Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Batch bei Useranmeldung an Windows Domäne

Frage Microsoft Windows Userverwaltung

Mitglied: Guinnes

Guinnes (Level 1) - Jetzt verbinden

03.09.2013, aktualisiert 04.09.2013, 2336 Aufrufe, 18 Kommentare

Hallo

Ich möchte bei Useranmeldung ein Batch laufen lassen.
Dieses überprüft ob der User bereits einen Ordner für seine persönlichen Dateien besitzt, falls nicht
lasse ich einen Ordner erstellen. (md \\server IP\Ordner\%Username%)
Funktioniert soweit auch alles.
Nun möchte ich aber dass auf dieses User Ordner zB. "Müller" die NTFS Recht so gesetzt werden dass
nur Hr. Müller und der Admin dort Vollzugriff haben.
Damit soll einfach verhindert werden dass andere User im Ordner Müller Unsinn machen.
Das geht ja wohl per icacls.exe allerdings besitzt Hr. Müller keine Adminrechte
und das Logon Script wird ja nun mal unter der Anmeldung "Müller" ausgeführt.

Deshalb meine Frage:
Gibts, ohne Adminrechte,ne Möglichkeit dem Ordner "Müller" automatisch die gewünschen NTFS Rechte zu verpassen ?
Habe auch Bauchschmerzen wenn ich die Admin Anmeldedaten in einer *.cmd o.ä. hinterlegen soll.

Möchte keine "Fremd Tools" benutzen.


Client OS ist Win7
Server ist ein 2008 R2
Domänenstruktur (AD)



Danke,
Guinnes

Mitglied: Robobob
03.09.2013 um 13:15 Uhr
Hallo,

darf ich fragen, warum du nicht den Basisordner dazu nutzt? (im AD --> User --> Eigenschaften --> Profil)
Dafür ist er doch gedacht?

Gruß

Max
Bitte warten ..
Mitglied: Guinnes
03.09.2013 um 13:34 Uhr
ich möchte dem user einen ordner für seine persönlichen dokumente (texte etc.) zur verfügung stellen.
als Basisordner (AD) ist bei uns so ne art "sammelablage" definiert, somit ist diese Möglichkeit schon vergeben.

Guinnes
Bitte warten ..
Mitglied: Snowman25
03.09.2013 um 13:40 Uhr
Hallo Guinnes,

Macht man das nicht eigentlich andersrum?
Der Basisordner ist für "Eigene Dateien" des Users gedacht, während ein extra Share als Sammelablage benutzt wird.
Aus welchem Grund ist das bei euch andersrum?

Gruß,
Snowman25
Bitte warten ..
Mitglied: Guinnes
03.09.2013 um 13:46 Uhr
Hab das so von meinem Vorgänger übernommen, es soll auch so bleiben.

Niemand ne Idee ???

Guinnes
Bitte warten ..
Mitglied: SlainteMhath
03.09.2013 um 13:59 Uhr
Moin,

im Anmeldescript wird das nicht funktionieren, wg. der fehlenden Rechte. Am besten du machst das für jeden User per Hand (oder Script) direkt am Server.

Und nebenbei bemerkt: Nur der Admin braucht "Vollzugriff", dem Anwender genügt Lesen+Schreiben


lg,
Slainte
Bitte warten ..
Mitglied: Guinnes
03.09.2013, aktualisiert um 15:20 Uhr
direkt am server ist ne idee, man könnte eine 2. cmd auf dem server starten lassen (aus der ersten bat).......

oder anders: das script wird ja auf dem server ausgeführt(liegt ja auch dort) , damit läuft es doch nicht unter den rechten des USERS oder ?



