12
Servergespeicherte Profile unter Windows 2003 Server bearbeiten
Servergespeicherte Profile unter Windows 2003 Server können nicht bearbeitet werden
Hallo Leute
Ich habe folgendes Problem:
Erstelle ich einen Benutzer im ADS mit der Benutzerverwaltung, und weise ihm ein Home- und Profil Verzeichnis zu, kann ich diese Verzeichnisse nicht bearbeiten. Als Administrator habe ich keinen Zugriff, und kann auch keine Berechtigungen vergeben. Wenn ich den Besitz übernehme hat der Benutzer keinen Zugriff mehr, was logisch ist. Ich habe auch schon in den Policys unter: System/Benutzerprofile "Sicherheitsgruppe "Administratoren" zu servergespeicherten Profilen hinzufügen" aktiviert. Kein Erfolg.
Vielleicht hat jemand von euch eine Idee.
Achim
Ich habe folgendes Problem:
Erstelle ich einen Benutzer im ADS mit der Benutzerverwaltung, und weise ihm ein Home- und Profil Verzeichnis zu, kann ich diese Verzeichnisse nicht bearbeiten. Als Administrator habe ich keinen Zugriff, und kann auch keine Berechtigungen vergeben. Wenn ich den Besitz übernehme hat der Benutzer keinen Zugriff mehr, was logisch ist. Ich habe auch schon in den Policys unter: System/Benutzerprofile "Sicherheitsgruppe "Administratoren" zu servergespeicherten Profilen hinzufügen" aktiviert. Kein Erfolg.
Vielleicht hat jemand von euch eine Idee.
Achim
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 12529
Url: https://administrator.de/contentid/12529
Printed on: April 20, 2024 at 02:04 o'clock
12 Comments
Latest comment
Hi Achim,
probier einfach den Besitz der Ordner zu übernehmen,
aber vorsicht, nicht die Benutzer selber aussperren ;)
Also z.B. als Besitzer die Gruppe Administratoren, das dann auch
für die Unterverzeichnisse übernehmen.
MfG
Basti
probier einfach den Besitz der Ordner zu übernehmen,
aber vorsicht, nicht die Benutzer selber aussperren ;)
Also z.B. als Besitzer die Gruppe Administratoren, das dann auch
für die Unterverzeichnisse übernehmen.
MfG
Basti
Hallo Basti
Habe ich schon probiert und ist bei einem User vielleicht sinnvoll. Habe aber über 200. Es muß eine generelle Lösung geben, damit man von vornherein auf die Ordner zugreifen kann.
Vielen Dank
Achim
Habe ich schon probiert und ist bei einem User vielleicht sinnvoll. Habe aber über 200. Es muß eine generelle Lösung geben, damit man von vornherein auf die Ordner zugreifen kann.
Vielen Dank
Achim
Hmm...
oder einfach den Besitz des User-Dirs übernehmen, so mach ichs zumindest,
also bei z.B. D:\User\.... da sind meine ganzen Profile und HomeDirs drin.
Aber falls hier einer ne Möglichkeit findet, wäre auch interessiert!
MfG
Basti
oder einfach den Besitz des User-Dirs übernehmen, so mach ichs zumindest,
also bei z.B. D:\User\.... da sind meine ganzen Profile und HomeDirs drin.
Aber falls hier einer ne Möglichkeit findet, wäre auch interessiert!
MfG
Basti
Die generelle Zugriffsmöglichkeit eines Admins auf Profile und Home Folder ist zumindest in Deutschland rechtlich sehr bedenklich (BDSG).
MS hat bei Server2003 alle Möglichkeiten des generellen Zugriffs abgeriegelt.
Einzige Möglichkeit:
Alle Rechte auf die entsprechenden Ordner haben System und der User.
Besitzrechte kann der User "Administrator" übernehmen.
Dieser kann sich dann temporär auch Zugriffsrechte auf den Ordner geben, aber Vorsicht:
diese sollten vor dem nächsten Userzugriff wieder entfernt werden, sonst gibbet Probleme.
