Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage Entwicklung Batch & Shell

GELÖST

Wie lese ich Mitglieder einer Lokalen Gruppe im Windows Server 2008 R2 aus?

Mitglied: SkywalkersReturn

SkywalkersReturn (Level 1) - Jetzt verbinden

05.08.2010 um 15:55 Uhr, 5668 Aufrufe, 15 Kommentare

Ich habe folgendes Problem: Ich möchte auf einem Windows Server 2008 R2, der als Fileserver dient per Skript oder Batch die Mitglieder der dortigen lokalen Gruppen auslesen und anhand der Ergebnisse die betreffenden Laufwerksfreigaben mappen. Dieser Server ist in einer Domäne, für die ich aber keine Admin-Rechte habe. Ich verfüge lediglich über lokale Admin-Rechte. Ich habe schon einiges zum auslesen der Mitglieder von Gruppen aus dem AD gefunden, aber noch nichts über "normale" lokale GRuppen. Bin für jede Hilfe dankbar.
Mitglied: Karo
05.08.2010 um 16:07 Uhr
schon mal mit IFMEMBER "<SERVERNAME>\<GRUPPE>" || net use <LW>: \\<SERVER>\<SERVERSHARE> gespielt?
Bitte warten ..
Mitglied: 48507
05.08.2010 um 16:08 Uhr
Wie soll das gehen, wenn das Mappen durch den Client geschieht und dieser dann die Rechte haben müsste, die eigene Gruppe auf dem Server auszulesen?
Bitte warten ..
Mitglied: Karo
05.08.2010 um 16:23 Uhr
uuurks, Spytnik, Du hast natürlich recht. Voll den Denkfehler meinerseits.

Man könnte es vielleicht so machen:
- Access Based Enumeration (ABE) muss auf dem Server laufen
- EINEN Einsteigspunkt (Share) für ALLE, sprich Es gibt eine Gruppe (ich nenne sie mal GROUP00) in der alle anderen Gruppen drin sind. Diese Gruppe wird auf dem Einstiegspunkt (Share) verrechtet mit LIST ONLY.
- Unterhalb des Einstiegspunktes kommen die einzelnen Gruppenverzeichnisse auf denen auch NUR die jeweilige Gruppe (+Admins ) Rechte hat, nicht einmal die GROUP00 hat hier irgendwelche Rechte (Thema Vererbung ausschalten).
- Durch die ABE Sehen die User nur die Ordner auf die sie können...das wars.

Ob Du das rein per Share/NTFS oder mit DFS machst ist Deine Sache....
Bitte warten ..
Mitglied: 60730
05.08.2010 um 16:55 Uhr
Moin,

ganz ehrlich in den letzten Tagen / Wochen sind hier schon so manche Fragen grußlos gestellt worden, das man sich fragt - wo denn die vielen neuen Adminpraktikantenstellen vergeben wurden...


Für mich, als ungelernter gelernter Hauptnebeneinsteiger (um nicht zu schreiben - Arbeitsloser Arbeitslose dessen Frau Arbeitslose Webdesigner Assistentin ist) macht das (die Frage, das Konstrukt) keinen Sinn.
(Auch das irgendjemand einem anderen lokaler Adminrechte auf einen Server - der in einer AD ist - gibt und den dann nicht instruiert, wie er was zu machen hat)

Eine lokale Gruppe in einer AD zu pflegen - ja mei -wenn sein muß dann macht man das halt - und die Abfrage - wie wo wann und wer läuft über die AD.

Gruß
Bitte warten ..
Mitglied: DerWoWusste
06.08.2010 um 00:02 Uhr
Hi.

Du hast schon 4 Kommentare, dabei geht aus dem Beitrag nicht einmal hervor, wem die Laufwerke gemappt werden sollen.
Hast Du wirklich mehrere lokale Nutzer des Servers, die sich an diesem per RDP anmelden (oder gar davor setzen)? Und wohin werden diese Laufwerke verbunden (Zielpfad?), etwa zum Server selbst?

