5
Administrator automatisch Mitbesitzer von Home und Profilverzeichnissen
Hallo liebe Administrator Gemeinde,
ich administriere einen relativ neuen Windows Server 2008 R2 in einer Berufsschule. Der Server wird per Thin Clients als Terminalserver verwendet (d.h. Schüler melden sich per RDP über Netzwerk direkt am Server an).
Per GPO habe ich die Profil und Homeverzeichnisse auf ein Netzlaufwerk umgeleitet.
So weit, so gut.
Nun habe ich folgende Probleme:
Problem 1:
Schüler X und Y arbeiten gemeinsam unter dem Account von Schüler X an einem Dokument. Das Dokument wird dann im Home-Verzeichnis von User X gespeichert.
Am nächsten Schultag fehlt User X. Schüler Y benötigt aber das Dokument dass bei User X gespeichert wurde.
Ich (Administrator) komme zwar noch in das Home-Verzeichnis des Schülers X hinen, bekomme aber beim Versuch auf das "Documents"-Verzeichnis von User X zuzugreifen die Fehlermeldung:
Sie verfügen momentan nicht über die Berechtigung des Zugriffs auf diesen Ordner. Klicken Sie auf "Fortsetzen", um dauerhaft Zugriff auf diesen Ordner zu erhalten.
Nach einem Klick auf Fortsetzen:
Der Zugriff auf diesen Ordner wurde verweigert. Sie müssen die Registerkarte Sicherheit verwenden, um Zugriff auf diesen Ordner zu erhalten.
Wenn ich in den Ordnereigenschaften des Ordners "Documents" auf Sicherheit, Erweiter, Besitzer gehe, bekomme ich in der Zeile "Aktueller Besitzer" die Meldung angezeigt:
Der aktuelle Besitzer kann nicht angezeigt werden.
Übernehme ich jetzt explizit den Besitz dieses Ordners, dann komme ich zwar rein, der Schüler X bekommt dann aber bei der nächsten Anmeldung eine Fehlermeldung, weil er ja selbst nicht mehr der Eigentümer des Ordners ist.
Ich habe zwar schon versucht per GPO Computerkonfiguration->Administrative Vorlagen->System->Benutzerprofile->Sicherheitsgruppe "Administratoren" zu servergespeicherten Profilen hinzufügen automatisch bei neuen Profilen Zugriff zu erhalten, hat aber leider auch nicht funktioniert.
Problem 2:
... bezieht sich direkt auf Problem 1.
Wenn eine Schulklasse von der Schule abgeht, dann muss ich die Benutzer (mitsamt der Benutzerdateien) vom Server entfernen. Der Benutzer ist per AD schnell gelöscht, die Home und Profilordern der Schüler kann ich hingegen nicht so einfach löschen (Dieser Ordner wird mit anderen Personen gemeinsam verwendet... Fortsetzen->Sie benötigen Berechtigungen zur Durchführung des Vorgangs...)
Ich vermute dass es hier eine einfachere Lösung geben muss als von jedem einezelnen User die Rechte zu "stehlen".
Hoffe, ihr könnt mir weiterhelfen.
Gruß
Gehilfe
ich administriere einen relativ neuen Windows Server 2008 R2 in einer Berufsschule. Der Server wird per Thin Clients als Terminalserver verwendet (d.h. Schüler melden sich per RDP über Netzwerk direkt am Server an).
Per GPO habe ich die Profil und Homeverzeichnisse auf ein Netzlaufwerk umgeleitet.
So weit, so gut.
Nun habe ich folgende Probleme:
Problem 1:
Schüler X und Y arbeiten gemeinsam unter dem Account von Schüler X an einem Dokument. Das Dokument wird dann im Home-Verzeichnis von User X gespeichert.
Am nächsten Schultag fehlt User X. Schüler Y benötigt aber das Dokument dass bei User X gespeichert wurde.
