41064
Goto Top

Benutzer-Ordner? Profile und Einstellungen?

Hallo, ich habe folgendes Problem. Ich habe seit wochen versucht dieses Problem in den Griff zu bekommen, habe unzählige Bücher, eBooks und anleitungen gelesen. Nichts Funktioniert.

Und zwar betreibe ich einen Microsoft Windows 2003 Standard Server mit Exchange 2003 SP2.

Ich möchte das alle Nutzerdaten wie folgt ablegen:

C:\Benutzer\%username%\*.* = Anwendungsdaten (Basisordner) & Profile
C:\Benutzer\%username%\Eigene Dateien\ = Eigene Dateien

Ich habe das Verzeichnis "Benutzer" auf Laufwerk C:\ angelegt. Bei Berechtigung habe ich "Jeder" darf lesen angegeben.

den Pfad der Anwendungsdaten und der Profile, kann ich in den Benutzer-Eigenschaften bei "Profil" ändern.
z.B. mit der angabe:

\\SERVER\Benutzer\Benutzer\%username%

LW: Z \\SERVER\Benutzer\Benutzer\%username%

Den Pfad für die Umleitung der Eigenen Dateien habe ich in der Default Domain Policy umgeleitet auf
\\SERVER\Benutzer\%username%\Eigene Dateien

Der Admin soll dabei die gleichen rechte haben wie der Ersteller-Besitzer (Administrative Zwecke).

Alle Benutzer die angemeldet sind, sollen nur auf ihre Datenzugreifen können (nur lokal auf dem Pc nicht auf dem Server direkt über Netzlaufwerk oder ähnliches)

Wie kann ich dies bewerkstelligen?

Gruß Marcus

Content-Key: 49594

Url: https://administrator.de/contentid/49594

Ausgedruckt am: 19.03.2024 um 08:03 Uhr

Mitglied: gemini
gemini 23.01.2007 um 14:26:43 Uhr
Goto Top
Hallo Neumond,

zunächst einmal; die Benutzerdaten, -profile auf das C:\ des Servers zu legen halte ich mindestens für suboptimal wenn nicht schlecht. Ich lege System-, Benutzer- und Geschäftsdaten auf unterschiedlichen Partitionen ab. Das hat den Vorteil, dass:
a) die Benutzer das Systemlaufwerk nicht mit MP3s und Urlaubsbildern zumüllen
b) die Benutzerdaten auf sehr einfache Weise kontingentiert werden können
c) es einem ordnungsliebenden Menschen wie mir besser gefällt.
Anyway, ist aber deine Entscheidung...

Wenn du die Eigenen Dateien umleitest, solltest du sie aus dem servergespeicherten Profil ausschließen. Dafür gibt es eine Richtlinie. Bitte entspr. Erklärungstext lesen, da best. Verzeichnisse sowieso ausgeschlossen sind AFAIK aber, falls weitere ausgeschlossen werden sollen ALLE angegeben werden müssen.

Um den Admins Zugriff auf die Benutzerprofile zu gewähren gibt es auch eine Richtlinie. Diese wirkt aber nur bei nach aktivieren der Richtlinie erstellten Profilen.

In der Default Domain Policy würde ich nicht zu viel rumspielen, vor allem wenn es nicht sein muss. Lieber ein neues GPO erstellen.

Ich habe das Verzeichnis "Benutzer" auf Laufwerk C:\ angelegt. Bei Berechtigung habe ich "Jeder" darf lesen angegeben.
Ich nehme Authentifizierte Benutzer dafür.
Die Rechte der umgeleiteten Eigenen Dateien musst du manuell anpassen.
Evtl. geht es auch mit 'Nur Unterorder und Dateien'. Kann ich jetzt auf die Schnelle nicht sagen.

Alle Benutzer die angemeldet sind, sollen nur auf ihre Datenzugreifen können __(nur lokal auf dem Pc nicht auf dem Server direkt über Netzlaufwerk oder ähnliches)__
Sorry, k. A. was du damit meinst *schulterzuck*

HTH,
gemini
Mitglied: 41064
41064 23.01.2007 um 15:32:15 Uhr
Goto Top
zunächst einmal; die Benutzerdaten,
-profile auf das C:\ des Servers zu legen
halte ich mindestens für uboptimal wenn
nicht schlecht. Ich lege System-, Benutzer-
und Geschäftsdaten auf unterschiedlichen
Partitionen ab. Das hat den Vorteil, dass:
a) die Benutzer das Systemlaufwerk nicht mit
MP3s und Urlaubsbildern zumüllen
b) die Benutzerdaten auf sehr einfache Weise
kontingentiert werden können
c) es einem ordnungsliebenden Menschen wie
mir besser gefällt.

