11
Wie können sich Windows10 Clients bw. User geänderte Domänen Benutzerrechte "in Realtime" vom DC hohlen
Guten Tag zusammen,
Wie können sich Windows10 Clients/User geänderte Domänen Benutzerrechte "in Realtime" vom DC holen.
Ich ändere tagsüber über Scripte die Benutzerrechte auf verschiedene Freigaben für bestimmte Domänenmitglieder.
Das Problem ist, dass sich die Benutzer immer an- und abmelden müssen, um die neuen Benutzerrechte zu erhalten.
Das ist bei uns ein riesen Problem, da wir große offene Dateien und Programme schliessen müssen.
Ich will das vermeiden. Gibt es dafür eine Lösung?
Vielen Dank im Voraus,
Jürgen
Wie können sich Windows10 Clients/User geänderte Domänen Benutzerrechte "in Realtime" vom DC holen.
Ich ändere tagsüber über Scripte die Benutzerrechte auf verschiedene Freigaben für bestimmte Domänenmitglieder.
Das Problem ist, dass sich die Benutzer immer an- und abmelden müssen, um die neuen Benutzerrechte zu erhalten.
Das ist bei uns ein riesen Problem, da wir große offene Dateien und Programme schliessen müssen.
Ich will das vermeiden. Gibt es dafür eine Lösung?
Vielen Dank im Voraus,
Jürgen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 544064
Url: https://administrator.de/forum/wie-koennen-sich-windows10-clients-bw-user-geaenderte-domaenen-benutzerrechte-in-realtime-vom-dc-hohlen-544064.html
Ausgedruckt am: 15.04.2025 um 21:04 Uhr
11 Kommentare
Neuester Kommentar
Hi,
so wie es klingt änders dus ja mehrfach die Berechtigungen.
Da frage ich mich schonmal wieso das mehrmals am Tag nötig ist.
Grüße
so wie es klingt änders dus ja mehrfach die Berechtigungen.
Da frage ich mich schonmal wieso das mehrmals am Tag nötig ist.
Grüße
1
Moin,
Ich denke, Dein Problem ist eher die nicht durchdachte Berechtigungsstruktur, die mehrmals täglich geändert wird. Nirmalerweise legt man die einmal fest und macht dann nur noch ab und zu Feintuning.
Waa ist denn der Grund, daß das mehrmals täglich passieren muß?
Vielleicht kann man ja die Ursache beheben anstatt dem Symptom nachzuhecheln.
lks
Ich denke, Dein Problem ist eher die nicht durchdachte Berechtigungsstruktur, die mehrmals täglich geändert wird. Nirmalerweise legt man die einmal fest und macht dann nur noch ab und zu Feintuning.
Waa ist denn der Grund, daß das mehrmals täglich passieren muß?
Vielleicht kann man ja die Ursache beheben anstatt dem Symptom nachzuhecheln.
lks
Moin,
Die Frage stelle ich mir auch, weshalb du mehrmals am Tag an bestehenden Rechten herumschrauben musst.
Wir handhaben es so, dass wir
Dadurch greifen die Berechtigungen zwar auch erst mit dem nächsten Login, aber wenn der Zugriff für die User dann so wichtig ist, dass die UNBEDINGT jetzt darauf zugreifen müssen, dann sollen die sich auch einmal ab- und wieder anmelden.
Ansonsten hat sich das Problem am nächsten Tag ja von selbst gelöst.
Alternativ könnte man auch die Abteilungsgruppen direkt auf die Ordner berechtigen, dann greifen die Änderungen auch sofort, da die User ja bereits zum Zeitpunkt der ANmeldung Mitglied der Gruppe gewesen sind.
Gruß
em-pie
Die Frage stelle ich mir auch, weshalb du mehrmals am Tag an bestehenden Rechten herumschrauben musst.
Wir handhaben es so, dass wir
- User in "Abteilungsgruppen" hinzufügen
- Gruppen für Ordnerberechtigungen anlegen
- Die "Orderngruppen" in den Freigaben/ NTFS-Rechten Berechtigen
- Die Abteilungsgruppen als Mitlglieder der Ordnergruppen hinzufügen
Dadurch greifen die Berechtigungen zwar auch erst mit dem nächsten Login, aber wenn der Zugriff für die User dann so wichtig ist, dass die UNBEDINGT jetzt darauf zugreifen müssen, dann sollen die sich auch einmal ab- und wieder anmelden.
Ansonsten hat sich das Problem am nächsten Tag ja von selbst gelöst.
Alternativ könnte man auch die Abteilungsgruppen direkt auf die Ordner berechtigen, dann greifen die Änderungen auch sofort, da die User ja bereits zum Zeitpunkt der ANmeldung Mitglied der Gruppe gewesen sind.
