9
Servergespeichete Profile NTFS Berechtigungen nachträglich ändern
Problem/Aufgabe Ich muss die Berechtigungen in den servergespeicherten Profilen nachträglich ändern, da mein Vorgänger diese unglücklich gesetzt hat.
1. Schritt (noch ohne GPO)
Eigenschaften Testuser im AD: Benutzerprofil - Profilpfad \\SERVER01\allProfiles\%USERNAME%
In einer Testumgebung habe ich dazu gemäß den Empfehlungen von Daniel Melanchthon folgendes konfiguriert (Ausnahme: Administratoren haben Vollzugriff)
Minimale NTFS Berechtigungen für den übergeordneten Ordner von servergespeicherten Profilen
Ersteller/Besitzer: Vollzugriff, Nur Unterordner und Dateien
Sicherheitsgruppe der Benutzer, die Daten auf Ordner der Freigabe hinterlegen: Ordner auflisten/Inhalte lesen, Erstellen/schreiben - Nur dieser Ordner
Administrator: Vollzugriff
Jeder: Keine
Lokales System: Vollzugriff, Dieser Ordner, Unterordner und Dateien
Minimale Freigabeberechtigungen (SMB) für die übergeordnete Freigabe von servergespeicherten Profilen
Jeder: Keine
Sicherheitsgruppe der Benutzer, die Daten auf Ordner der Freigabe hinterlegen: Vollzugriff
Ergebnis: Die Anmeldung mit verschiedenen Testusern funktioniert problemlos, d.h. Profilordner werden erstellt, die Rechte sind vermtl. passend, aber die
Administratoren haben auf die einzelnen Ordner (z.B. Test01.V2) keinen Zugriff.
Jetzt habe ich die Besitzrechte übernommen und dem Test01 zusätzlich zum Admin wieder Vollzugriff gegeben.
NTFS werden nach unten vererbt, z.B. auf AppData,Desktop usw.
Leider wird der Testuser jetzt nur noch mit einem temp Profil angemeldet. Wenn ich im Windows Explorer unter dem jeweiligen Testuser
per UNC zu den Profilen navigiere hat der Testuser seltsamerweise vollzugriff.
Frage: Kann ich im ersten Schritt die Rechte nachträglich ändern, so die User sich anmelden können und der Amin vollzugriff hat.
Testumgebung: Server 2008 R2
Client: Windows 7
Danke im Voraus
1. Schritt (noch ohne GPO)
Eigenschaften Testuser im AD: Benutzerprofil - Profilpfad \\SERVER01\allProfiles\%USERNAME%
In einer Testumgebung habe ich dazu gemäß den Empfehlungen von Daniel Melanchthon folgendes konfiguriert (Ausnahme: Administratoren haben Vollzugriff)
Minimale NTFS Berechtigungen für den übergeordneten Ordner von servergespeicherten Profilen
Ersteller/Besitzer: Vollzugriff, Nur Unterordner und Dateien
Sicherheitsgruppe der Benutzer, die Daten auf Ordner der Freigabe hinterlegen: Ordner auflisten/Inhalte lesen, Erstellen/schreiben - Nur dieser Ordner
Administrator: Vollzugriff
Jeder: Keine
Lokales System: Vollzugriff, Dieser Ordner, Unterordner und Dateien
Minimale Freigabeberechtigungen (SMB) für die übergeordnete Freigabe von servergespeicherten Profilen
Jeder: Keine
Sicherheitsgruppe der Benutzer, die Daten auf Ordner der Freigabe hinterlegen: Vollzugriff
Ergebnis: Die Anmeldung mit verschiedenen Testusern funktioniert problemlos, d.h. Profilordner werden erstellt, die Rechte sind vermtl. passend, aber die
Administratoren haben auf die einzelnen Ordner (z.B. Test01.V2) keinen Zugriff.
Jetzt habe ich die Besitzrechte übernommen und dem Test01 zusätzlich zum Admin wieder Vollzugriff gegeben.
NTFS werden nach unten vererbt, z.B. auf AppData,Desktop usw.
