15
Wie lese ich Mitglieder einer Lokalen Gruppe im Windows Server 2008 R2 aus?
Ich habe folgendes Problem: Ich möchte auf einem Windows Server 2008 R2, der als Fileserver dient per Skript oder Batch die Mitglieder der dortigen lokalen Gruppen auslesen und anhand der Ergebnisse die betreffenden Laufwerksfreigaben mappen. Dieser Server ist in einer Domäne, für die ich aber keine Admin-Rechte habe. Ich verfüge lediglich über lokale Admin-Rechte. Ich habe schon einiges zum auslesen der Mitglieder von Gruppen aus dem AD gefunden, aber noch nichts über "normale" lokale GRuppen. Bin für jede Hilfe dankbar.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 148438
Url: https://administrator.de/contentid/148438
Printed on: April 19, 2024 at 20:04 o'clock
15 Comments
Latest comment
Wie soll das gehen, wenn das Mappen durch den Client geschieht und dieser dann die Rechte haben müsste, die eigene Gruppe auf dem Server auszulesen?
uuurks, Spytnik, Du hast natürlich recht. Voll den Denkfehler meinerseits.
Man könnte es vielleicht so machen:
- Access Based Enumeration (ABE) muss auf dem Server laufen
- EINEN Einsteigspunkt (Share) für ALLE, sprich Es gibt eine Gruppe (ich nenne sie mal GROUP00) in der alle anderen Gruppen drin sind. Diese Gruppe wird auf dem Einstiegspunkt (Share) verrechtet mit LIST ONLY.
- Unterhalb des Einstiegspunktes kommen die einzelnen Gruppenverzeichnisse auf denen auch NUR die jeweilige Gruppe (+Admins
) Rechte hat, nicht einmal die GROUP00 hat hier irgendwelche Rechte (Thema Vererbung ausschalten).
- Durch die ABE Sehen die User nur die Ordner auf die sie können...das wars.
Ob Du das rein per Share/NTFS oder mit DFS machst ist Deine Sache....
Man könnte es vielleicht so machen:
- Access Based Enumeration (ABE) muss auf dem Server laufen
- EINEN Einsteigspunkt (Share) für ALLE, sprich Es gibt eine Gruppe (ich nenne sie mal GROUP00) in der alle anderen Gruppen drin sind. Diese Gruppe wird auf dem Einstiegspunkt (Share) verrechtet mit LIST ONLY.
- Unterhalb des Einstiegspunktes kommen die einzelnen Gruppenverzeichnisse auf denen auch NUR die jeweilige Gruppe (+Admins
) Rechte hat, nicht einmal die GROUP00 hat hier irgendwelche Rechte (Thema Vererbung ausschalten).- Durch die ABE Sehen die User nur die Ordner auf die sie können...das wars.
Ob Du das rein per Share/NTFS oder mit DFS machst ist Deine Sache....
Moin,
ganz ehrlich in den letzten Tagen / Wochen sind hier schon so manche Fragen grußlos gestellt worden, das man sich fragt - wo denn die vielen neuen Adminpraktikantenstellen vergeben wurden...
Für mich, als ungelernter gelernter Hauptnebeneinsteiger (um nicht zu schreiben - Arbeitsloser Arbeitslose dessen Frau Arbeitslose Webdesigner Assistentin ist) macht das (die Frage, das Konstrukt) keinen Sinn.
(Auch das irgendjemand einem anderen lokaler Adminrechte auf einen Server - der in einer AD ist - gibt und den dann nicht instruiert, wie er was zu machen hat)
Eine lokale Gruppe in einer AD zu pflegen - ja mei -wenn sein muß dann macht man das halt - und die Abfrage - wie wo wann und wer läuft über die AD.
Gruß
ganz ehrlich in den letzten Tagen / Wochen sind hier schon so manche Fragen grußlos gestellt worden, das man sich fragt - wo denn die vielen neuen Adminpraktikantenstellen vergeben wurden...
