Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Administrator automatisch Mitbesitzer von Home und Profilverzeichnissen

Frage Microsoft Windows Server

Mitglied: Gehilfe

Gehilfe (Level 1) - Jetzt verbinden

26.04.2010 um 09:56 Uhr, 7472 Aufrufe, 5 Kommentare

Hallo liebe Administrator Gemeinde,

ich administriere einen relativ neuen Windows Server 2008 R2 in einer Berufsschule. Der Server wird per Thin Clients als Terminalserver verwendet (d.h. Schüler melden sich per RDP über Netzwerk direkt am Server an).

Per GPO habe ich die Profil und Homeverzeichnisse auf ein Netzlaufwerk umgeleitet.
So weit, so gut.

Nun habe ich folgende Probleme:

Problem 1:
Schüler X und Y arbeiten gemeinsam unter dem Account von Schüler X an einem Dokument. Das Dokument wird dann im Home-Verzeichnis von User X gespeichert.
Am nächsten Schultag fehlt User X. Schüler Y benötigt aber das Dokument dass bei User X gespeichert wurde.

Ich (Administrator) komme zwar noch in das Home-Verzeichnis des Schülers X hinen, bekomme aber beim Versuch auf das "Documents"-Verzeichnis von User X zuzugreifen die Fehlermeldung:
Sie verfügen momentan nicht über die Berechtigung des Zugriffs auf diesen Ordner. Klicken Sie auf "Fortsetzen", um dauerhaft Zugriff auf diesen Ordner zu erhalten.
Nach einem Klick auf Fortsetzen:
Der Zugriff auf diesen Ordner wurde verweigert. Sie müssen die Registerkarte Sicherheit verwenden, um Zugriff auf diesen Ordner zu erhalten.

Wenn ich in den Ordnereigenschaften des Ordners "Documents" auf Sicherheit, Erweiter, Besitzer gehe, bekomme ich in der Zeile "Aktueller Besitzer" die Meldung angezeigt:
Der aktuelle Besitzer kann nicht angezeigt werden.

Übernehme ich jetzt explizit den Besitz dieses Ordners, dann komme ich zwar rein, der Schüler X bekommt dann aber bei der nächsten Anmeldung eine Fehlermeldung, weil er ja selbst nicht mehr der Eigentümer des Ordners ist.

Ich habe zwar schon versucht per GPO Computerkonfiguration->Administrative Vorlagen->System->Benutzerprofile->Sicherheitsgruppe "Administratoren" zu servergespeicherten Profilen hinzufügen automatisch bei neuen Profilen Zugriff zu erhalten, hat aber leider auch nicht funktioniert.

Problem 2:
... bezieht sich direkt auf Problem 1.
Wenn eine Schulklasse von der Schule abgeht, dann muss ich die Benutzer (mitsamt der Benutzerdateien) vom Server entfernen. Der Benutzer ist per AD schnell gelöscht, die Home und Profilordern der Schüler kann ich hingegen nicht so einfach löschen (Dieser Ordner wird mit anderen Personen gemeinsam verwendet... Fortsetzen->Sie benötigen Berechtigungen zur Durchführung des Vorgangs...)

Ich vermute dass es hier eine einfachere Lösung geben muss als von jedem einezelnen User die Rechte zu "stehlen".

Hoffe, ihr könnt mir weiterhelfen.

Gruß
Gehilfe
Mitglied: sputnik
26.04.2010 um 10:07 Uhr
Homeverzeichnisse sind Homeverzeichnisse, diese sollte man nicht mit anderen teilen.

Für gemeinsame Arbeiten kannst du ein ein Gruppenverzeichnis anlegen, das "Klasse 9A" heißen könnte. Eine entsprechende Benutzergruppe im AD anlegen und die entsprechenden Schüler dieser Gruppen zuweisen und fertig. Oder halt noch etwas feiner, aufgeteilt in Arbeitsgruppen. Das, was du da machst, sind reine Arbeitsbeschaffungsmaßnahmen.

"Computerkonfiguration->Administrative Vorlagen->System->Benutzerprofile->Sicherheitsgruppe "Administratoren" zu servergespeicherten Profilen hinzufügen" sollte auf jeden Fall funktionieren - jedoch nur bei neuen Profilen und event. nach einem gpupdate /force.

Ich würde zu einem Anlege- Und LöschScript für Benutzer raten (dsadd.exe...), in dem du auch die Rechte für die Homeverzeichnisse einstellen könntest.

Habe ich dich richtig verstanden, dass du ein Unterverzeichnis vom User-Profil als Home-Laufwerk verbinden möchtest?
Bitte warten ..
Mitglied: maretz
26.04.2010 um 10:17 Uhr
Moin,

du kannst natürlich eine GPO auf dem Server erstellen das du als Admin mit in die Home-Verzeichnisse gucken kannst. Dies kann z.B. für Backup-Zwecke nötig sein.

