6
Berechtigungen Remotewebzugriff an SBS2011
Hallo,
ich habe einige Berechtigungsprobleme am SBS 2011 beim Zugriff über den Remotewebzugriff.
1. jeder User hat über den Remotewebzugriff Berechtigungen auf alle Dateien der umgeleiteten Ordner, also RedirectedFolders. Einstellungen an der Sicherheit der jeweiligen Unterordner der einzelnen User haben keine Auswirkung. Die Ordnerumleitung habe ich in der SBS Konsole erledigt. Die Berechtigungen im internen Netz funktionieren und die User habe nur die Möglichkeit ihren eigenen Ordner zu öffnen, die anderen sind gesperrt.
2. ein Benutzer benötigt wegen einer Software Adminrechte auf seinem PC aber er darf keinen Remotewebzugriff haben. Aber jedesmal wenn ich ihn als Admin eintrage ist er immer als Benutzer für Remotewebzugriff freigeschalten und man kann den Haken dafür in der SBS Konsole nicht rausnehmen.
3. ist es möglich den Remotewebzugriff auch auf andere freigegebene Ordner auf anderen Servern/PCs im Netzwerk zu erweitern.
ich habe einige Berechtigungsprobleme am SBS 2011 beim Zugriff über den Remotewebzugriff.
1. jeder User hat über den Remotewebzugriff Berechtigungen auf alle Dateien der umgeleiteten Ordner, also RedirectedFolders. Einstellungen an der Sicherheit der jeweiligen Unterordner der einzelnen User haben keine Auswirkung. Die Ordnerumleitung habe ich in der SBS Konsole erledigt. Die Berechtigungen im internen Netz funktionieren und die User habe nur die Möglichkeit ihren eigenen Ordner zu öffnen, die anderen sind gesperrt.
2. ein Benutzer benötigt wegen einer Software Adminrechte auf seinem PC aber er darf keinen Remotewebzugriff haben. Aber jedesmal wenn ich ihn als Admin eintrage ist er immer als Benutzer für Remotewebzugriff freigeschalten und man kann den Haken dafür in der SBS Konsole nicht rausnehmen.
3. ist es möglich den Remotewebzugriff auch auf andere freigegebene Ordner auf anderen Servern/PCs im Netzwerk zu erweitern.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 250416
Url: https://administrator.de/contentid/250416
Printed on: April 19, 2024 at 13:04 o'clock
6 Comments
Latest comment
Zitat von @Toskat:
Hallo,
ich habe einige Berechtigungsprobleme am SBS 2011 beim Zugriff über den Remotewebzugriff.
Hallo,
ich habe einige Berechtigungsprobleme am SBS 2011 beim Zugriff über den Remotewebzugriff.
2. ein Benutzer benötigt wegen einer Software Adminrechte auf seinem PC aber er darf keinen Remotewebzugriff haben. Aber
jedesmal wenn ich ihn als Admin eintrage ist er immer als Benutzer für Remotewebzugriff freigeschalten und man kann den Haken
dafür in der SBS Konsole nicht rausnehmen.
Hallo,jedesmal wenn ich ihn als Admin eintrage ist er immer als Benutzer für Remotewebzugriff freigeschalten und man kann den Haken
dafür in der SBS Konsole nicht rausnehmen.
wie werden dem Benutzer die Adminrechte auf seinem PC erteilt? (GPO Eingeschrenkte Gruppen?)
Eine Gruppe in der der Benutzer drin ist wird die Rechte haben und durch Vererbung zack darf er das dann auch.
Gruß
Chonta
Hallo Chonta,
die Rechte wurden per SBS Konsole sowohl testweise auch per "AD-Benutzer und Computer" erteilt. Da ich für einige User wegen der eingesetzten Software Adminrechte benötige, haben diese automatisch Zugriff auf das Remoteweb. Dieses Recht kann man denen eben nicht wegnehmen. Und Sicherheitseinstellungen hin- oder her, sie können uneingeschränkt via Remote auf alle Redirected Folders aller Users zugreifen.