Für mich, als ungelernter gelernter Hauptnebeneinsteiger (um nicht zu schreiben - Arbeitsloser Arbeitslose dessen Frau Arbeitslose Webdesigner Assistentin ist) macht das (die Frage, das Konstrukt) keinen Sinn.
(Auch das irgendjemand einem anderen lokaler Adminrechte auf einen Server - der in einer AD ist - gibt und den dann nicht instruiert, wie er was zu machen hat)
Eine lokale Gruppe in einer AD zu pflegen - ja mei -wenn sein muß dann macht man das halt - und die Abfrage - wie wo wann und wer läuft über die AD.
Gruß
Hi.
Du hast schon 4 Kommentare, dabei geht aus dem Beitrag nicht einmal hervor, wem die Laufwerke gemappt werden sollen.
Hast Du wirklich mehrere lokale Nutzer des Servers, die sich an diesem per RDP anmelden (oder gar davor setzen)? Und wohin werden diese Laufwerke verbunden (Zielpfad?), etwa zum Server selbst?
Ich schätze, wie auch immer Du antworten magst, dass Du etwas eher Seltenes als Schönes baust und wüsste deshalb gern, welches Ziel Du verfolgst.
Du hast schon 4 Kommentare, dabei geht aus dem Beitrag nicht einmal hervor, wem die Laufwerke gemappt werden sollen.
Hast Du wirklich mehrere lokale Nutzer des Servers, die sich an diesem per RDP anmelden (oder gar davor setzen)? Und wohin werden diese Laufwerke verbunden (Zielpfad?), etwa zum Server selbst?
Ich schätze, wie auch immer Du antworten magst, dass Du etwas eher Seltenes als Schönes baust und wüsste deshalb gern, welches Ziel Du verfolgst.
Hallo an alle,
erstmal vielen Dank für die Kommentare. Ich werde mal versuchen, mein Problem noch etwas detaillierter darzustellen. Ich arbeite in einer großen Stadtverwaltung, die wie vielleicht bekannt ist, in viele Organisationeinheiten gegliedert ist. Bei meiner Organisationseinheit kommt noch erschwerend hinzu, dass wir zwar zur Stadt gehören, aber Aufgaben des Landes erledigen und auch vom Land bezahlt werden.
Das gesamte Netzwerk inkl. Domäne wird von einem externen Dienstleister betreut, der in seinem Konzept nicht vorsieht, den einzelnen Orga-Einheiten Adminrechte für das AD zu geben. Also haben wir in unserer Orga u. a. einen eigenen Fileserver, der zwar in der Domäne ist, aber nur Daten zur Verfügung stellt. Auf diesem Fileserver gibt es lokale Grupen, die Berechtigungen für verschiedene Laufwerksfreigaben haben. Ich möchte erreichen,dass wenn ein User sich anmeldet, ein Script abläuft, welches feststellt, in welchen lokalen Gruppen der User ist und anhand dieser Berechtigungen die Laufwerke des Fileservers mappt.
Mir ist schon bewusst, dass dieses Konstrukt nicht das eleganteste ist, aber unsere Leitung steht auf dem Standpunkt, dass der externe Dienstleister zwar bestimmen darf, an welcher Domäne wir uns anmelden, aber Zugriff auf unsere Daten gibt es nicht.
Ich hoffe, ich konnte mein Vorhaben etwas klarer darstellen und danke für jede Hilfe im Voraus.
Liebe Grüße
Dirk
erstmal vielen Dank für die Kommentare. Ich werde mal versuchen, mein Problem noch etwas detaillierter darzustellen. Ich arbeite in einer großen Stadtverwaltung, die wie vielleicht bekannt ist, in viele Organisationeinheiten gegliedert ist. Bei meiner Organisationseinheit kommt noch erschwerend hinzu, dass wir zwar zur Stadt gehören, aber Aufgaben des Landes erledigen und auch vom Land bezahlt werden.