Ich (Administrator) komme zwar noch in das Home-Verzeichnis des Schülers X hinen, bekomme aber beim Versuch auf das "Documents"-Verzeichnis von User X zuzugreifen die Fehlermeldung:
Sie verfügen momentan nicht über die Berechtigung des Zugriffs auf diesen Ordner. Klicken Sie auf "Fortsetzen", um dauerhaft Zugriff auf diesen Ordner zu erhalten.
Nach einem Klick auf Fortsetzen:
Der Zugriff auf diesen Ordner wurde verweigert. Sie müssen die Registerkarte Sicherheit verwenden, um Zugriff auf diesen Ordner zu erhalten.
Wenn ich in den Ordnereigenschaften des Ordners "Documents" auf Sicherheit, Erweiter, Besitzer gehe, bekomme ich in der Zeile "Aktueller Besitzer" die Meldung angezeigt:
Der aktuelle Besitzer kann nicht angezeigt werden.
Übernehme ich jetzt explizit den Besitz dieses Ordners, dann komme ich zwar rein, der Schüler X bekommt dann aber bei der nächsten Anmeldung eine Fehlermeldung, weil er ja selbst nicht mehr der Eigentümer des Ordners ist.
Ich habe zwar schon versucht per GPO Computerkonfiguration->Administrative Vorlagen->System->Benutzerprofile->Sicherheitsgruppe "Administratoren" zu servergespeicherten Profilen hinzufügen automatisch bei neuen Profilen Zugriff zu erhalten, hat aber leider auch nicht funktioniert.
Problem 2:
... bezieht sich direkt auf Problem 1.
Wenn eine Schulklasse von der Schule abgeht, dann muss ich die Benutzer (mitsamt der Benutzerdateien) vom Server entfernen. Der Benutzer ist per AD schnell gelöscht, die Home und Profilordern der Schüler kann ich hingegen nicht so einfach löschen (Dieser Ordner wird mit anderen Personen gemeinsam verwendet... Fortsetzen->Sie benötigen Berechtigungen zur Durchführung des Vorgangs...)
Ich vermute dass es hier eine einfachere Lösung geben muss als von jedem einezelnen User die Rechte zu "stehlen".
Hoffe, ihr könnt mir weiterhelfen.
Gruß
Gehilfe
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 141428
Url: https://administrator.de/contentid/141428
Printed on: April 19, 2024 at 03:04 o'clock
5 Comments
Latest comment
Homeverzeichnisse sind Homeverzeichnisse, diese sollte man nicht mit anderen teilen.
Für gemeinsame Arbeiten kannst du ein ein Gruppenverzeichnis anlegen, das "Klasse 9A" heißen könnte. Eine entsprechende Benutzergruppe im AD anlegen und die entsprechenden Schüler dieser Gruppen zuweisen und fertig. Oder halt noch etwas feiner, aufgeteilt in Arbeitsgruppen. Das, was du da machst, sind reine Arbeitsbeschaffungsmaßnahmen.
"Computerkonfiguration->Administrative Vorlagen->System->Benutzerprofile->Sicherheitsgruppe "Administratoren" zu servergespeicherten Profilen hinzufügen" sollte auf jeden Fall funktionieren - jedoch nur bei neuen Profilen und event. nach einem gpupdate /force.
Ich würde zu einem Anlege- Und LöschScript für Benutzer raten (dsadd.exe...), in dem du auch die Rechte für die Homeverzeichnisse einstellen könntest.
Habe ich dich richtig verstanden, dass du ein Unterverzeichnis vom User-Profil als Home-Laufwerk verbinden möchtest?
Für gemeinsame Arbeiten kannst du ein ein Gruppenverzeichnis anlegen, das "Klasse 9A" heißen könnte. Eine entsprechende Benutzergruppe im AD anlegen und die entsprechenden Schüler dieser Gruppen zuweisen und fertig. Oder halt noch etwas feiner, aufgeteilt in Arbeitsgruppen. Das, was du da machst, sind reine Arbeitsbeschaffungsmaßnahmen.
