverteilung haben müsste dies aber mit diesem Team zuerst koordiniert werden (Bsp. bei Symantec Livestate wird die OU bereits dort angegeben).

Jetzt dürfte nichts mehr schief gehen.
PS: Recht gute Homepage mit Gruppenrichtlinien ist www.gruppenrichtlinien.ch.
Dort findest Du für weitere Fragen sehr gute Hinweise, Tolle Webpage!

Grüsse
Schnorz
man10to
man10to 06.04.2006 um 19:16:49 Uhr
Goto Top
Hallo Leute

Ich habe folgendes Problem:

Habe etwas an den Rechten gespielt.

Welche Rechte sollte ich wie einstellen ?

1. auf die Freigabe

2. auf die jeweiligen Verzeichnisse
3. auf den übergeordneten Ordner?


z.B. freigabe

profilegruppe1$

Gruppe Gruppe1

Benutzer g1-b1, g1-b2

Ordner

profile-g1 alles Gruppe1 Administratoren
|-- g1-b1 > Alles g1-b1, Administratoren vererbt auf alle unterordner
|-- g1-b2 > Alles g1-b1, Administratoren vererbt auf alle unterordner


Was ist mit rechten für Ersteller und besitzer ???

Gibt es da eine Anleitung zum reparieren ???

danke im voraus

man10to



Achim