Das gesamte Netzwerk inkl. Domäne wird von einem externen Dienstleister betreut, der in seinem Konzept nicht vorsieht, den einzelnen Orga-Einheiten Adminrechte für das AD zu geben. Also haben wir in unserer Orga u. a. einen eigenen Fileserver, der zwar in der Domäne ist, aber nur Daten zur Verfügung stellt. Auf diesem Fileserver gibt es lokale Grupen, die Berechtigungen für verschiedene Laufwerksfreigaben haben. Ich möchte erreichen,dass wenn ein User sich anmeldet, ein Script abläuft, welches feststellt, in welchen lokalen Gruppen der User ist und anhand dieser Berechtigungen die Laufwerke des Fileservers mappt.
Mir ist schon bewusst, dass dieses Konstrukt nicht das eleganteste ist, aber unsere Leitung steht auf dem Standpunkt, dass der externe Dienstleister zwar bestimmen darf, an welcher Domäne wir uns anmelden, aber Zugriff auf unsere Daten gibt es nicht.
Ich hoffe, ich konnte mein Vorhaben etwas klarer darstellen und danke für jede Hilfe im Voraus.
Liebe Grüße
Dirk
Ich hoffe, ich konnte mein Vorhaben etwas klarer darstellen und danke für jede Hilfe im Voraus
Ganz ehrlich? Nein, konntest Du nur gering.Wo melden sich die Benutzer an? An Clients oder am Server selbst?
Angenommen, Du meldest Dich am Client an. Du hast lokale Nutzer, die sowohl auf dem Server als auch auf dem Client bestehen, dann könnte ein Skript nur die lokalen Gruppen des Clients abfragen.
Wenn Du Dich mit einem Domänenkonto anmeldest, dann kann ifmember natürlich Domänengruppen abfragen.
Wenn Du Dich am Server anmeldest (rdp) geht natürlich beides.
Also: 2. Anlauf bitte um Klarheit zu schaffen.
Ok, ich versuche es nochmal. Die Benutzer melden sich am Client an. Dieser Verbindet sich mit der Domäne. Die Daten werden dem Benutzer über Laufwerksfreigaben des Fileservers bereitgestellt.
Es gibt keine lokalen Nutzer, alle sind in der Domäne. Nur auf dem Fileserver gibt es lokale Gruppen. Deren Mitglieder sind aber auch nur Domänenbenutzer.
Ich hatte die Vorstellung, dass es evtl. eine Möglichkeit gäbe, mit einem Befehl festzulegen, auf welchem Server ich die lokalen Gruppen auslesen möchte.
Deiner Antwort kann ich wohl entnehmen, dass eben dies nicht möglich ist.
Die Domänengruppen nützen mir in diesem Fall wenig, weil die Domänenberechtigungen nichts mit den Berechtigungen auf unserem Fileserver zu tun haben. Wir nutzen aus den oben genannten Gründen nicht die Möglichkeit, die Rechte über das AD zu steuern. Leider haben wir auch nicht die Möglichkeit eine eigene Domäne zu implementieren. Deshalb müssen wir mit dieser "Krücke" leben.
Es gibt keine lokalen Nutzer, alle sind in der Domäne. Nur auf dem Fileserver gibt es lokale Gruppen. Deren Mitglieder sind aber auch nur Domänenbenutzer.
Ich hatte die Vorstellung, dass es evtl. eine Möglichkeit gäbe, mit einem Befehl festzulegen, auf welchem Server ich die lokalen Gruppen auslesen möchte.
Deiner Antwort kann ich wohl entnehmen, dass eben dies nicht möglich ist.
Die Domänengruppen nützen mir in diesem Fall wenig, weil die Domänenberechtigungen nichts mit den Berechtigungen auf unserem Fileserver zu tun haben. Wir nutzen aus den oben genannten Gründen nicht die Möglichkeit, die Rechte über das AD zu steuern. Leider haben wir auch nicht die Möglichkeit eine eigene Domäne zu implementieren. Deshalb müssen wir mit dieser "Krücke" leben.
Wie oben von Karo empfohlen... für alle das gleiche Laufwerk mit Unterverzeichnissen für die einzelnen Gruppen. Alles andere regelst du dann auf der Dateiebene auf dem Server.