Ausserdem, wenn der Administrator sich die Mühe macht und den Besitz der gesamten Ordnerstruktur übernimmt (das ist ein Vorgang der vom System mitgeloggt wird und auch bei Besitzrückgabe nachvollziehbar ist), besteht grundsätzlich ein Anfangsverdacht, dass nicht unbedingt nach BDSG gehandelt wird.
Kann teuer werden.
MS hat bei Server2003 alle Möglichkeiten des generellen Zugriffs abgeriegelt.
Einzige Möglichkeit:
Alle Rechte auf die entsprechenden Ordner haben System und der User.
Besitzrechte kann der User "Administrator" übernehmen.
Dieser kann sich dann temporär auch Zugriffsrechte auf den Ordner geben, aber Vorsicht:
diese sollten vor dem nächsten Userzugriff wieder entfernt werden, sonst gibbet Probleme.
Ausserdem, wenn der Administrator sich die Mühe macht und den Besitz der gesamten Ordnerstruktur übernimmt (das ist ein Vorgang der vom System mitgeloggt wird und auch bei Besitzrückgabe nachvollziehbar ist), besteht grundsätzlich ein Anfangsverdacht, dass nicht unbedingt nach BDSG gehandelt wird.
Kann teuer werden.
Hallo
Bin zwar etwas spät mit meinen Eintrag, möchte aber hier etwas richtig stellen:
Vorgang Korrekterweise Benutzer und Profile erstellen:
Auf dem Fileserver separat ein Verzeichnis "Home" und "Profile" erstellen, diesen dann
für die Domänenbenutzer freigeben mit "Home$" und "Profile$".
Im ADS beim Benutzer im Reiter "profile" den Pfad wie folgt eingeben:
\\fileserver\profile$\%username% (fileserver steht natürlich für den entsprechenden Servername), das gleiche beim Home Verzeichnis: \\fileserver\home$\%username%.
Damit nun auch die Administratoren Berechtigungen bekommen, im ADS eine Policy erstellen welche auf der "Machine Policy" sprich Computerrichtlinie basiert und nicht auf der Benutzerseite.
Richtlinie erstellen:
Computerrichtlinie - Administrative Vorlagen- System - Benutzerprofile "Sicherheitsgruppe
Administratoren zu servergespeicherten Profile hinzufügen" aktivieren.
Ist dies so erstellt und wird ein neuer Benutzer angelegt, funktioniert das ganze dann.
Im Home Verzeichnis ist es etwas anders. Ist dort bei der Berechtigung auch die Administratorengruppe vorgängig in NTFS Berechtigungen enthalten müssen diese dann auch im Home Verzeichnis erscheinen, ansonten wurde eine Definition eingerichtet sein welche ich hier jetzt nicht gearade auswendig erwähnen kann.
Fazit:
Es ist sinnvoll dem Administrator "Vollzugriff" auf Home und sicherlich Profile zu geben.
Die Datensicherung wird es danken wie auch den Support den der oder die Administratoren leisten müssen.
PS: Es sollten eh nur 2 bis max 3 Administratoren Zugriff auf diese Verzeichnisse erhalten sprich das Kennwort der Administrators kennen, das reicht.
Bin zwar etwas spät mit meinen Eintrag, möchte aber hier etwas richtig stellen:
Vorgang Korrekterweise Benutzer und Profile erstellen:
Auf dem Fileserver separat ein Verzeichnis "Home" und "Profile" erstellen, diesen dann
für die Domänenbenutzer freigeben mit "Home$" und "Profile$".
Im ADS beim Benutzer im Reiter "profile" den Pfad wie folgt eingeben:
\\fileserver\profile$\%username% (fileserver steht natürlich für den entsprechenden Servername), das gleiche beim Home Verzeichnis: \\fileserver\home$\%username%.
Damit nun auch die Administratoren Berechtigungen bekommen, im ADS eine Policy erstellen welche auf der "Machine Policy" sprich Computerrichtlinie basiert und nicht auf der Benutzerseite.