"Computerkonfiguration->Administrative Vorlagen->System->Benutzerprofile->Sicherheitsgruppe "Administratoren" zu servergespeicherten Profilen hinzufügen" sollte auf jeden Fall funktionieren - jedoch nur bei neuen Profilen und event. nach einem gpupdate /force.
Ich würde zu einem Anlege- Und LöschScript für Benutzer raten (dsadd.exe...), in dem du auch die Rechte für die Homeverzeichnisse einstellen könntest.
Habe ich dich richtig verstanden, dass du ein Unterverzeichnis vom User-Profil als Home-Laufwerk verbinden möchtest?
Moin,
du kannst natürlich eine GPO auf dem Server erstellen das du als Admin mit in die Home-Verzeichnisse gucken kannst. Dies kann z.B. für Backup-Zwecke nötig sein.
ABER: Ich würde niemals hingehen und Dateien von einem Home-Verzeichnis zu einem anderen geben. Dafür macht man generell Gruppen (z.B. die AD-Gruppe Klasse 2010A für die Klasse die jetzt bei euch anfängt und das "A" hinten dran hat -> dann brauchst du nicht jedes Jahr alle Gruppen von "8A" auf "9A" ändern usw.). Jetzt machst du eine Freigabe für solche Dokumente -> da können die Schüler dann rumtoben.
Hintergrund ist ganz einfach: Schüler X schreibt den Liebesbrief an Schülerin Y am Rechner und legt den auf seinem Home-Verzeichnis ab. Seine Freundin "A" bekommt das mit - geht zu dir und sagt das ihr Freund mit ihr nen Dokument "Meine Liebe.doc" erstellt hat (Referat über nen Gedicht). Du gibst ihr das - und ab jetzt geht der Spass los... Und: Du bist dummerweise der, der am Ende einen auf den Arsch bekommt weil du vertrauliche Dokumente eines Users weitergegeben hast!
Von daher: Wenn die zusammenarbeiten wollen - kein Thema, dann auf einer entsprechenden Freigabe. Aber das Verzeichnis "Eigene Dateien" heisst "Eigene Dateien" weil nur der eigene Besitzer darauf nen Zugriff hat... Umgehst du das dann bekommst du im dümmsten Fall demnächst 5 Mio. Kollegen... Denn der Schule bleibt bei so einem Verstoß (wenn die Eltern von X sich dann beschweren das der Admin vertrauliche Dokumente verteilt) nicht die große Wahl...
du kannst natürlich eine GPO auf dem Server erstellen das du als Admin mit in die Home-Verzeichnisse gucken kannst. Dies kann z.B. für Backup-Zwecke nötig sein.
ABER: Ich würde niemals hingehen und Dateien von einem Home-Verzeichnis zu einem anderen geben. Dafür macht man generell Gruppen (z.B. die AD-Gruppe Klasse 2010A für die Klasse die jetzt bei euch anfängt und das "A" hinten dran hat -> dann brauchst du nicht jedes Jahr alle Gruppen von "8A" auf "9A" ändern usw.). Jetzt machst du eine Freigabe für solche Dokumente -> da können die Schüler dann rumtoben.
Hintergrund ist ganz einfach: Schüler X schreibt den Liebesbrief an Schülerin Y am Rechner und legt den auf seinem Home-Verzeichnis ab. Seine Freundin "A" bekommt das mit - geht zu dir und sagt das ihr Freund mit ihr nen Dokument "Meine Liebe.doc" erstellt hat (Referat über nen Gedicht). Du gibst ihr das - und ab jetzt geht der Spass los... Und: Du bist dummerweise der, der am Ende einen auf den Arsch bekommt weil du vertrauliche Dokumente eines Users weitergegeben hast!
