6
Gruppenrichtlinie für Terminalserver - Administratorrechte für NTFS Benutzer vom Basisordner werden nicht erteilt für servergespeicherte Profile schon
Beim Basispfad wird der Admin nicht als Benutzer in der NTFS Berechtigung gesetzt
Ich quäle mich unter Windows 2008 R2 mit den Rechten bei Freigaben mit der NTFS Berechtigung für Besitzer herum.
Ich habe eine Gruppenrichtlinie erstellt in der jeder Terminalserverbenutzer ein servergespeichertes Profil und einen Basispfad bekommt das dann als Laufwerk P in den Sitzungen bereitgestellt wird.
Das klappt auch hervorragend. Der Benutzer loggt sich auf dem TS ein und es wird in den Freigaben TSprofile$ und User$ jeweils ein Unterordner mit dem Namen des Benutzers erstellt für das Profil und für den Basisordner (Schreibweise der Ordner orname.name.domänname).
Wenn ich auf dem Server als Admin versuche die Ordner zu öffnen dann kann ich das nur in dem Profilordner. Beim Basispfad bekomme ich die Meldung "Sie verfügen nicht über die Berechtigung....". Ich muss dann unter Sicherheit mich als Admin als Benutzer eintragen. Der Terminalserverbenutzer kann aber in seiner Sitzung problemlos in dem Ordner arbeiten.
Ich habe in den Gruppenrichtlinien unter dem servergespeicherten Profil natürlich "Den Administrator zu den Profilen hinzufügen" eingestellt, deshalb komme ich da auch drauf. So einen Schalter finde ich aber nicht für den Basispfad.
Wenn ich in der Ordnerumleitung z.B. Dokumente auf den gleichen UNC Pfad umleite mit der Einstellung "Einene Unterordner für jeden Benutzer erstellen" kann ich dort ja auch einstellen das der Benutzer nicht exclusiven Zugriff auf den Ordner bekommt. Da kann ich dann auch sofort als Admin draufschauen. Dann gibt es allerdings einen Ordner mit dem Namen vorname.name. Der Ordner geht dann, während der Basispfadordner vorname.name.domänname mich als Admin nicht reinlässt.
In den NTFS Berechtigungen sind die Admis alle mit Vollzugriff auf alle Ordner, Unterordner und Dateien eingetragen. Auch alle anderen Sicherheitseinstellungen sind für beide Freigaben identisch. Und es klappt ja auch mit den Profilen und einer direkten Ordnerumleitung. Nur eben nur nicht mit dem Basispfad. Also irgendwo muss man doch einstellen können das auch beim Basisordner alle Admins direkt in dei Ordner schauen dürfen.
Wenn ich den Besitzer in den NTFS Berechtigungen ansehe, steht dann dort "Der aktuelle besitzer kann nicht angezeigt werden".
Könnt Ihr mir sagen wo ich noch etwas einstellen muss damit immer Admins Zugriff auf die Basisordner haben ?
Es ist sonst nämlich umständlich immer erst die Besitzrechte übernehmen zu müssen.
Gruss
Chris
Ich habe eine Gruppenrichtlinie erstellt in der jeder Terminalserverbenutzer ein servergespeichertes Profil und einen Basispfad bekommt das dann als Laufwerk P in den Sitzungen bereitgestellt wird.
Das klappt auch hervorragend. Der Benutzer loggt sich auf dem TS ein und es wird in den Freigaben TSprofile$ und User$ jeweils ein Unterordner mit dem Namen des Benutzers erstellt für das Profil und für den Basisordner (Schreibweise der Ordner orname.name.domänname).
Wenn ich auf dem Server als Admin versuche die Ordner zu öffnen dann kann ich das nur in dem Profilordner. Beim Basispfad bekomme ich die Meldung "Sie verfügen nicht über die Berechtigung....". Ich muss dann unter Sicherheit mich als Admin als Benutzer eintragen. Der Terminalserverbenutzer kann aber in seiner Sitzung problemlos in dem Ordner arbeiten.
Ich habe in den Gruppenrichtlinien unter dem servergespeicherten Profil natürlich "Den Administrator zu den Profilen hinzufügen" eingestellt, deshalb komme ich da auch drauf. So einen Schalter finde ich aber nicht für den Basispfad.
Wenn ich in der Ordnerumleitung z.B. Dokumente auf den gleichen UNC Pfad umleite mit der Einstellung "Einene Unterordner für jeden Benutzer erstellen" kann ich dort ja auch einstellen das der Benutzer nicht exclusiven Zugriff auf den Ordner bekommt. Da kann ich dann auch sofort als Admin draufschauen. Dann gibt es allerdings einen Ordner mit dem Namen vorname.name. Der Ordner geht dann, während der Basispfadordner vorname.name.domänname mich als Admin nicht reinlässt.
In den NTFS Berechtigungen sind die Admis alle mit Vollzugriff auf alle Ordner, Unterordner und Dateien eingetragen. Auch alle anderen Sicherheitseinstellungen sind für beide Freigaben identisch. Und es klappt ja auch mit den Profilen und einer direkten Ordnerumleitung. Nur eben nur nicht mit dem Basispfad. Also irgendwo muss man doch einstellen können das auch beim Basisordner alle Admins direkt in dei Ordner schauen dürfen.
Wenn ich den Besitzer in den NTFS Berechtigungen ansehe, steht dann dort "Der aktuelle besitzer kann nicht angezeigt werden".
Könnt Ihr mir sagen wo ich noch etwas einstellen muss damit immer Admins Zugriff auf die Basisordner haben ?
Es ist sonst nämlich umständlich immer erst die Besitzrechte übernehmen zu müssen.