ABER: Ich würde niemals hingehen und Dateien von einem Home-Verzeichnis zu einem anderen geben. Dafür macht man generell Gruppen (z.B. die AD-Gruppe Klasse 2010A für die Klasse die jetzt bei euch anfängt und das "A" hinten dran hat -> dann brauchst du nicht jedes Jahr alle Gruppen von "8A" auf "9A" ändern usw.). Jetzt machst du eine Freigabe für solche Dokumente -> da können die Schüler dann rumtoben.

Hintergrund ist ganz einfach: Schüler X schreibt den Liebesbrief an Schülerin Y am Rechner und legt den auf seinem Home-Verzeichnis ab. Seine Freundin "A" bekommt das mit - geht zu dir und sagt das ihr Freund mit ihr nen Dokument "Meine Liebe.doc" erstellt hat (Referat über nen Gedicht). Du gibst ihr das - und ab jetzt geht der Spass los... Und: Du bist dummerweise der, der am Ende einen auf den Arsch bekommt weil du vertrauliche Dokumente eines Users weitergegeben hast!

Von daher: Wenn die zusammenarbeiten wollen - kein Thema, dann auf einer entsprechenden Freigabe. Aber das Verzeichnis "Eigene Dateien" heisst "Eigene Dateien" weil nur der eigene Besitzer darauf nen Zugriff hat... Umgehst du das dann bekommst du im dümmsten Fall demnächst 5 Mio. Kollegen... Denn der Schule bleibt bei so einem Verstoß (wenn die Eltern von X sich dann beschweren das der Admin vertrauliche Dokumente verteilt) nicht die große Wahl...
Bitte warten ..
Mitglied: Gehilfe
26.04.2010 um 10:27 Uhr
Hallo Spytnik,

vielen Dank für die schnelle Antwort!
Bitte verstehe mich nicht falsch. Einen solchen "Tausch" Ordner habe ich pro Klasse angelegt. Größtenteils nutzen die Schüler diesen Ordner auch um Dateien zu tauschen. Es geht mir hier nur um den Fall: was passiert wenn der Schüler X fehlt und die Dateien nicht vorher an Y übergeben hat?

Die genannte GPO ist leider trotz Reboot und gpupdate /force wirkungslos.

Mit dem Konsolentool dsadd.exe kenn ich mich leider nicht aus. Kannst Du mir vielleicht einen Link auf eine Anleitung oder Kurzbeschreibung zukommen lassen?
Bitte warten ..
Mitglied: sputnik
26.04.2010 um 11:08 Uhr
Eine Anleitung für dsadd etc. gibt es hier: http://articles.techrepublic.com.com/5100-22_11-5483957.html Erfordert jedoch ein bißchen Einarbeitung.

Diese Seiten könnten dir weiterhelfen:

http://openbook.galileocomputing.de/microsoft_netzwerk/microsoft_netzwe ...
http://www.gruppenrichtlinien.de
Bitte warten ..
Mitglied: DerWoWusste
02.05.2010 um 18:34 Uhr
Hi.
Nochmal als Nachtrag: Seit 2008/Vista ist der Admin erst nach Hochstufung Administrator. Das gilt auch für den Zugriff auf Verzeichnisse, in denen die Gruppe "Administratoren" und NICHT der Admin namentlich in der ACL drin steht.
Man kann also auf so ein Verzeichnis auch ohne Besitzübernahme sofort zugreifen, wenn man (schlecht) die UAC abschaltet oder (besser) zum Beispiel notepad mit erhöhten Rechten startet (Rechtsklick - "als Administrator ausführen") und es dann als Dateibrowser missbraucht. Nichtsdestoweniger solltest Du einen anderen Speicherordner als das Profil vorziehen.
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(1)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
IDE & Editoren
USB STICK Datei AUTOMATISCH beim anschliessen auf fremden PC öffnen (9)

Frage von Jwanner83 zum Thema IDE & Editoren ...

Windows Vista
gelöst Vista Home Premium nur Basic Key (8)

Frage von Chonta zum Thema Windows Vista ...

Windows 7
gelöst Windows Administrator-Konto wieder aktivieren (13)

Frage von Fenris14 zum Thema Windows 7 ...

Microsoft Office
gelöst Registerkarte in Excel automatisch färben (14)

Frage von ralfkausk zum Thema Microsoft Office ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Outlook & Mail
Outlook 2010 findet ost datei nicht (18)

Frage von Floh21 zum Thema Outlook & Mail ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...