Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Wie lese ich Mitglieder einer Lokalen Gruppe im Windows Server 2008 R2 aus?

Mitglied: SkywalkersReturn

SkywalkersReturn (Level 1) - Jetzt verbinden

05.08.2010 um 15:55 Uhr, 5703 Aufrufe, 15 Kommentare

Ich habe folgendes Problem: Ich möchte auf einem Windows Server 2008 R2, der als Fileserver dient per Skript oder Batch die Mitglieder der dortigen lokalen Gruppen auslesen und anhand der Ergebnisse die betreffenden Laufwerksfreigaben mappen. Dieser Server ist in einer Domäne, für die ich aber keine Admin-Rechte habe. Ich verfüge lediglich über lokale Admin-Rechte. Ich habe schon einiges zum auslesen der Mitglieder von Gruppen aus dem AD gefunden, aber noch nichts über "normale" lokale GRuppen. Bin für jede Hilfe dankbar.
Mitglied: Karo
05.08.2010 um 16:07 Uhr
schon mal mit IFMEMBER "<SERVERNAME>\<GRUPPE>" || net use <LW>: \\<SERVER>\<SERVERSHARE> gespielt?
Bitte warten ..
Mitglied: 48507
05.08.2010 um 16:08 Uhr
Wie soll das gehen, wenn das Mappen durch den Client geschieht und dieser dann die Rechte haben müsste, die eigene Gruppe auf dem Server auszulesen?
Bitte warten ..
Mitglied: Karo
05.08.2010 um 16:23 Uhr
uuurks, Spytnik, Du hast natürlich recht. Voll den Denkfehler meinerseits.

Man könnte es vielleicht so machen:
- Access Based Enumeration (ABE) muss auf dem Server laufen
- EINEN Einsteigspunkt (Share) für ALLE, sprich Es gibt eine Gruppe (ich nenne sie mal GROUP00) in der alle anderen Gruppen drin sind. Diese Gruppe wird auf dem Einstiegspunkt (Share) verrechtet mit LIST ONLY.
- Unterhalb des Einstiegspunktes kommen die einzelnen Gruppenverzeichnisse auf denen auch NUR die jeweilige Gruppe (+Admins ) Rechte hat, nicht einmal die GROUP00 hat hier irgendwelche Rechte (Thema Vererbung ausschalten).
- Durch die ABE Sehen die User nur die Ordner auf die sie können...das wars.

Ob Du das rein per Share/NTFS oder mit DFS machst ist Deine Sache....
Bitte warten ..
Mitglied: 60730
05.08.2010 um 16:55 Uhr
Moin,

ganz ehrlich in den letzten Tagen / Wochen sind hier schon so manche Fragen grußlos gestellt worden, das man sich fragt - wo denn die vielen neuen Adminpraktikantenstellen vergeben wurden...


Für mich, als ungelernter gelernter Hauptnebeneinsteiger (um nicht zu schreiben - Arbeitsloser Arbeitslose dessen Frau Arbeitslose Webdesigner Assistentin ist) macht das (die Frage, das Konstrukt) keinen Sinn.
(Auch das irgendjemand einem anderen lokaler Adminrechte auf einen Server - der in einer AD ist - gibt und den dann nicht instruiert, wie er was zu machen hat)

Eine lokale Gruppe in einer AD zu pflegen - ja mei -wenn sein muß dann macht man das halt - und die Abfrage - wie wo wann und wer läuft über die AD.

Gruß
Bitte warten ..
Mitglied: DerWoWusste
06.08.2010 um 00:02 Uhr
Hi.

Du hast schon 4 Kommentare, dabei geht aus dem Beitrag nicht einmal hervor, wem die Laufwerke gemappt werden sollen.
Hast Du wirklich mehrere lokale Nutzer des Servers, die sich an diesem per RDP anmelden (oder gar davor setzen)? Und wohin werden diese Laufwerke verbunden (Zielpfad?), etwa zum Server selbst?

Ich schätze, wie auch immer Du antworten magst, dass Du etwas eher Seltenes als Schönes baust und wüsste deshalb gern, welches Ziel Du verfolgst.
Bitte warten ..
Mitglied: SkywalkersReturn
06.08.2010 um 09:09 Uhr
Hallo an alle,

erstmal vielen Dank für die Kommentare. Ich werde mal versuchen, mein Problem noch etwas detaillierter darzustellen. Ich arbeite in einer großen Stadtverwaltung, die wie vielleicht bekannt ist, in viele Organisationeinheiten gegliedert ist. Bei meiner Organisationseinheit kommt noch erschwerend hinzu, dass wir zwar zur Stadt gehören, aber Aufgaben des Landes erledigen und auch vom Land bezahlt werden.

Das gesamte Netzwerk inkl. Domäne wird von einem externen Dienstleister betreut, der in seinem Konzept nicht vorsieht, den einzelnen Orga-Einheiten Adminrechte für das AD zu geben. Also haben wir in unserer Orga u. a. einen eigenen Fileserver, der zwar in der Domäne ist, aber nur Daten zur Verfügung stellt. Auf diesem Fileserver gibt es lokale Grupen, die Berechtigungen für verschiedene Laufwerksfreigaben haben. Ich möchte erreichen,dass wenn ein User sich anmeldet, ein Script abläuft, welches feststellt, in welchen lokalen Gruppen der User ist und anhand dieser Berechtigungen die Laufwerke des Fileservers mappt.