Leider wird der Testuser jetzt nur noch mit einem temp Profil angemeldet. Wenn ich im Windows Explorer unter dem jeweiligen Testuser
per UNC zu den Profilen navigiere hat der Testuser seltsamerweise vollzugriff.
Frage: Kann ich im ersten Schritt die Rechte nachträglich ändern, so die User sich anmelden können und der Amin vollzugriff hat.
Testumgebung: Server 2008 R2
Client: Windows 7
Danke im Voraus
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 231108
Url: https://administrator.de/contentid/231108
Printed on: April 19, 2024 at 03:04 o'clock
9 Comments
Latest comment
Hi,
der Vorgänger hat da gar nichts unglücklich gesetzt. Genau so werden sie gesetzt, wenn du einen Profilpfad in den Eigenschaften des Users einträgst und der Administrator hat nichts, aber auch gar nichts in den Profilordnern zu suchen.
Die Rechtevergabe in diesen Ordnern führt in nahezu 100% aller Fälle zu Problemen mit dem Profil.
Es gibt eine einzige Ausnahme wann dort für den Administrator Berechtigungen gesetzt werden: Beim Löschen!
Ergo: Finger weg von den Profilordnern!
Gruß
der Vorgänger hat da gar nichts unglücklich gesetzt. Genau so werden sie gesetzt, wenn du einen Profilpfad in den Eigenschaften des Users einträgst und der Administrator hat nichts, aber auch gar nichts in den Profilordnern zu suchen.
Die Rechtevergabe in diesen Ordnern führt in nahezu 100% aller Fälle zu Problemen mit dem Profil.
Es gibt eine einzige Ausnahme wann dort für den Administrator Berechtigungen gesetzt werden: Beim Löschen!
Ergo: Finger weg von den Profilordnern!
Gruß
Zitat von @Xaero1982:
Hi,
der Vorgänger hat da gar nichts unglücklich gesetzt. Genau so werden sie gesetzt, wenn du einen Profilpfad in den
Eigenschaften des Users einträgst und der Administrator hat nichts, aber auch gar nichts in den Profilordnern zu suchen.
Die Rechtevergabe in diesen Ordnern führt in nahezu 100% aller Fälle zu Problemen mit dem Profil.
Es gibt eine einzige Ausnahme wann dort für den Administrator Berechtigungen gesetzt werden: Beim Löschen!
Ergo: Finger weg von den Profilordnern!
Gruß
Hi,
der Vorgänger hat da gar nichts unglücklich gesetzt. Genau so werden sie gesetzt, wenn du einen Profilpfad in den
Eigenschaften des Users einträgst und der Administrator hat nichts, aber auch gar nichts in den Profilordnern zu suchen.
Die Rechtevergabe in diesen Ordnern führt in nahezu 100% aller Fälle zu Problemen mit dem Profil.
Es gibt eine einzige Ausnahme wann dort für den Administrator Berechtigungen gesetzt werden: Beim Löschen!
Ergo: Finger weg von den Profilordnern!
Gruß
Sorry, aber Blödsinn!
Hi bonni,
Auf dem Stamm
- Administratoren Vollzugriff
- System Vollzugriff
- Ersteller Besitzer nur für untergeordnete Ordner & Daten Vollzugriff
Die GPO "Administratoren haben Vollzugriff auf Profil-Ordner" (oder so ähnlich) wie genannt für die PC / TS setzen. Überprüfen, ob die GPO angewendet wurde. Benutzer an- und abmelden.
Admins können da jetzt zugreifen.
1
Sorry, aber kein Blödsinn.
Genau so setzt der Server die Rechte.
Zumal der Administrator nun wirklich nichts in den Profilordnern zu suchen hat.
Gruß
Genau so setzt der Server die Rechte.
Zumal der Administrator nun wirklich nichts in den Profilordnern zu suchen hat.
Gruß
Danke für Info, meine Intension im ersten Schritt lernen und verstehen, d.h. der Admin bleibt erst mal draußen.Im zweiten Schritt konfiguriere ich das ganze über GPO und da kann man ja ganz komfortabel den Admins vollzugriff gewähren.
