Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Wie lese ich Mitglieder einer Lokalen Gruppe im Windows Server 2008 R2 aus?

Frage Entwicklung Batch & Shell

Mitglied: SkywalkersReturn

SkywalkersReturn (Level 1) - Jetzt verbinden

05.08.2010 um 15:55 Uhr, 5433 Aufrufe, 15 Kommentare

Ich habe folgendes Problem: Ich möchte auf einem Windows Server 2008 R2, der als Fileserver dient per Skript oder Batch die Mitglieder der dortigen lokalen Gruppen auslesen und anhand der Ergebnisse die betreffenden Laufwerksfreigaben mappen. Dieser Server ist in einer Domäne, für die ich aber keine Admin-Rechte habe. Ich verfüge lediglich über lokale Admin-Rechte. Ich habe schon einiges zum auslesen der Mitglieder von Gruppen aus dem AD gefunden, aber noch nichts über "normale" lokale GRuppen. Bin für jede Hilfe dankbar.
Mitglied: Karo
05.08.2010 um 16:07 Uhr
schon mal mit IFMEMBER "<SERVERNAME>\<GRUPPE>" || net use <LW>: \\<SERVER>\<SERVERSHARE> gespielt?
Bitte warten ..
Mitglied: sputnik
05.08.2010 um 16:08 Uhr
Wie soll das gehen, wenn das Mappen durch den Client geschieht und dieser dann die Rechte haben müsste, die eigene Gruppe auf dem Server auszulesen?
Bitte warten ..
Mitglied: Karo
05.08.2010 um 16:23 Uhr
uuurks, Spytnik, Du hast natürlich recht. Voll den Denkfehler meinerseits.

Man könnte es vielleicht so machen:
- Access Based Enumeration (ABE) muss auf dem Server laufen
- EINEN Einsteigspunkt (Share) für ALLE, sprich Es gibt eine Gruppe (ich nenne sie mal GROUP00) in der alle anderen Gruppen drin sind. Diese Gruppe wird auf dem Einstiegspunkt (Share) verrechtet mit LIST ONLY.
- Unterhalb des Einstiegspunktes kommen die einzelnen Gruppenverzeichnisse auf denen auch NUR die jeweilige Gruppe (+Admins ) Rechte hat, nicht einmal die GROUP00 hat hier irgendwelche Rechte (Thema Vererbung ausschalten).
- Durch die ABE Sehen die User nur die Ordner auf die sie können...das wars.

Ob Du das rein per Share/NTFS oder mit DFS machst ist Deine Sache....
Bitte warten ..
Mitglied: 60730
05.08.2010 um 16:55 Uhr
Moin,

ganz ehrlich in den letzten Tagen / Wochen sind hier schon so manche Fragen grußlos gestellt worden, das man sich fragt - wo denn die vielen neuen Adminpraktikantenstellen vergeben wurden...


Für mich, als ungelernter gelernter Hauptnebeneinsteiger (um nicht zu schreiben - Arbeitsloser Arbeitslose dessen Frau Arbeitslose Webdesigner Assistentin ist) macht das (die Frage, das Konstrukt) keinen Sinn.
(Auch das irgendjemand einem anderen lokaler Adminrechte auf einen Server - der in einer AD ist - gibt und den dann nicht instruiert, wie er was zu machen hat)

Eine lokale Gruppe in einer AD zu pflegen - ja mei -wenn sein muß dann macht man das halt - und die Abfrage - wie wo wann und wer läuft über die AD.

Gruß
Bitte warten ..
Mitglied: DerWoWusste
06.08.2010 um 00:02 Uhr
Hi.

Du hast schon 4 Kommentare, dabei geht aus dem Beitrag nicht einmal hervor, wem die Laufwerke gemappt werden sollen.
Hast Du wirklich mehrere lokale Nutzer des Servers, die sich an diesem per RDP anmelden (oder gar davor setzen)? Und wohin werden diese Laufwerke verbunden (Zielpfad?), etwa zum Server selbst?

Ich schätze, wie auch immer Du antworten magst, dass Du etwas eher Seltenes als Schönes baust und wüsste deshalb gern, welches Ziel Du verfolgst.
Bitte warten ..
Mitglied: SkywalkersReturn
06.08.2010 um 09:09 Uhr
Hallo an alle,

erstmal vielen Dank für die Kommentare. Ich werde mal versuchen, mein Problem noch etwas detaillierter darzustellen. Ich arbeite in einer großen Stadtverwaltung, die wie vielleicht bekannt ist, in viele Organisationeinheiten gegliedert ist. Bei meiner Organisationseinheit kommt noch erschwerend hinzu, dass wir zwar zur Stadt gehören, aber Aufgaben des Landes erledigen und auch vom Land bezahlt werden.

Das gesamte Netzwerk inkl. Domäne wird von einem externen Dienstleister betreut, der in seinem Konzept nicht vorsieht, den einzelnen Orga-Einheiten Adminrechte für das AD zu geben. Also haben wir in unserer Orga u. a. einen eigenen Fileserver, der zwar in der Domäne ist, aber nur Daten zur Verfügung stellt. Auf diesem Fileserver gibt es lokale Grupen, die Berechtigungen für verschiedene Laufwerksfreigaben haben. Ich möchte erreichen,dass wenn ein User sich anmeldet, ein Script abläuft, welches feststellt, in welchen lokalen Gruppen der User ist und anhand dieser Berechtigungen die Laufwerke des Fileservers mappt.

Mir ist schon bewusst, dass dieses Konstrukt nicht das eleganteste ist, aber unsere Leitung steht auf dem Standpunkt, dass der externe Dienstleister zwar bestimmen darf, an welcher Domäne wir uns anmelden, aber Zugriff auf unsere Daten gibt es nicht.