Mir ist schon bewusst, dass dieses Konstrukt nicht das eleganteste ist, aber unsere Leitung steht auf dem Standpunkt, dass der externe Dienstleister zwar bestimmen darf, an welcher Domäne wir uns anmelden, aber Zugriff auf unsere Daten gibt es nicht.

Ich hoffe, ich konnte mein Vorhaben etwas klarer darstellen und danke für jede Hilfe im Voraus.

Liebe Grüße
Dirk
Bitte warten ..
Mitglied: DerWoWusste
06.08.2010 um 09:22 Uhr
Ich hoffe, ich konnte mein Vorhaben etwas klarer darstellen und danke für jede Hilfe im Voraus
Ganz ehrlich? Nein, konntest Du nur gering.

Wo melden sich die Benutzer an? An Clients oder am Server selbst?

Angenommen, Du meldest Dich am Client an. Du hast lokale Nutzer, die sowohl auf dem Server als auch auf dem Client bestehen, dann könnte ein Skript nur die lokalen Gruppen des Clients abfragen.
Wenn Du Dich mit einem Domänenkonto anmeldest, dann kann ifmember natürlich Domänengruppen abfragen.

Wenn Du Dich am Server anmeldest (rdp) geht natürlich beides.

Also: 2. Anlauf bitte um Klarheit zu schaffen.
Bitte warten ..
Mitglied: SkywalkersReturn
06.08.2010 um 09:48 Uhr
Ok, ich versuche es nochmal. Die Benutzer melden sich am Client an. Dieser Verbindet sich mit der Domäne. Die Daten werden dem Benutzer über Laufwerksfreigaben des Fileservers bereitgestellt.

Es gibt keine lokalen Nutzer, alle sind in der Domäne. Nur auf dem Fileserver gibt es lokale Gruppen. Deren Mitglieder sind aber auch nur Domänenbenutzer.

Ich hatte die Vorstellung, dass es evtl. eine Möglichkeit gäbe, mit einem Befehl festzulegen, auf welchem Server ich die lokalen Gruppen auslesen möchte.
Deiner Antwort kann ich wohl entnehmen, dass eben dies nicht möglich ist.
Die Domänengruppen nützen mir in diesem Fall wenig, weil die Domänenberechtigungen nichts mit den Berechtigungen auf unserem Fileserver zu tun haben. Wir nutzen aus den oben genannten Gründen nicht die Möglichkeit, die Rechte über das AD zu steuern. Leider haben wir auch nicht die Möglichkeit eine eigene Domäne zu implementieren. Deshalb müssen wir mit dieser "Krücke" leben.
Bitte warten ..
Mitglied: 48507
06.08.2010 um 09:53 Uhr
Wie oben von Karo empfohlen... für alle das gleiche Laufwerk mit Unterverzeichnissen für die einzelnen Gruppen. Alles andere regelst du dann auf der Dateiebene auf dem Server.

Wie verbindest du eigentlich die Laufwerke, wenn du keinen Zugriff auf's Netlogon bzw. AD hast? Per lokalem Script?
Bitte warten ..
Mitglied: SkywalkersReturn
06.08.2010 um 10:11 Uhr
Die Verbindung zu den Laufwerken wird mit einem Skript erledigt, welches auf jedem Client in der Autostartgruppe der "All Users" liegt..
Bitte warten ..
Mitglied: Karo
06.08.2010 um 11:09 Uhr
Moin,
nun, clientbasierte Autostartscripts, tja ... hach

...wage es kaum zu schreiben, mach es aber doch:
IF EXIST \\<SERVERNAME>\<SHARE01> NET USE M: \\<SERVERNAME>\<SHARE01>
IF EXIST \\<SERVERNAME>\<SHARE02> NET USE N: \\<SERVERNAME>\<SHARE02>
aso.....
aso.....
Die User können schließlich nur das sehen, was für ihre Gruppen eingerichtet ist (wenn auf den Share-Rechten nur die Gruppe/n und Administratoren verrechtet sind.
Nachteil die Verzögerung beim Checken auf Existenz...

Ich bleibe bei meinem oben genannten. Mit ABE hast Du eine saubere Lösung ohne an irgendwelchen Clientscripts jetzt und in Zukunft rumferkeln zu müssen ....

Karo
Bitte warten ..
Mitglied: SkywalkersReturn
06.08.2010 um 12:30 Uhr
Vielen Dank für eure Hilfe. ABE ist tatsächlich die Lösung des Problems. Ich habe da etwas auf der Leitung gestanden, weil mir bis jetzt überhaupt nicht bekannt war, dass es so etwas gibt.

Das kommt davon, wenn man mit solchen Sachen ins kalte Wasser geworfen wird und sich sämtliches Wissen selbst erarbeiten muss...