Fazit: Admins kommen nur in das Profil, wenn Sie den Besitz übernehmen und sich vollzugriff gewähren. Der User kann dann seinen Profilordner nicht mehr nutzen, auch wenn nachträglich wieder vollzugriff gewährt wurde. Das ist für mich jetzt natürlich ein Problem. Ich muss im Profilordner div. Anpassungen/Änderungen vornehmen. Die Unternehmenspolitik sieht das Recht dazu so vor.
GPO kann ich leider erst nach div. Umstellungen nutzen.
Fazit: Admins kommen nur in das Profil, wenn Sie den Besitz übernehmen und sich vollzugriff gewähren. Der User kann dann seinen Profilordner nicht mehr nutzen, auch wenn nachträglich wieder vollzugriff gewährt wurde. Das ist für mich jetzt natürlich ein Problem. Ich muss im Profilordner div. Anpassungen/Änderungen vornehmen. Die Unternehmenspolitik sieht das Recht dazu so vor.
GPO kann ich leider erst nach div. Umstellungen nutzen.
Hi,
nun wie emeriks das schrieb wird das durchaus möglich sein. Aus meiner Sicht, aber ... s.o.
Was für Änderungen musst du denn im Profilordner der Nutzer vornehmen?
Das lässt sich doch sicher anders handlen.
Gruß
nun wie emeriks das schrieb wird das durchaus möglich sein. Aus meiner Sicht, aber ... s.o.
Was für Änderungen musst du denn im Profilordner der Nutzer vornehmen?
Das lässt sich doch sicher anders handlen.
Gruß
Hallo bommi!
Abgesehen von der Frage, warum überhaupt der "Eingriff" in die Profilordner nötig sein soll, müsste sich
Noch etwas:
Grüße
bastla
Abgesehen von der Frage, warum überhaupt der "Eingriff" in die Profilordner nötig sein soll, müsste sich
Der User kann dann seinen Profilordner nicht mehr nutzen, auch wenn nachträglich wieder vollzugriff gewährt wurde.
dadurch lösen lassen, dass der User auch wieder zum Besitzer gemacht wird.Noch etwas:
Im zweiten Schritt konfiguriere ich das ganze über GPO und da kann man ja ganz komfortabel den Admins vollzugriff gewähren.
Die Einstellung "Administratoren zu servergespeicherten Profilen hinzufügen" ändert aber nix mehr für bestehende Profile, sondern gilt nur für neue Profile.Grüße
bastla
Hi,
nun, wenn wir unserem Helpdesk den Zugriff auf die Profilordner entziehen würden, dann hätten wir jeden Tag Halli Galli. irgendwas ist immer los.
Als Admin komme ich nun mal überall ran und bin für alles zuständig. Im Rahmen meiner Aufgaben natürlich. Das hat auch nichts Kontrollwahn oder so zu tun.
Jeder Kunde, jeder Geschäftsführer oder sonstige Geheimnisträger weiß das, ist darüber in Kenntnis gesetzt worden. Als Mitarbeiter habe ich dafür entsprechende Datenschutz- und Verschwiegenheitserklärungen unterschrieben. Der Schutz sensibler Daten erfolgt auf andere Weise. Die MAV's wissen das.
Es macht in diesem Sinne keinen Unterschied, ob ich mir über Besitzübernahme und -übergabe Zugriff verschaffe oder ihn mit meinem Adminkonto ständig habe. Es macht aber Unterschied im Sinne der Bearbeitungsgeschwindigkeit. Wenn man im Helpdesk im Schnitt 3 min zeit hat pro Call, dann kann ich bei einem Profil mit 10000 Cockies oder so'n Mist nicht auch noch dafür Zeit verschwenden, dass ich darauf warte, dass ich die Berechtigungen habe.
Und wenn ich so ein bißchen hart "Blödsinn" geschrieben habe, dann nur deshalb, weil Du das ebenso krass ausgeschlossen hast. Man kann das gar nicht verallgemeinern. Es gibt Umgebungen wo es notwendig ist, dass man Zugriff hat und es wird sicher welche geben, wo man keinen haben darf, z.B. weil die MAV Sturm läuft.