Richtlinie erstellen:
Computerrichtlinie - Administrative Vorlagen- System - Benutzerprofile "Sicherheitsgruppe
Administratoren zu servergespeicherten Profile hinzufügen" aktivieren.
Ist dies so erstellt und wird ein neuer Benutzer angelegt, funktioniert das ganze dann.
Im Home Verzeichnis ist es etwas anders. Ist dort bei der Berechtigung auch die Administratorengruppe vorgängig in NTFS Berechtigungen enthalten müssen diese dann auch im Home Verzeichnis erscheinen, ansonten wurde eine Definition eingerichtet sein welche ich hier jetzt nicht gearade auswendig erwähnen kann.
Fazit:
Es ist sinnvoll dem Administrator "Vollzugriff" auf Home und sicherlich Profile zu geben.
Die Datensicherung wird es danken wie auch den Support den der oder die Administratoren leisten müssen.
PS: Es sollten eh nur 2 bis max 3 Administratoren Zugriff auf diese Verzeichnisse erhalten sprich das Kennwort der Administrators kennen, das reicht.
Im Home Verzeichnis ist es etwas anders. Ist
dort bei der Berechtigung auch die
Administratorengruppe vorgängig in NTFS
Berechtigungen enthalten müssen diese
dann auch im Home Verzeichnis erscheinen,
ansonten wurde eine Definition eingerichtet
sein welche ich hier jetzt nicht gearade
auswendig erwähnen kann.
Kannst Du die Möglichkeiten nochmal genau (verständlich) erläutern?dort bei der Berechtigung auch die
Administratorengruppe vorgängig in NTFS
Berechtigungen enthalten müssen diese
dann auch im Home Verzeichnis erscheinen,
ansonten wurde eine Definition eingerichtet
sein welche ich hier jetzt nicht gearade
auswendig erwähnen kann.
Bitte
Hallo
Eigentlich ist es ganz einfach. Mein obiger Beschrieb ist zwar etwas kompliziert erklärt, ist aber der korrekte Vorgang.
Haupstächlich geht es aber vorallem darum, dass beim erstellen der Profiles, nicht nur der Benutzer die Rechte auf das Profile erhält, sondern auch die Administratorengruppe oder der Administrator (jenachdem was bei Euch rechtlich definiert ist).
Diese Richtlinie gilt es, bei den Computerrichtlinien zu erstellen (nicht bei den Benutzern), und zwar bei der OU, wo bei Euch die Computer hinzugefügt werden:
Computerrichtlinie - Administrative Vorlagen- System - Benutzerprofile "Sicherheitsgruppe
Administratoren zu servergespeicherten Profile hinzufügen" aktivieren.
Somit wird bei der Anmeldung eines vordefinierten Benutzeraccounts mit Profilepfad \\servername\profile$\%username% (wobei servername für Euer Serverhostname steht), ein profile erstellt welches bei den NTFS Rechten auch eben die Administratorengruppe enthält. Macht man dies nicht hat nur der Benutzer die Berechtigung auch auch der Besitz.
Dies sollte eigentlich Standard von jedem Administrator so definiert werden, ausser die Profiles werden mit vorgefertigten Scripts bereits vorerstellt und berechtigt (Bsp. mit der Kombination mit xcacls).
Hoffe, konnte dies nochmals genauer rüberbringen dass es so nachvollzogen werden kann.
Eigentlich ist es ganz einfach. Mein obiger Beschrieb ist zwar etwas kompliziert erklärt, ist aber der korrekte Vorgang.
Haupstächlich geht es aber vorallem darum, dass beim erstellen der Profiles, nicht nur der Benutzer die Rechte auf das Profile erhält, sondern auch die Administratorengruppe oder der Administrator (jenachdem was bei Euch rechtlich definiert ist).
Diese Richtlinie gilt es, bei den Computerrichtlinien zu erstellen (nicht bei den Benutzern), und zwar bei der OU, wo bei Euch die Computer hinzugefügt werden:
Computerrichtlinie - Administrative Vorlagen- System - Benutzerprofile "Sicherheitsgruppe
Administratoren zu servergespeicherten Profile hinzufügen" aktivieren.