Ich hoffe, ich konnte mein Vorhaben etwas klarer darstellen und danke für jede Hilfe im Voraus.

Liebe Grüße
Dirk
Bitte warten ..
Mitglied: DerWoWusste
06.08.2010 um 09:22 Uhr
Ich hoffe, ich konnte mein Vorhaben etwas klarer darstellen und danke für jede Hilfe im Voraus
Ganz ehrlich? Nein, konntest Du nur gering.

Wo melden sich die Benutzer an? An Clients oder am Server selbst?

Angenommen, Du meldest Dich am Client an. Du hast lokale Nutzer, die sowohl auf dem Server als auch auf dem Client bestehen, dann könnte ein Skript nur die lokalen Gruppen des Clients abfragen.
Wenn Du Dich mit einem Domänenkonto anmeldest, dann kann ifmember natürlich Domänengruppen abfragen.

Wenn Du Dich am Server anmeldest (rdp) geht natürlich beides.

Also: 2. Anlauf bitte um Klarheit zu schaffen.
Bitte warten ..
Mitglied: SkywalkersReturn
06.08.2010 um 09:48 Uhr
Ok, ich versuche es nochmal. Die Benutzer melden sich am Client an. Dieser Verbindet sich mit der Domäne. Die Daten werden dem Benutzer über Laufwerksfreigaben des Fileservers bereitgestellt.

Es gibt keine lokalen Nutzer, alle sind in der Domäne. Nur auf dem Fileserver gibt es lokale Gruppen. Deren Mitglieder sind aber auch nur Domänenbenutzer.

Ich hatte die Vorstellung, dass es evtl. eine Möglichkeit gäbe, mit einem Befehl festzulegen, auf welchem Server ich die lokalen Gruppen auslesen möchte.
Deiner Antwort kann ich wohl entnehmen, dass eben dies nicht möglich ist.
Die Domänengruppen nützen mir in diesem Fall wenig, weil die Domänenberechtigungen nichts mit den Berechtigungen auf unserem Fileserver zu tun haben. Wir nutzen aus den oben genannten Gründen nicht die Möglichkeit, die Rechte über das AD zu steuern. Leider haben wir auch nicht die Möglichkeit eine eigene Domäne zu implementieren. Deshalb müssen wir mit dieser "Krücke" leben.
Bitte warten ..
Mitglied: sputnik
06.08.2010 um 09:53 Uhr
Wie oben von Karo empfohlen... für alle das gleiche Laufwerk mit Unterverzeichnissen für die einzelnen Gruppen. Alles andere regelst du dann auf der Dateiebene auf dem Server.

Wie verbindest du eigentlich die Laufwerke, wenn du keinen Zugriff auf's Netlogon bzw. AD hast? Per lokalem Script?
Bitte warten ..
Mitglied: SkywalkersReturn
06.08.2010 um 10:11 Uhr
Die Verbindung zu den Laufwerken wird mit einem Skript erledigt, welches auf jedem Client in der Autostartgruppe der "All Users" liegt..
Bitte warten ..
Mitglied: Karo
06.08.2010 um 11:09 Uhr
Moin,
nun, clientbasierte Autostartscripts, tja ... hach

...wage es kaum zu schreiben, mach es aber doch:
IF EXIST \\<SERVERNAME>\<SHARE01> NET USE M: \\<SERVERNAME>\<SHARE01>
IF EXIST \\<SERVERNAME>\<SHARE02> NET USE N: \\<SERVERNAME>\<SHARE02>
aso.....
aso.....
Die User können schließlich nur das sehen, was für ihre Gruppen eingerichtet ist (wenn auf den Share-Rechten nur die Gruppe/n und Administratoren verrechtet sind.
Nachteil die Verzögerung beim Checken auf Existenz...

Ich bleibe bei meinem oben genannten. Mit ABE hast Du eine saubere Lösung ohne an irgendwelchen Clientscripts jetzt und in Zukunft rumferkeln zu müssen ....

Karo
Bitte warten ..
Mitglied: SkywalkersReturn
06.08.2010 um 12:30 Uhr
Vielen Dank für eure Hilfe. ABE ist tatsächlich die Lösung des Problems. Ich habe da etwas auf der Leitung gestanden, weil mir bis jetzt überhaupt nicht bekannt war, dass es so etwas gibt.

Das kommt davon, wenn man mit solchen Sachen ins kalte Wasser geworfen wird und sich sämtliches Wissen selbst erarbeiten muss...


Danke noch mal und schönes Wochenende

Dirk
Bitte warten ..
Mitglied: DerWoWusste
06.08.2010 um 13:26 Uhr
Schön. Gib bitte Feedback, ob ABE tatsächlich so arbeitet und Du es schon als funktionierend getestet hast. Ich habe das Bedenken, dass
IF EXIST \\<SERVERNAME>\<SHARE01> NET USE M: \\<SERVERNAME>\<SHARE01> usw.
auch Freigaben finden, die der Explorer (dank ABE) nicht sieht und die Lösung somit keine ist.
Bitte warten ..
Mitglied: Karo
06.08.2010 um 14:09 Uhr
Hoi,

die 'if exist...' bezog sich nicht auf ABE, sondern seine momentane Situation. Darum habe ich mich auch so schwer getan.
Mit ABE braucht er doch nur ein Laufwerk für alle User verbinden.

Karo
Bitte warten ..
Mitglied: DerWoWusste
06.08.2010 um 14:22 Uhr
Vollkommen richtig - hab ich nicht zu Ende gedacht.
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(1)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Outlook & Mail
Outlook 2010 findet ost datei nicht (18)

Frage von Floh21 zum Thema Outlook & Mail ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...