Gruss
Chris
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 176198
Url: https://administrator.de/contentid/176198
Printed on: April 19, 2024 at 06:04 o'clock
6 Comments
Latest comment
Hi.
Ich schätze, Du verstehst etwas miss. In der ACL sind die Administratoren drin und nicht Dein Konto. Sicher, Dein Konto ist in der Admingruppe, aber durch die UAC erhältst Du nicht automatisch auch den Admintoken, sondern nur die Möglichkeit, ihn nachträglich zu holen.
Teste so: starte notepad.exe als Administrator über die Kontextmenüoption "als Administrator ausführen". Dann nutze das öffnen-Menü von Notepad, um den Basisordner zu öffnen. Nun wirst Du ohne Abfrage reinkommen.
Ergo: entweder damit leben, oder die UAC am PC ausschalten oder einen Dateiexplorer nutzen, den Du vorher mit Adminrechten (Kontextmenü) gestartet hast.
Ich schätze, Du verstehst etwas miss. In der ACL sind die Administratoren drin und nicht Dein Konto. Sicher, Dein Konto ist in der Admingruppe, aber durch die UAC erhältst Du nicht automatisch auch den Admintoken, sondern nur die Möglichkeit, ihn nachträglich zu holen.
Teste so: starte notepad.exe als Administrator über die Kontextmenüoption "als Administrator ausführen". Dann nutze das öffnen-Menü von Notepad, um den Basisordner zu öffnen. Nun wirst Du ohne Abfrage reinkommen.
Ergo: entweder damit leben, oder die UAC am PC ausschalten oder einen Dateiexplorer nutzen, den Du vorher mit Adminrechten (Kontextmenü) gestartet hast.
Hallo,
danke für die Antwort.
Leider klappt das nicht. ich bin auf dem 2008er als Admin direkt auf der eingeloggt, nicht über RDP.
Habe Notepad über Rechtsklick als Administrator geöffnet. Dann versucht über Datei öffnen den Ordner zu öffnen.
Gleicher Fehler -> "Sie verfügen momentan nicht über die Berechtigung des Zugriffs auf diesen Ordner".
Ich muss erst wieder mir die Rechte über erweitert als Administrator geben.
Gruss
Chris
danke für die Antwort.
Leider klappt das nicht. ich bin auf dem 2008er als Admin direkt auf der eingeloggt, nicht über RDP.
Habe Notepad über Rechtsklick als Administrator geöffnet. Dann versucht über Datei öffnen den Ordner zu öffnen.
Gleicher Fehler -> "Sie verfügen momentan nicht über die Berechtigung des Zugriffs auf diesen Ordner".
Ich muss erst wieder mir die Rechte über erweitert als Administrator geben.
Gruss
Chris
Kannst Du mal wiedergeben, was in der ACL steht?
Ich habe aus dem Artkel http://support.microsoft.com/kb/274443 diese Einstellungen gesetzt.
Freigabeberechtigungen haben Jeder und Domänen Admins und Administratoren als Vollzugriff.
◦Ersteller-Besitzer - Vollzugriff (Übernehmen für: Nur Unterordner und Dateien)
◦System - Vollzugriff (Übernehmen für: Diesen Ordner, Unterordner und Dateien)
◦Domänen-Admins - Vollzugriff (Übernehmen für: Diesen Ordner, Unterordner und Dateien)
◦Jeder - Ordner erstellen / Daten anhängen (Übernehmen für: Nur diesen Ordner)
◦Jeder - Ordner auflisten / Daten lesen (Übernehmen für: Nur diesen Ordner)
◦Jeder - Attribute lesen (Übernehmen für: Nur diesen Ordner)
◦Jeder - Ordner durchsuchen / Datei ausführen (Übernehmen für: Nur diesen Ordner)
Gruss
Chris
Freigabeberechtigungen haben Jeder und Domänen Admins und Administratoren als Vollzugriff.
◦Ersteller-Besitzer - Vollzugriff (Übernehmen für: Nur Unterordner und Dateien)
◦System - Vollzugriff (Übernehmen für: Diesen Ordner, Unterordner und Dateien)
◦Domänen-Admins - Vollzugriff (Übernehmen für: Diesen Ordner, Unterordner und Dateien)
◦Jeder - Ordner erstellen / Daten anhängen (Übernehmen für: Nur diesen Ordner)
◦Jeder - Ordner auflisten / Daten lesen (Übernehmen für: Nur diesen Ordner)
◦Jeder - Attribute lesen (Übernehmen für: Nur diesen Ordner)
◦Jeder - Ordner durchsuchen / Datei ausführen (Übernehmen für: Nur diesen Ordner)
Gruss
Chris
Ah, es stehen also die Domadmins explizit drin, dann darf die UAC keine Rolle spielen.
Teste nochmal über "effektive Berechtigungen" auf dem Reiter Sicherheit/erweitert, dass Dein Konto wirklich Vollzugriff hat.
Teste nochmal über "effektive Berechtigungen" auf dem Reiter Sicherheit/erweitert, dass Dein Konto wirklich Vollzugriff hat.
Da zeigt er mir alles komplett gesetzt. Von Vollzugriff bis runter auf Besitz übernehmen als angemeldeter Administrator.
Ist schon komisch.
Na ja, dann muss ich halt wohl ab und an mal den Besitz übernehmen lassen für den ganzen Ordner und alles darunter wenn es sonst keine Lösung gibt.
Gruss
Chris
Ist schon komisch.
Na ja, dann muss ich halt wohl ab und an mal den Besitz übernehmen lassen für den ganzen Ordner und alles darunter wenn es sonst keine Lösung gibt.
Gruss
Chris