Wir betreiben jenen Server mit einem Raid1, zudem haben wir in unserem Fachgebiet nur 30 Benutzer. So viel Daten kommen also nicht zusammen. Zudem es ein Speicherlimit festgelegt ist für jeden Benutzer. Die Benutzer gehen Vorbildlich mit ihren Speicherplatz um, also nur geringe anzahl von Privaten Daten.
zu b) Wir befürworten eine Zentrale ablage der Dateien (momentan haben wir noch alles getrennt), dass macht das ganze übersichtlicher, vorallem für unsere Backuplösung wollen wir die daten alle beisammen haben.

Die Dokumentationen von microsoft finde ich allerfalls wage.
Die sachen die man sucht stehen nicht drinne, und sonst
wird nur davon gesprochen was alles geht aber nicht wie.
Da hat mir das internet, zudem das Forum hier, mehr zu bieten.


In der Default Domain Policy würde ich
nicht zu viel rumspielen, vor allem wenn es
nicht sein muss. Lieber ein neues GPO
erstellen.

Die frage ist, was kann ich mit was bewirken, ohne das sich die sachen in der funktion aufheben. z.b. Ordnerfreigaben im zusammenspiel mit Gruppenrichtlinien, oder der Policy...


> Alle Benutzer die angemeldet sind,
sollen nur auf ihre Datenzugreifen
können __(nur lokal auf dem Pc nicht auf
dem Server direkt über Netzlaufwerk oder
ähnliches)__
Sorry, k. A. was du damit meinst
*schulterzuck*

Es könnte jemand \\Server eingeben... dann würde er alle freigegebenen ordner sehen, wenn zb. \\Server\Benutzer freigegeben ist als LW Z:\ für die Daten, dann könnte er ja auch andere Benutzerverzeichnisse gehen... ich will vermeiden, das die Nutzer freigaben sehen, die sie nichts angehen. Vorallem sollen se garnichts sehen in der netzwerkumgebung, bis auf das was ich wirklich nur für die leute freigeben möchte.
Mitglied: gemini
gemini 23.01.2007 um 16:06:14 Uhr
Goto Top
Ist wie gesagt jedem selbst überlassen, wo und wie er wann welche Daten ablegt.

Die frage ist, was kann ich mit was bewirken, ohne das sich die sachen in der funktion aufheben. z.b. Ordnerfreigaben im zusammenspiel mit Gruppenrichtlinien, oder der Policy...
Die Group Policy Management Console with Service Pack 1 bietet die Möglichkeit die Auswirkungen von Richtlinien auf Computer/Benutzer zu simulieren.
Best. Einstellungen können nur in der Default Domain Policy gemacht werden wie bspw. Passwort-Richtlinien.
In den meisten Fällen ist es jedoch vorteilhafter, die Richtlinien für OUs zu definieren.

Es könnte jemand \\Server eingeben... dann würde er alle freigegebenen ordner sehen, wenn zb. \\Server\Benutzer freigegeben ist als LW Z:\ für die Daten, dann könnte er ja auch andere Benutzerverzeichnisse gehen... ich will vermeiden, das die Nutzer freigaben sehen, die sie nichts angehen. Vorallem sollen se garnichts sehen in der netzwerkumgebung, bis auf das was ich wirklich nur für die leute freigeben möchte.
Prinzipiell kann er die Freigaben ja sehen. Sofern die Rechte richtig gesetzt sind kann er sie aber nicht öffnen.
Er kann ja auch ins NETLOGON bzw. SYSVOL sehen und die höchst geheimen Inhalte der Loginscripts ausforschen face-wink
Nevertheless, auch dafür gibt es ein nützliches Helferlein der Redmonder Innovationsschmiede Windows Server 2003 Access-based Enumeration

HTH,
gemini