Guinnes
Bitte warten ..
Mitglied: Snowman25
03.09.2013 um 15:18 Uhr
Über runas geht das. Aber dann kann jeder User einfach in die batch gucken und den Admin-account rauslesen.
Bitte warten ..
Mitglied: SlainteMhath
03.09.2013 um 15:20 Uhr
Zitat von Guinnes:
direkt am server ist ne idee, man könnte eine 2. cmd auf dem server starten lassen (aus der ersten bat).......

oder würde es gehen wenn ich der icalcs.exe den admin account mit gebe (quasi in der batch als argument) ????
Nein das geht natürlich nicht, da sich dann ja der Sicherheitskontext der .cmd nicht ändert - deswegen schrieb ich ja "per Hand".
Um wieviele User geht's denn hier?
Bitte warten ..
Mitglied: Guinnes
03.09.2013 um 15:21 Uhr
damit schon aus dem rennen......nochmal drüber grübeln.

danke erstmal.....
Bitte warten ..
Mitglied: SlainteMhath
03.09.2013 um 15:30 Uhr
Nochmal:
Um wieviele User geht's denn hier?
Das ganze lässt sich uU auch am Server per Script in einem Rutsch anlegen.

Etwa so
01.
FOR /F  %%a IN ('dsquery user | dsget user -samid') DO call :CreateUserDir %%a 
02.
goto :EOF 
03.
 
04.
:CreateUserDir 
05.
mkdir \server\blubber\%1 
06.
icacls ..... 
07.
goto :EOF 
08.
 
09.
:EOF
Aber mit deinem Basisverzeichnis als "Sammelbecken" wirst Du immer wieder Probleme stoßen.
Bitte warten ..
Mitglied: Guinnes
03.09.2013, aktualisiert um 16:25 Uhr
ich denke , ich hatte nen denkfehler:

wenn bei einer useranmeldung das script ausgeführt wird, dann wird es doch nicht mit den userrechten ausgeführt.

denn es liegt ja nicht lokal auf dem pc (auf dem sich der user eben gerade anmeldet) sondern auf dem server (SYSVOL bzw NETLOGON ).
im AD (benutzer -> eigenschaften -> konto oder profil ???) lässt sich das script angeben.

ist eben die frage: mit welchen rechten läuft dann dieses script ab ? mit adminrechten ? dann wäre mein problem gelöst.


werde es morgen probieren, hab hier @home keine domäne.

Danke Guinnes

wieso sollte ich mit dem basisordner (sammel ablage) immer wieder probleme bekommen ? hat mit meinem problem auch nix zu tun ?!
Bitte warten ..
Mitglied: Robobob
03.09.2013 um 16:22 Uhr
Zitat von Guinnes:
werde es morgen probieren, hab hier @home keine domäne.

Welcher ITler ist vor 17:00 zuhause?

Ich protestiere!

Gruß ;)
Bitte warten ..
Mitglied: Guinnes
03.09.2013 um 16:24 Uhr
Zitat von Robobob:
> Zitat von Guinnes:
> ----
> werde es morgen probieren, hab hier @home keine domäne.

Welcher ITler ist vor 17:00 zuhause?

Ich protestiere!

Gruß ;)

BEAMTETE IT'LER !!!
Bitte warten ..
Mitglied: SlainteMhath
03.09.2013 um 16:48 Uhr
Der Server / die Freigabe auf dem das Script liegt ist doch völlig egal! Ausschlag gebend für die Rechte ist der User der das Script ausführt. Und das ist beim Loginscript immer der User der sich gerade anmeldet. Loginscripts laufen nie mit Adminrechten.

wieso sollte ich mit dem basisordner (sammel ablage) immer wieder probleme bekommen ?
Weil der Basisordner für die "Eigenen Dateien" des Users gedacht ist, und davon ausgegangen wird, das nur der entsprechend User Zugriff darauf hat.

hat mit meinem problem auch nix zu tun ?!
Doch, weil dem Basisordner bei der Erstellung (durch Windows) autom. die entsprechenden Rechte zugewiesen werden würden.
Bitte warten ..
Mitglied: bastla
03.09.2013 um 18:48 Uhr
Hallo @ All!