Das würde ich eben gerne ein ganz klein wenig einschränke
Grüße
Toskat
die Rechte wurden per SBS Konsole sowohl testweise auch per "AD-Benutzer und Computer" erteilt. Da ich für einige User wegen der eingesetzten Software Adminrechte benötige, haben diese automatisch Zugriff auf das Remoteweb. Dieses Recht kann man denen eben nicht wegnehmen. Und Sicherheitseinstellungen hin- oder her, sie können uneingeschränkt via Remote auf alle Redirected Folders aller Users zugreifen.
Das würde ich eben gerne ein ganz klein wenig einschränke
Grüße
Toskat
Also wenn Du den benutzer wie auch immer zum Domänenadministrator gemacht hast, hast Du ein ganz anderes Problem.
Wenn ein man einem Benutzer auf einem Rechner Adminrechte geben will, dann schiebt man den nicht in die Gruppe der Domänenadministratoren oder eine Admingruppe im AD sondern erstellt eine Gruppe und diese Gruppe wird per GPO der lokalen Gruppe der Administratoren auf dem Client hinzugefügt. (nicht vergessen beim einrichten auch die Domänenadministratoren bei den lokalen Administratoren hinzuzufügen da das GPO die vorhandenen Einstellungne überschreibt und da sind standard nur Administrator und domänen-adminis drin)
Dann den Benutzer der Gruppe hinzufügen und fertig.
Oder Verwaltung von dem Client aufmachen Gruppen>Administratoren und dort den AD Benutzer hinzufügen der soll.
Gruß
Chonta
Wenn ein man einem Benutzer auf einem Rechner Adminrechte geben will, dann schiebt man den nicht in die Gruppe der Domänenadministratoren oder eine Admingruppe im AD sondern erstellt eine Gruppe und diese Gruppe wird per GPO der lokalen Gruppe der Administratoren auf dem Client hinzugefügt. (nicht vergessen beim einrichten auch die Domänenadministratoren bei den lokalen Administratoren hinzuzufügen da das GPO die vorhandenen Einstellungne überschreibt und da sind standard nur Administrator und domänen-adminis drin)
Dann den Benutzer der Gruppe hinzufügen und fertig.
Oder Verwaltung von dem Client aufmachen Gruppen>Administratoren und dort den AD Benutzer hinzufügen der soll.
Gruß
Chonta
Hi,
Danke für deine Hilfe, leider hat das noch nicht so geklappt wie beschrieben. Diese Variante hatte ich auch schon vorher getestet. Man kann damit leider keine lokalen Programme installieren. Aber vielleicht habe ich einen Fehler beim Einrichten gemacht:
- neue Gruppe (Sicherheit - lokal, in Domäne) erstellt --> Name: lokaleAdmins
- "Benutzer1" der Gruppe "lokaleAdmins" hinzugefügt
- neues GPO-Objekt erstellt (lokal Admins) und mit der Domäne verknüpft
- GPO Sicherheitsfilterung: mit "Benutzer1" verbunden
- GPO Einstellungen: Computerkonfiguration --> Richtlinien --> Windows-Einstellungen --> Sicherheitseinstellungen --> Eingeschränkte Gruppen:
"lokaleAdmins" hinzugefügt und als Mitglied der Gruppen "Administratoren" und "<Domäne>\Domänen-Admin" definiert
alles übernommen am Server gpupdate/force, Client 3 mal neu gestartet. "Benutzer1" angemeldet und dieser kann leider trotzdem nichts installieren oder besagte Software wegen fehlender Adminrechte ausführen.
Viele Grüße
Toskat
Danke für deine Hilfe, leider hat das noch nicht so geklappt wie beschrieben. Diese Variante hatte ich auch schon vorher getestet. Man kann damit leider keine lokalen Programme installieren. Aber vielleicht habe ich einen Fehler beim Einrichten gemacht:
- neue Gruppe (Sicherheit - lokal, in Domäne) erstellt --> Name: lokaleAdmins
- "Benutzer1" der Gruppe "lokaleAdmins" hinzugefügt
- neues GPO-Objekt erstellt (lokal Admins) und mit der Domäne verknüpft
- GPO Sicherheitsfilterung: mit "Benutzer1" verbunden
- GPO Einstellungen: Computerkonfiguration --> Richtlinien --> Windows-Einstellungen --> Sicherheitseinstellungen --> Eingeschränkte Gruppen:
"lokaleAdmins" hinzugefügt und als Mitglied der Gruppen "Administratoren" und "<Domäne>\Domänen-Admin" definiert
alles übernommen am Server gpupdate/force, Client 3 mal neu gestartet. "Benutzer1" angemeldet und dieser kann leider trotzdem nichts installieren oder besagte Software wegen fehlender Adminrechte ausführen.