Wie verbindest du eigentlich die Laufwerke, wenn du keinen Zugriff auf's Netlogon bzw. AD hast? Per lokalem Script?
Wie verbindest du eigentlich die Laufwerke, wenn du keinen Zugriff auf's Netlogon bzw. AD hast? Per lokalem Script?
Die Verbindung zu den Laufwerken wird mit einem Skript erledigt, welches auf jedem Client in der Autostartgruppe der "All Users" liegt..
Moin,
nun, clientbasierte Autostartscripts, tja ... hach
...wage es kaum zu schreiben, mach es aber doch:
IF EXIST \\<SERVERNAME>\<SHARE01> NET USE M: \\<SERVERNAME>\<SHARE01>
IF EXIST \\<SERVERNAME>\<SHARE02> NET USE N: \\<SERVERNAME>\<SHARE02>
aso.....
aso.....
Die User können schließlich nur das sehen, was für ihre Gruppen eingerichtet ist (wenn auf den Share-Rechten nur die Gruppe/n und Administratoren verrechtet sind.
Nachteil die Verzögerung beim Checken auf Existenz...
Ich bleibe bei meinem oben genannten. Mit ABE hast Du eine saubere Lösung ohne an irgendwelchen Clientscripts jetzt und in Zukunft rumferkeln zu müssen ....
Karo
nun, clientbasierte Autostartscripts, tja ... hach
...wage es kaum zu schreiben, mach es aber doch:
IF EXIST \\<SERVERNAME>\<SHARE01> NET USE M: \\<SERVERNAME>\<SHARE01>
IF EXIST \\<SERVERNAME>\<SHARE02> NET USE N: \\<SERVERNAME>\<SHARE02>
aso.....
aso.....
Die User können schließlich nur das sehen, was für ihre Gruppen eingerichtet ist (wenn auf den Share-Rechten nur die Gruppe/n und Administratoren verrechtet sind.
Nachteil die Verzögerung beim Checken auf Existenz...
Ich bleibe bei meinem oben genannten. Mit ABE hast Du eine saubere Lösung ohne an irgendwelchen Clientscripts jetzt und in Zukunft rumferkeln zu müssen ....
Karo
Vielen Dank für eure Hilfe. ABE ist tatsächlich die Lösung des Problems. Ich habe da etwas auf der Leitung gestanden, weil mir bis jetzt überhaupt nicht bekannt war, dass es so etwas gibt.
Das kommt davon, wenn man mit solchen Sachen ins kalte Wasser geworfen wird und sich sämtliches Wissen selbst erarbeiten muss...
Danke noch mal und schönes Wochenende
Dirk
Das kommt davon, wenn man mit solchen Sachen ins kalte Wasser geworfen wird und sich sämtliches Wissen selbst erarbeiten muss...
Danke noch mal und schönes Wochenende
Dirk
Schön. Gib bitte Feedback, ob ABE tatsächlich so arbeitet und Du es schon als funktionierend getestet hast. Ich habe das Bedenken, dass
IF EXIST \\<SERVERNAME>\<SHARE01> NET USE M: \\<SERVERNAME>\<SHARE01> usw.
auch Freigaben finden, die der Explorer (dank ABE) nicht sieht und die Lösung somit keine ist.
IF EXIST \\<SERVERNAME>\<SHARE01> NET USE M: \\<SERVERNAME>\<SHARE01> usw.
auch Freigaben finden, die der Explorer (dank ABE) nicht sieht und die Lösung somit keine ist.
Hoi,
die 'if exist...' bezog sich nicht auf ABE, sondern seine momentane Situation. Darum habe ich mich auch so schwer getan.
Mit ABE braucht er doch nur ein Laufwerk für alle User verbinden.
Karo
die 'if exist...' bezog sich nicht auf ABE, sondern seine momentane Situation. Darum habe ich mich auch so schwer getan.
Mit ABE braucht er doch nur ein Laufwerk für alle User verbinden.
Karo
Vollkommen richtig - hab ich nicht zu Ende gedacht.