Somit wird bei der Anmeldung eines vordefinierten Benutzeraccounts mit Profilepfad \\servername\profile$\%username% (wobei servername für Euer Serverhostname steht), ein profile erstellt welches bei den NTFS Rechten auch eben die Administratorengruppe enthält. Macht man dies nicht hat nur der Benutzer die Berechtigung auch auch der Besitz.
Dies sollte eigentlich Standard von jedem Administrator so definiert werden, ausser die Profiles werden mit vorgefertigten Scripts bereits vorerstellt und berechtigt (Bsp. mit der Kombination mit xcacls).
Hoffe, konnte dies nochmals genauer rüberbringen dass es so nachvollzogen werden kann.
Meine Frage bezog sich auf das Basis/Stammverzeichnis (home). Dort wo die Eigene Dateien Weiterleitung hinläuft. Werde deine Anleitung gegen Abend im Kinderheim mal testen...
Danke schonmal
Danke schonmal
Hallo
Sorry, habe dies falsch aufgefasst.
Betreffend Home Directory musst Du nicht viel machen, wenn alles am
Anfang Standard ist:
Einfach auf dem Fileserver ein Ordner "Home" erstellen und als Home$ Freigeben.
Die Berechtigung bei der Freigabe und NTFS erstellen. Wenns nicht extrem speziell ist
darfst Du hier auch die "Domänen-Benutzer" als Gruppe hinzufügen und zwar mit Vollzugriff oder mindestens mit der Berechtigung erstellen und löschen. Natürlich die lokale
Administratoren Gruppe vom Fileserver und System nicht vergessen sowie "Ersteller-Besizter" wenn diese nicht schon drinn wäre da dies eigentlich die Standard Vorgaben von MS sind.
Wird nun beim ADS im Benutzer ein Laufkwerk als Home Directory zugestellt und als Pfad
bei allen \\servername\home$\%username% definiert wird dieses sofort erstellt und nicht erst wenn sich der Benutzer anmeldet. Somit kannst Du dann sofort die Berechtigung prüfen (wie immer steht fileserver für dein Hostname des Servers).
Good Luck!!!
Grüsse
Schnorz
Sorry, habe dies falsch aufgefasst.
Betreffend Home Directory musst Du nicht viel machen, wenn alles am
Anfang Standard ist:
Einfach auf dem Fileserver ein Ordner "Home" erstellen und als Home$ Freigeben.
Die Berechtigung bei der Freigabe und NTFS erstellen. Wenns nicht extrem speziell ist
darfst Du hier auch die "Domänen-Benutzer" als Gruppe hinzufügen und zwar mit Vollzugriff oder mindestens mit der Berechtigung erstellen und löschen. Natürlich die lokale
Administratoren Gruppe vom Fileserver und System nicht vergessen sowie "Ersteller-Besizter" wenn diese nicht schon drinn wäre da dies eigentlich die Standard Vorgaben von MS sind.
Wird nun beim ADS im Benutzer ein Laufkwerk als Home Directory zugestellt und als Pfad
bei allen \\servername\home$\%username% definiert wird dieses sofort erstellt und nicht erst wenn sich der Benutzer anmeldet. Somit kannst Du dann sofort die Berechtigung prüfen (wie immer steht fileserver für dein Hostname des Servers).
Good Luck!!!
Grüsse
Schnorz
Das mit dem Zugriff auf die Profile funktioniert irgendwie nicht 
Die Computer sind im Ordner Computer - nicht in einer OU - Standard eben.
Ich habe mal eine Richtlinie erstellt (Neu -> bearbeiten...) und mit der Domäne verknüpft - geht nicht.
In der Default Domain Polic.. den Zugriff aktiviert keine Wirkung
Die Computer sind im Ordner Computer - nicht in einer OU - Standard eben.
Ich habe mal eine Richtlinie erstellt (Neu -> bearbeiten...) und mit der Domäne verknüpft - geht nicht.