Gruß
em-pie
Moin,
es ist ohnehin best pratice das Gruppen für die Berechtigung genutzt werden.
Gruß
Spirit
es ist ohnehin best pratice das Gruppen für die Berechtigung genutzt werden.
Gruß
Spirit
Wenn man einen Nutzer in eine Gruppe packt bzw. aus einer entfernt und möchte, dass dies sofort wirkt ohne Abmeldung, dann muss man das Kerberos-Ticket des Nutzers erneuern.
Kann der Nutzer selbst machen über das Kommando
Kann der Nutzer selbst machen über das Kommando
1
klist purge
Hallo Zusammen,
danke für Eure Antworten, allerdings bringt mich das nicht so richtig weiter. Auf die häufig gestellte Frage: Warum mach ich das? Auf jeden Fall nicht zum Spass. Ich würde mir auch wünschen meinen Benutzergruppen einmal ein Recht zu vergeben und dann alles gut. ABER, wir arbeiten hier teilweise mit hoch sensiblen Daten. Diese Projekte bekommen von uns eine eigene Sicherheitsgruppe. Nun kommt es vor, dass auch tagsüber ein Mitarbeiter über unsere Planungsoftware dazu geplant wird. Diese Software triggert die Änderung der Sicherheitgruppe und fügt den Mitarbeiter dazu. So, und das sollte ohne An- und Abmeldung des Benutzers funtionieren.
@DerWoWusste
Danke, "klist purge" hatte ich schon probiert, und hat leider nicht funtioniert ...
... und du brauchst Admin Rechte um den Befehl auszuführen.
Gruß,
Jürgen
danke für Eure Antworten, allerdings bringt mich das nicht so richtig weiter. Auf die häufig gestellte Frage: Warum mach ich das? Auf jeden Fall nicht zum Spass. Ich würde mir auch wünschen meinen Benutzergruppen einmal ein Recht zu vergeben und dann alles gut. ABER, wir arbeiten hier teilweise mit hoch sensiblen Daten. Diese Projekte bekommen von uns eine eigene Sicherheitsgruppe. Nun kommt es vor, dass auch tagsüber ein Mitarbeiter über unsere Planungsoftware dazu geplant wird. Diese Software triggert die Änderung der Sicherheitgruppe und fügt den Mitarbeiter dazu. So, und das sollte ohne An- und Abmeldung des Benutzers funtionieren.
@DerWoWusste
Danke, "klist purge" hatte ich schon probiert, und hat leider nicht funtioniert ...
... und du brauchst Admin Rechte um den Befehl auszuführen.
Gruß,
Jürgen
Danke, "klist purge" hatte ich schon probiert, und hat leider nicht funtioniert... und du brauchst Admin Rechte um den Befehl auszuführen.
Hier geht es! Und Adminrechte brauche ich dafür selbstverständlich nicht, wie kommst Du darauf?
Wäre dann ein Projektmanagement-Tool nicht besser?
Oder zumindest ein DMS/ECM?
Da brauch man dann auch nichts auf Dateiebene zu handhaben sondern alles wird innerhalb des PM-Tools/ ECM definiert...
Oder zumindest ein DMS/ECM?
Da brauch man dann auch nichts auf Dateiebene zu handhaben sondern alles wird innerhalb des PM-Tools/ ECM definiert...
Da müssten wir bei uns en größeres Faß aufmachen ...
Seltsam, ich habe unter dem entsprechen User "klist purge" ausführen wollen und der Befehl wurde nicht erkannt. Als lAdmin ging es dann ...
Da muss ich wohl noch einmal ran ...
Da muss ich wohl noch einmal ran ...
Hm. Ok. Der Sicherheitsgewinn ist natürlich nur mäßig. Auch wenn ein Mitarbeiter nur kurz Zugriff auf die Daten hat so reicht das doch um die zu kopieren aber andere Baustelle.
Vllt ist die Idee ja blöd aber eventuell funktionierts auch.
Du machst für jeden Mitarbeiter eine eigene Sicherheitsgruppe in der dieser Mitglied ist. Und zwar immer.
Werden nun die Rechte gebraucht, dann gibst du dieser Mitarbeitergruppe Zugriff auf den Ordner, da sich die Gruppenmitgliedschaft ja nicht ändert sollte das sofort funktionieren und du brauchst kein neues Ticket.
Vllt ist die Idee ja blöd aber eventuell funktionierts auch.
Du machst für jeden Mitarbeiter eine eigene Sicherheitsgruppe in der dieser Mitglied ist. Und zwar immer.
Werden nun die Rechte gebraucht, dann gibst du dieser Mitarbeitergruppe Zugriff auf den Ordner, da sich die Gruppenmitgliedschaft ja nicht ändert sollte das sofort funktionieren und du brauchst kein neues Ticket.