Abseits der Überlegungen zum Basisordner: Wenn der Batch als Logon-Script ausgeführt wird, läuft er zwar mit den Rechten des Benutzers, aber wenn der Benutzer einen Ordner erstellt ist er ja Besitzer und kann daher (Freigabeberechtigung "Vollzugriff" vorausgesetzt) auch NTFS-Sicherheitseinstellungen abändern - ob die Besitzereigenschaft auch für die bereits vorhandenen Ordner zutrifft, geht aus der Beschreibung allerdings nicht hervor ...

... wobei sich das aber analog zu dem von Slainte vorgeschlagenen Batch (einmalig vom Administrator am Server zu starten) ja korrigieren ließe.

Grüße
bastla
Bitte warten ..
Mitglied: Guinnes
04.09.2013 um 08:24 Uhr
Zitat von SlainteMhath:
Der Server / die Freigabe auf dem das Script liegt ist doch völlig egal! Ausschlag gebend für die Rechte ist der User
der das Script ausführt. Und das ist beim Loginscript immer der User der sich gerade anmeldet. Loginscripts laufen nie mit
Adminrechten.

> wieso sollte ich mit dem basisordner (sammel ablage) immer wieder probleme bekommen ?
Weil der Basisordner für die "Eigenen Dateien" des Users gedacht ist, und davon ausgegangen wird, das nur der
entsprechend User Zugriff darauf hat.

> hat mit meinem problem auch nix zu tun ?!
Doch, weil dem Basisordner bei der Erstellung (durch Windows) autom. die entsprechenden Rechte zugewiesen werden würden.

ohne es ausprobiert zu haben denke ich nicht dass ein logon script mit den rechten des anmeldeten users läuft, das wäre der fall wenn die *.cmd lokal auf dem PC des users (durch den user) gestartet wird. das war auch meine fehlannahme.
aber: test folgt.....

der basis ordner ist bei uns eine ablage mit ordnern die für die verschiedenen abteilungen (NTFS rechte regeln den zugriff), geht seit jahren ohne probleme.


Guinnes
Bitte warten ..
Mitglied: SlainteMhath
04.09.2013 um 08:29 Uhr
ohne es ausprobiert zu haben denke ich nicht dass ein logon script mit den rechten des anmeldeten users läuft...
Falsch gedacht! Mehr sag ich dazu nicht mehr
Bitte warten ..
Mitglied: Guinnes
04.09.2013, aktualisiert um 13:14 Uhr
Hast (leider) Recht

wenn ich im AD dem User (Konto/Anmeldescript) das script zuweise, welches auf dem DC\Sysvol\Scripte liegt zuweise, ist es genau so als ob der user das Script selbst beim Anmelden am PC startet. sprich: keine Möglichkeit auf seinen %USERNAME% NTFS Rechte zu bearbeiten.

Mist.

Hab aber etwas interessantes gefunden:

http://openbook.galileocomputing.de/microsoft_netzwerk/microsoft_netzwe ...

gibst doch nicht, muss doch ne lösung geben!

ich bleib dran......

@slainte:

es geht um ca. 80 User
wie meinst du das mit deinem script (etwas weiter oben) ? du willst quasi für die user einen ordner anlegen/NTFS rechte vergeben unabhängig von der Useranmeldung ?

Guinnes

edit: um das Ganze abzuschließen:

habe es etwas anders gelöst, trotzdem allen vielen Dank !
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

(1)

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
Windows Server
Windows-Domäne und CloudFlare für Webseite (7)

Frage von d4shoerncheN zum Thema Windows Server ...

Windows Server
Anmeldung an neuen Windows Domäne Client nicht möglich (16)

Frage von FlorianN zum Thema Windows Server ...

Sicherheits-Tools
gelöst 2 faktor authentifizierung windows domäne nur bestimmte benutzer (7)

Frage von kal10bach zum Thema Sicherheits-Tools ...

Heiß diskutierte Inhalte
Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...

Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (9)

Frage von JayyyH zum Thema Switche und Hubs ...

Backup
Clients als Server missbrauchen? (8)

Frage von 1410640014 zum Thema Backup ...