Viele Grüße
Toskat
Zitat von @Toskat:
Hi,
Danke für deine Hilfe, leider hat das noch nicht so geklappt wie beschrieben. Diese Variante hatte ich auch schon vorher
getestet. Man kann damit leider keine lokalen Programme installieren. Aber vielleicht habe ich einen Fehler beim Einrichten
gemacht:
Wenn der Benutzer bzw. eine Gruppe in der er Mitglied ist in der Gruppe Administratoren auf der Workstation drin ist, kann er das auch.Hi,
Danke für deine Hilfe, leider hat das noch nicht so geklappt wie beschrieben. Diese Variante hatte ich auch schon vorher
getestet. Man kann damit leider keine lokalen Programme installieren. Aber vielleicht habe ich einen Fehler beim Einrichten
gemacht:
Ob die GPO von der WORKSTATION auch richtig gezogen wird kannst Du prüfen in dem Du nach einem Neustart mal die lokale Gruppe Administratoren anschaust (also die Auf der Workstation)
- neue Gruppe (Sicherheit - lokal, in Domäne) erstellt --> Name: lokaleAdmins
- "Benutzer1" der Gruppe "lokaleAdmins" hinzugefügt
- neues GPO-Objekt erstellt (lokal Admins) und mit der Domäne verknüpft
- GPO Sicherheitsfilterung: mit "Benutzer1" verbunden
Die Einstellungen für Eingeschrängte Gruppen ist eine Computer GPO keine Benutzer GPO, der Benutzer muss nur in der Gruppe sein weiter nix.
- GPO Einstellungen: Computerkonfiguration --> Richtlinien --> Windows-Einstellungen --> Sicherheitseinstellungen -->
Eingeschränkte Gruppen:
"lokaleAdmins" hinzugefügt und als Mitglied der Gruppen "Administratoren" und
"<Domäne>\Domänen-Admin" definiert
alles übernommen am Server gpupdate/force, Client 3 mal neu gestartet. "Benutzer1" angemeldet und dieser kann
leider trotzdem nichts installieren oder besagte Software wegen fehlender Adminrechte ausführen.
Weil Du die GPO auf den Benutzer gemacht hast, was nicht geht.Eingeschränkte Gruppen:
"lokaleAdmins" hinzugefügt und als Mitglied der Gruppen "Administratoren" und
"<Domäne>\Domänen-Admin" definiert
alles übernommen am Server gpupdate/force, Client 3 mal neu gestartet. "Benutzer1" angemeldet und dieser kann
leider trotzdem nichts installieren oder besagte Software wegen fehlender Adminrechte ausführen.
Viele Grüße
Toskat
Toskat
Gruß
Chonta
Hi Chonta,
erstmal ein dickes danke für deine Hilfe. Der springende Punkt war die falsche OU und die Sicherheitsfilterung, die steht jetzt auf authentifizierte Benutzer.
Ich hatte an der Gruppe und der GPO zwar schon einige Zeit herumgedoktert und auch schon einige Foren konsultiert, aber erst du hattest die besten Tipps. Jetzt kann der Benutzer wunderbar lokal arbeiten und kommt trotzdem nicht mehr auf die entsprechenden Freigaben im Remoteweb.
Viele Grüße und Danke
Toskat
erstmal ein dickes danke für deine Hilfe. Der springende Punkt war die falsche OU und die Sicherheitsfilterung, die steht jetzt auf authentifizierte Benutzer.
Ich hatte an der Gruppe und der GPO zwar schon einige Zeit herumgedoktert und auch schon einige Foren konsultiert, aber erst du hattest die besten Tipps. Jetzt kann der Benutzer wunderbar lokal arbeiten und kommt trotzdem nicht mehr auf die entsprechenden Freigaben im Remoteweb.
Viele Grüße und Danke
Toskat