OK?
mfg
E.
nun, wenn wir unserem Helpdesk den Zugriff auf die Profilordner entziehen würden, dann hätten wir jeden Tag Halli Galli. irgendwas ist immer los.
Als Admin komme ich nun mal überall ran und bin für alles zuständig. Im Rahmen meiner Aufgaben natürlich. Das hat auch nichts Kontrollwahn oder so zu tun.
Jeder Kunde, jeder Geschäftsführer oder sonstige Geheimnisträger weiß das, ist darüber in Kenntnis gesetzt worden. Als Mitarbeiter habe ich dafür entsprechende Datenschutz- und Verschwiegenheitserklärungen unterschrieben. Der Schutz sensibler Daten erfolgt auf andere Weise. Die MAV's wissen das.
Es macht in diesem Sinne keinen Unterschied, ob ich mir über Besitzübernahme und -übergabe Zugriff verschaffe oder ihn mit meinem Adminkonto ständig habe. Es macht aber Unterschied im Sinne der Bearbeitungsgeschwindigkeit. Wenn man im Helpdesk im Schnitt 3 min zeit hat pro Call, dann kann ich bei einem Profil mit 10000 Cockies oder so'n Mist nicht auch noch dafür Zeit verschwenden, dass ich darauf warte, dass ich die Berechtigungen habe.
Und wenn ich so ein bißchen hart "Blödsinn" geschrieben habe, dann nur deshalb, weil Du das ebenso krass ausgeschlossen hast. Man kann das gar nicht verallgemeinern. Es gibt Umgebungen wo es notwendig ist, dass man Zugriff hat und es wird sicher welche geben, wo man keinen haben darf, z.B. weil die MAV Sturm läuft.
OK?
mfg
E.
Die Konfiguration der einzelnen Applikation dauert pro User ca. 90 Minuten, also hab ich ein Script, das eben diese Anpassungen in Null Komma nix erledigt.
BeispielAS400 *.ws Dateien, Lotus Notes oder IBM RDP. Die legen u.a. vieles im Profil ab. Zum Problem mit dem Temp-Profil: Dem User hab ich Vollzugriff gegeben und zum Besitzer gemacht. Ergebnis: Immer noch mit Temp-Profil angemeldet.
Nochmal zum Anfang, ich hatte in der alten Firma funktionierende servergespeichert Profile per GPO konfiguriert und hab eben jetzt Profile, die im ADDS in den
Eigenschaften des Users hinterlegt sind und versuche in der Testumgebung das ganze zu verstehen.
Danke für die Hinweise
BeispielAS400 *.ws Dateien, Lotus Notes oder IBM RDP. Die legen u.a. vieles im Profil ab. Zum Problem mit dem Temp-Profil: Dem User hab ich Vollzugriff gegeben und zum Besitzer gemacht. Ergebnis: Immer noch mit Temp-Profil angemeldet.
Nochmal zum Anfang, ich hatte in der alten Firma funktionierende servergespeichert Profile per GPO konfiguriert und hab eben jetzt Profile, die im ADDS in den
Eigenschaften des Users hinterlegt sind und versuche in der Testumgebung das ganze zu verstehen.
Danke für die Hinweise
Nachtrag: Ich habe eben auf dem Server, auf dem die Profile liegen dem Konto System Vollzugriff gegeben. Immer noch Temp-Profil. Auf dem Server erscheinen im Anwendungslog die Events "Ein Konto wurde erfolgreich angemeldet." 4624 und gleich dannach Ein Konto wurde abgemeldet.4634. Genauso bevor ich als Admin mir die Rechte gegeben habe. Auf Win7 Client habe ich in der Registry unter "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList" keine SID*.bak gefunden. Das hatte ich schon einmal auf einem Server 2008 R2 mit RDP.
Fazit: Ich verstehe einiges noch nicht
Fazit: Ich verstehe einiges noch nicht