Danke noch mal und schönes Wochenende

Dirk
Bitte warten ..
Mitglied: DerWoWusste
06.08.2010 um 13:26 Uhr
Schön. Gib bitte Feedback, ob ABE tatsächlich so arbeitet und Du es schon als funktionierend getestet hast. Ich habe das Bedenken, dass
IF EXIST \\<SERVERNAME>\<SHARE01> NET USE M: \\<SERVERNAME>\<SHARE01> usw.
auch Freigaben finden, die der Explorer (dank ABE) nicht sieht und die Lösung somit keine ist.
Bitte warten ..
Mitglied: Karo
06.08.2010 um 14:09 Uhr
Hoi,

die 'if exist...' bezog sich nicht auf ABE, sondern seine momentane Situation. Darum habe ich mich auch so schwer getan.
Mit ABE braucht er doch nur ein Laufwerk für alle User verbinden.

Karo
Bitte warten ..
Mitglied: DerWoWusste
06.08.2010 um 14:22 Uhr
Vollkommen richtig - hab ich nicht zu Ende gedacht.
Bitte warten ..
Ähnliche Inhalte
Windows Userverwaltung

Mitglieder der lokalen Benutzer und Gruppen über GPO ändern

gelöst Frage von moses-southWindows Userverwaltung5 Kommentare

Einen wunderschönen guten Morgen zusammen Erst mal ein herzliches Willkommen und danke für eure bisherige Unterstützung, anhand der Fragen ...

Windows Server

Windows Server 2008 R2 Kennwortrichtlinie Lokal Domäne

gelöst Frage von mario87Windows Server9 Kommentare

Hallo zusammen, ich habe einen Windows Server 2008 Std. R2, der Mitglied der Domäne ist, diese aber nicht verwaltet. ...

Windows Server

Windows 2008 r2, Gruppen Berechtigungen für Ordner auf einmal vergeben

Frage von TuricanWindows Server3 Kommentare

Hallo, ich soll auf unserem Server für mehrere Ordner Gruppen Berechtigungen vergeben. Wir haben normalerweise Novel als Hauptserver, da ...

Windows Userverwaltung

User und Gruppen von Server 2008 auf Server 2008 R2 umziehen

Frage von speedy26gonzalesWindows Userverwaltung4 Kommentare

Hallo, ich habe die letzte Zeit öfters damit zu tun dass wir ältere Server (z.B. 2003, 2008) auf Server ...

Neue Wissensbeiträge
Windows 7

Windows 7 - Server 2008 R2: Exploit für Total Meltdown verfügbar

Information von kgborn vor 21 StundenWindows 7

Kleine Information für Administratoren, die für die Updates von Windows 7 SP1 und Windows Server 2008 R2 SP1 verantwortlich ...

Sicherheit

Zero Day-Schwachstelle im Internet Explorer - wird von APT bereits ausgenutzt

Information von kgborn vor 1 TagSicherheit

Im Kernel des Internet Explorer scheint es eine Zero Day-Lücke zu geben, die von staatlichen Akteuren (APT) im Rahmen ...

Microsoft
Folder Security Viewer-Lizenzen zu gewinnen
Information von kgborn vor 1 TagMicrosoft

Ich nehme das Thema mal in Absprache mit Frank hier auf, da es für den einen oder anderen Administrator ...

Hardware

Feueralarm killt Festplatten in Rechenzentrum - führt zu größerem Ausfall

Information von kgborn vor 1 TagHardware12 Kommentare

Noch ein kleiner Beitrag für Administratoren, die in Rechenzentren aktiv sind - so als Fingerzeig. Denn es gibt Szenarien, ...

Heiß diskutierte Inhalte
Linux
Linux Server oder Windows Server - lohnt eine Umstellung auf Linux und ebenso basierende SW bei einer langfristigen Planung?
Frage von motus5Linux27 Kommentare

Wir brauchen bei uns einen neuen Server. Dieser wird als Fileserver, Domäne Controller sowie Exchange Server verwendet. Wir versuchen ...

C und C++
Frage1 C Programmierung-Makefile Frage2 PHP-Programmierung HTTP-Fehler 404
Frage von KatalinaC und C++24 Kommentare

Hallo, ich habe 2 Fragen, die nichts miteinander zu tun haben aber mit denen ich mich gerade beschäftige: 1. ...

LAN, WAN, Wireless
Watchguard T15 VPN Einrichtung
gelöst Frage von thomasjayLAN, WAN, Wireless22 Kommentare

Hallo zusammen, wir möchten gerne über unsere Watchguard T15 einen VPN-Tunnel (Mobile VPN with IPSec) einrichten! Als Client nutzen ...

DSL, VDSL
ISP Wechsel auf Vodefone Koax, Gebäudeverkabelung nur per Cat 7
gelöst Frage von wusa88DSL, VDSL19 Kommentare

Hallo Zusammen, ich bin momentan bei Mnet als Glasfaser Kunde und möchte Preis/Leistungs-Technisch zu Kabel Deutschland / Vodafone wechseln. ...