Von daher: Wenn die zusammenarbeiten wollen - kein Thema, dann auf einer entsprechenden Freigabe. Aber das Verzeichnis "Eigene Dateien" heisst "Eigene Dateien" weil nur der eigene Besitzer darauf nen Zugriff hat... Umgehst du das dann bekommst du im dümmsten Fall demnächst 5 Mio. Kollegen... Denn der Schule bleibt bei so einem Verstoß (wenn die Eltern von X sich dann beschweren das der Admin vertrauliche Dokumente verteilt) nicht die große Wahl...
Hallo Spytnik,
vielen Dank für die schnelle Antwort!
Bitte verstehe mich nicht falsch. Einen solchen "Tausch" Ordner habe ich pro Klasse angelegt. Größtenteils nutzen die Schüler diesen Ordner auch um Dateien zu tauschen. Es geht mir hier nur um den Fall: was passiert wenn der Schüler X fehlt und die Dateien nicht vorher an Y übergeben hat?
Die genannte GPO ist leider trotz Reboot und gpupdate /force wirkungslos.
Mit dem Konsolentool dsadd.exe kenn ich mich leider nicht aus. Kannst Du mir vielleicht einen Link auf eine Anleitung oder Kurzbeschreibung zukommen lassen?
vielen Dank für die schnelle Antwort!
Bitte verstehe mich nicht falsch. Einen solchen "Tausch" Ordner habe ich pro Klasse angelegt. Größtenteils nutzen die Schüler diesen Ordner auch um Dateien zu tauschen. Es geht mir hier nur um den Fall: was passiert wenn der Schüler X fehlt und die Dateien nicht vorher an Y übergeben hat?
Die genannte GPO ist leider trotz Reboot und gpupdate /force wirkungslos.
Mit dem Konsolentool dsadd.exe kenn ich mich leider nicht aus. Kannst Du mir vielleicht einen Link auf eine Anleitung oder Kurzbeschreibung zukommen lassen?
Eine Anleitung für dsadd etc. gibt es hier: http://articles.techrepublic.com.com/5100-22_11-5483957.html Erfordert jedoch ein bißchen Einarbeitung.
Diese Seiten könnten dir weiterhelfen:
http://openbook.galileocomputing.de/microsoft_netzwerk/microsoft_netzwe ...
http://www.gruppenrichtlinien.de
Diese Seiten könnten dir weiterhelfen:
http://openbook.galileocomputing.de/microsoft_netzwerk/microsoft_netzwe ...
http://www.gruppenrichtlinien.de
Hi.
Nochmal als Nachtrag: Seit 2008/Vista ist der Admin erst nach Hochstufung Administrator. Das gilt auch für den Zugriff auf Verzeichnisse, in denen die Gruppe "Administratoren" und NICHT der Admin namentlich in der ACL drin steht.
Man kann also auf so ein Verzeichnis auch ohne Besitzübernahme sofort zugreifen, wenn man (schlecht) die UAC abschaltet oder (besser) zum Beispiel notepad mit erhöhten Rechten startet (Rechtsklick - "als Administrator ausführen") und es dann als Dateibrowser missbraucht. Nichtsdestoweniger solltest Du einen anderen Speicherordner als das Profil vorziehen.
Nochmal als Nachtrag: Seit 2008/Vista ist der Admin erst nach Hochstufung Administrator. Das gilt auch für den Zugriff auf Verzeichnisse, in denen die Gruppe "Administratoren" und NICHT der Admin namentlich in der ACL drin steht.
Man kann also auf so ein Verzeichnis auch ohne Besitzübernahme sofort zugreifen, wenn man (schlecht) die UAC abschaltet oder (besser) zum Beispiel notepad mit erhöhten Rechten startet (Rechtsklick - "als Administrator ausführen") und es dann als Dateibrowser missbraucht. Nichtsdestoweniger solltest Du einen anderen Speicherordner als das Profil vorziehen.
