2
ändern der bestehenden Verzeichnisse home und profiles
Ich möchte die vorhandenen Berechtigungen nachträglich ändern.
Hi,
ich habe eine Server2003 AD Domäne mit ca 180 Usern neu übernommen.
Server 2003 DC und Windows XP Clients, server gespeicherte Profile.
Die Vorhandene Ordner-Struktur auf einen anderen Server umziehen soll(anderer Name usw), da dort mehr Ressourcen zur Verfügung stehen.
Diese Änderung der Userprofile im AD würde ich per ADModify erledigen.
Meine Aufgabe ist es nun, die vorhandenen Userhome- und Userprofile Verzeichnisse nachträglich so zu ändern, das nicht jeder User alles sehen darf.
Die Freigabe ist momentan auf jeder vollzugriff gesetzt.
Das wollte ich auch so belassen.
Wenn aber jemand einen Einwand, dann so er mir das bitte mitteilen. Bin für jeden guten Tipp Dankbar.
Jetzt kommen wir zu der NTFS-Berechtigung, da sieht es wie folgt aus:
D:\profile Domäne\administrator: (OI)(CI)F
VORDEFINIERT\Administratoren:F
VORDEFINIERT\Benutzer: (OI)(CI)F
Domäne\administrator:F
ERSTELLER-BESITZER: (OI)(CI)(IO)F
Jeder: (OI)(CI)R
VORDEFINIERT\Administratoren: (OI)(CI)F
NT-AUTORITŽT\SYSTEM: (OI)(CI)F
Domäne\administrator:F
ERSTELLER-BESITZER: (OI)(CI)(IO)F
VORDEFINIERT\Benutzer: (OI)(CI)R
VORDEFINIERT\Benutzer: (CI)(Beschränkter Zugriff: ) FILE_APPEND_DATA
VORDEFINIERT\Benutzer: (CI)(Beschränkter Zugriff: ) FILE_WRITE_DATA
D:\home VORDEFINIERT\Administratoren:F
VORDEFINIERT\Benutzer: (OI)(CI)F
domäne\Dom„nen-Admins: (OI)(CI)F
domäne\Dom„nen-Benutzer: (OI)(CI)F
Jeder: (OI)(CI)F
VORDEFINIERT\Administratoren: (OI)(CI)F
NT-AUTORITŽT\SYSTEM: (OI)(CI)F
ERSTELLER-BESITZER: (OI)(CI)(IO)F
VORDEFINIERT\Benutzer: (OI)(CI)R
VORDEFINIERT\Benutzer: (CI)(Beschränkter Zugriff: ) FILE_APPEND_DATA
VORDEFINIERT\Benutzer: (CI)(Beschränkter Zugriff: ) FILE_WRITE_DATA
Was wäre sinnvoll hierbei zu tun???
Ich denke mir, das der Admin auch weiterhin die vollen Zugriffsrechte behalten sollte...
Wie kann ich die Änderungen an der bestehenden Ordner-Struktur machen. Das ich so wenig wie möglich Berechtigunsprobleme bekomme.
Ich habe zwar gelesen, das man das mit einer Schleife und cacls.exe erreichen kann. Aber da meine Batchkenntnisse nicht gerade die besten sind. Stehe ich vor einem Problem.
Ich möchte auch nicht alles per Hand ändern müssen.
Von daher bin ich echt für vieles offen.
Vielleicht hat jemand von euch das gleiche Problem gehabt, und es einfach lösen können.
edit:
Wenn noch jemand Vorschläge hat, dann bitte erzählen. Bin für jeden guten Tipp offen. Da mein File-System erst nächste Woche kommt, möchte ich soviel wie mögliche Informationen zusammen tragen..
mit freundlichen Grüßen
Sascha
ich habe eine Server2003 AD Domäne mit ca 180 Usern neu übernommen.
Server 2003 DC und Windows XP Clients, server gespeicherte Profile.
Die Vorhandene Ordner-Struktur auf einen anderen Server umziehen soll(anderer Name usw), da dort mehr Ressourcen zur Verfügung stehen.
Diese Änderung der Userprofile im AD würde ich per ADModify erledigen.
Meine Aufgabe ist es nun, die vorhandenen Userhome- und Userprofile Verzeichnisse nachträglich so zu ändern, das nicht jeder User alles sehen darf.
Die Freigabe ist momentan auf jeder vollzugriff gesetzt.
Das wollte ich auch so belassen.
Wenn aber jemand einen Einwand, dann so er mir das bitte mitteilen. Bin für jeden guten Tipp Dankbar.
Jetzt kommen wir zu der NTFS-Berechtigung, da sieht es wie folgt aus:
D:\profile Domäne\administrator: (OI)(CI)F
VORDEFINIERT\Administratoren:F
VORDEFINIERT\Benutzer: (OI)(CI)F
Domäne\administrator:F
ERSTELLER-BESITZER: (OI)(CI)(IO)F
Jeder: (OI)(CI)R
VORDEFINIERT\Administratoren: (OI)(CI)F
NT-AUTORITŽT\SYSTEM: (OI)(CI)F
Domäne\administrator:F
ERSTELLER-BESITZER: (OI)(CI)(IO)F
VORDEFINIERT\Benutzer: (OI)(CI)R
VORDEFINIERT\Benutzer: (CI)(Beschränkter Zugriff: ) FILE_APPEND_DATA
VORDEFINIERT\Benutzer: (CI)(Beschränkter Zugriff: ) FILE_WRITE_DATA
D:\home VORDEFINIERT\Administratoren:F
VORDEFINIERT\Benutzer: (OI)(CI)F
domäne\Dom„nen-Admins: (OI)(CI)F
domäne\Dom„nen-Benutzer: (OI)(CI)F
Jeder: (OI)(CI)F
VORDEFINIERT\Administratoren: (OI)(CI)F
NT-AUTORITŽT\SYSTEM: (OI)(CI)F
ERSTELLER-BESITZER: (OI)(CI)(IO)F
VORDEFINIERT\Benutzer: (OI)(CI)R
VORDEFINIERT\Benutzer: (CI)(Beschränkter Zugriff: ) FILE_APPEND_DATA
VORDEFINIERT\Benutzer: (CI)(Beschränkter Zugriff: ) FILE_WRITE_DATA
Was wäre sinnvoll hierbei zu tun???