In der Default Domain Polic.. den Zugriff aktiviert keine Wirkung
Hallo
Genau dies ist der Punkt. Die Computer werden in den Standard Container hinzugefügt.
Keine gute Idee. Du kannst nur in OU Richtlinien erstellen.
Am besten erstellt man vordefiniert ein paar OUs, Beispiel:
OU: "Computer"
In Computer eine OU "Desktops", eine OU "MobilePC" etc.......
Danach werden die Computer welche in die OU "Desktops" verschoben.
Die Richtlinie danach in "Desktops" anwenden und danach wird es funktionieren.
Achtung: Von Definitionen in der Default Domain Policy rate ich generell ab, hier sind alle betroffen, auch DCs, Server etc..... Was höchsten in die Default domain Policy integriert werden kann ist das Passwortrichtlinienkonzept, andere Einstellungen sind kritisch.
PS: Mit redircmp kannst Du übrigens auf dem DC konfigurieren, in welche OUs die Computer
automatisch hinzugefügt werden sollen, wenn dies bei deiner Umgebung Sinn macht. Diese
Einstellung würde danach die Computer beim neuen hinzufügen direkt in die OU "Desktops"
integrieren.
Solltet ihr eine Softwareverteilung haben müsste dies aber mit diesem Team zuerst koordiniert werden (Bsp. bei Symantec Livestate wird die OU bereits dort angegeben).
Jetzt dürfte nichts mehr schief gehen.
PS: Recht gute Homepage mit Gruppenrichtlinien ist www.gruppenrichtlinien.ch.
Dort findest Du für weitere Fragen sehr gute Hinweise, Tolle Webpage!
Grüsse
Schnorz
Genau dies ist der Punkt. Die Computer werden in den Standard Container hinzugefügt.
Keine gute Idee. Du kannst nur in OU Richtlinien erstellen.
Am besten erstellt man vordefiniert ein paar OUs, Beispiel:
OU: "Computer"
In Computer eine OU "Desktops", eine OU "MobilePC" etc.......
Danach werden die Computer welche in die OU "Desktops" verschoben.
Die Richtlinie danach in "Desktops" anwenden und danach wird es funktionieren.
Achtung: Von Definitionen in der Default Domain Policy rate ich generell ab, hier sind alle betroffen, auch DCs, Server etc..... Was höchsten in die Default domain Policy integriert werden kann ist das Passwortrichtlinienkonzept, andere Einstellungen sind kritisch.
PS: Mit redircmp kannst Du übrigens auf dem DC konfigurieren, in welche OUs die Computer
automatisch hinzugefügt werden sollen, wenn dies bei deiner Umgebung Sinn macht. Diese
Einstellung würde danach die Computer beim neuen hinzufügen direkt in die OU "Desktops"
integrieren.
Solltet ihr eine Softwareverteilung haben müsste dies aber mit diesem Team zuerst koordiniert werden (Bsp. bei Symantec Livestate wird die OU bereits dort angegeben).
Jetzt dürfte nichts mehr schief gehen.
PS: Recht gute Homepage mit Gruppenrichtlinien ist www.gruppenrichtlinien.ch.
Dort findest Du für weitere Fragen sehr gute Hinweise, Tolle Webpage!
Grüsse
Schnorz
Hallo Leute
Ich habe folgendes Problem:
Ich habe folgendes Problem:
Habe etwas an den Rechten gespielt.
Welche Rechte sollte ich wie einstellen ?
1. auf die Freigabe
2. auf die jeweiligen Verzeichnisse
3. auf den übergeordneten Ordner?
z.B. freigabe
profilegruppe1$
Gruppe Gruppe1
Benutzer g1-b1, g1-b2
Ordner
profile-g1 alles Gruppe1 Administratoren
|-- g1-b1 > Alles g1-b1, Administratoren vererbt auf alle unterordner
|-- g1-b2 > Alles g1-b1, Administratoren vererbt auf alle unterordner
Was ist mit rechten für Ersteller und besitzer ???
Gibt es da eine Anleitung zum reparieren ???
danke im voraus
man10to
Achim