Ich denke mir, das der Admin auch weiterhin die vollen Zugriffsrechte behalten sollte...
Wie kann ich die Änderungen an der bestehenden Ordner-Struktur machen. Das ich so wenig wie möglich Berechtigunsprobleme bekomme.
Ich habe zwar gelesen, das man das mit einer Schleife und cacls.exe erreichen kann. Aber da meine Batchkenntnisse nicht gerade die besten sind. Stehe ich vor einem Problem.
Ich möchte auch nicht alles per Hand ändern müssen.
Von daher bin ich echt für vieles offen.
Vielleicht hat jemand von euch das gleiche Problem gehabt, und es einfach lösen können.
edit:
Wenn noch jemand Vorschläge hat, dann bitte erzählen. Bin für jeden guten Tipp offen. Da mein File-System erst nächste Woche kommt, möchte ich soviel wie mögliche Informationen zusammen tragen..
mit freundlichen Grüßen
Sascha
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 114843
Url: https://administrator.de/contentid/114843
Printed on: April 16, 2024 at 07:04 o'clock
2 Comments
Latest comment
Hallo,
mach es dir einfach.
Ändere im AD den Pfad, wie du beschrieben hast.
Wenn eine Ordnerumleitung über GPO eingerichtet ist, dann auch die GPO ändern auf den neuen Pfad
Jetzt gibt es 2 Möglichkeiten:
1. Du meldest jeden User ein Mal an, so dass sein Profil neu erstellt wird, danach kopiertst du die Profildaten in das neue Profil rein.
Damit hättest du einen sauberen Umzug. Aber bei 180 User dauert das.
Ich habe es immer auf diese Weise gemacht, jedoch waren meine User überschaubar 20-30
2. Du kopiertst sofort die Profilodner auf das neue System, und testest ob die Benutzer sich sauber anmelden können. Damit übernimmst du natürlich auch alle Marotten die so ein Profil angesammelt hat in laufe der Zeit.
Was die Berechtigung angeht:
Meiner Meinung nach , brauchst du auf die Profilordner nicht mehr als:
Freigabe:
Jeder= voll
NTFS Berechtigung:
Gruppe der Administratoren = voll
Ersteller Besitzer = voll
System = voll
Damit du ganz sicher gehen kannst dass die Berechtigung auch ok ist,kannst du den jeweiligen User zum Besitzer machen, und danach wieder den Administrator zum Besitzer machen. Aber das nur falls es aufs erste nicht funktioniert.
mach es dir einfach.
Ändere im AD den Pfad, wie du beschrieben hast.
Wenn eine Ordnerumleitung über GPO eingerichtet ist, dann auch die GPO ändern auf den neuen Pfad
Jetzt gibt es 2 Möglichkeiten:
1. Du meldest jeden User ein Mal an, so dass sein Profil neu erstellt wird, danach kopiertst du die Profildaten in das neue Profil rein.
Damit hättest du einen sauberen Umzug. Aber bei 180 User dauert das.
Ich habe es immer auf diese Weise gemacht, jedoch waren meine User überschaubar 20-30
2. Du kopiertst sofort die Profilodner auf das neue System, und testest ob die Benutzer sich sauber anmelden können. Damit übernimmst du natürlich auch alle Marotten die so ein Profil angesammelt hat in laufe der Zeit.
Was die Berechtigung angeht:
Meiner Meinung nach , brauchst du auf die Profilordner nicht mehr als:
Freigabe:
Jeder= voll
NTFS Berechtigung:
Gruppe der Administratoren = voll
Ersteller Besitzer = voll
System = voll
Damit du ganz sicher gehen kannst dass die Berechtigung auch ok ist,kannst du den jeweiligen User zum Besitzer machen, und danach wieder den Administrator zum Besitzer machen. Aber das nur falls es aufs erste nicht funktioniert.
Hi Jadefalke,
danke für deine Tipps. Die werd ich mir mal überlegen.
Mal schauen was ich mache. Sinnvoll wäre es schon, wenn man alles neu anlegt, dann iste s sauber.
Aber halt bei der Menge an Usern, ist es schon ein wenig aufwendiger...
Ich werd dich in Kenntnis setzen, wenn ich es geschafft habe.
mfg
Sascha
danke für deine Tipps. Die werd ich mir mal überlegen.
Mal schauen was ich mache. Sinnvoll wäre es schon, wenn man alles neu anlegt, dann iste s sauber.
Aber halt bei der Menge an Usern, ist es schon ein wenig aufwendiger...
Ich werd dich in Kenntnis setzen, wenn ich es geschafft habe.
mfg
Sascha