Ich schätze, wie auch immer Du antworten magst, dass Du etwas eher Seltenes als Schönes baust und wüsste deshalb gern, welches Ziel Du verfolgst.
Bitte warten ..
Mitglied: SkywalkersReturn
06.08.2010 um 09:09 Uhr
Hallo an alle,

erstmal vielen Dank für die Kommentare. Ich werde mal versuchen, mein Problem noch etwas detaillierter darzustellen. Ich arbeite in einer großen Stadtverwaltung, die wie vielleicht bekannt ist, in viele Organisationeinheiten gegliedert ist. Bei meiner Organisationseinheit kommt noch erschwerend hinzu, dass wir zwar zur Stadt gehören, aber Aufgaben des Landes erledigen und auch vom Land bezahlt werden.

Das gesamte Netzwerk inkl. Domäne wird von einem externen Dienstleister betreut, der in seinem Konzept nicht vorsieht, den einzelnen Orga-Einheiten Adminrechte für das AD zu geben. Also haben wir in unserer Orga u. a. einen eigenen Fileserver, der zwar in der Domäne ist, aber nur Daten zur Verfügung stellt. Auf diesem Fileserver gibt es lokale Grupen, die Berechtigungen für verschiedene Laufwerksfreigaben haben. Ich möchte erreichen,dass wenn ein User sich anmeldet, ein Script abläuft, welches feststellt, in welchen lokalen Gruppen der User ist und anhand dieser Berechtigungen die Laufwerke des Fileservers mappt.

Mir ist schon bewusst, dass dieses Konstrukt nicht das eleganteste ist, aber unsere Leitung steht auf dem Standpunkt, dass der externe Dienstleister zwar bestimmen darf, an welcher Domäne wir uns anmelden, aber Zugriff auf unsere Daten gibt es nicht.

Ich hoffe, ich konnte mein Vorhaben etwas klarer darstellen und danke für jede Hilfe im Voraus.

Liebe Grüße
Dirk
Bitte warten ..
Mitglied: DerWoWusste
06.08.2010 um 09:22 Uhr
Ich hoffe, ich konnte mein Vorhaben etwas klarer darstellen und danke für jede Hilfe im Voraus
Ganz ehrlich? Nein, konntest Du nur gering.

Wo melden sich die Benutzer an? An Clients oder am Server selbst?

Angenommen, Du meldest Dich am Client an. Du hast lokale Nutzer, die sowohl auf dem Server als auch auf dem Client bestehen, dann könnte ein Skript nur die lokalen Gruppen des Clients abfragen.
Wenn Du Dich mit einem Domänenkonto anmeldest, dann kann ifmember natürlich Domänengruppen abfragen.

Wenn Du Dich am Server anmeldest (rdp) geht natürlich beides.

Also: 2. Anlauf bitte um Klarheit zu schaffen.
Bitte warten ..
Mitglied: SkywalkersReturn
06.08.2010 um 09:48 Uhr
Ok, ich versuche es nochmal. Die Benutzer melden sich am Client an. Dieser Verbindet sich mit der Domäne. Die Daten werden dem Benutzer über Laufwerksfreigaben des Fileservers bereitgestellt.

Es gibt keine lokalen Nutzer, alle sind in der Domäne. Nur auf dem Fileserver gibt es lokale Gruppen. Deren Mitglieder sind aber auch nur Domänenbenutzer.

Ich hatte die Vorstellung, dass es evtl. eine Möglichkeit gäbe, mit einem Befehl festzulegen, auf welchem Server ich die lokalen Gruppen auslesen möchte.
Deiner Antwort kann ich wohl entnehmen, dass eben dies nicht möglich ist.
Die Domänengruppen nützen mir in diesem Fall wenig, weil die Domänenberechtigungen nichts mit den Berechtigungen auf unserem Fileserver zu tun haben. Wir nutzen aus den oben genannten Gründen nicht die Möglichkeit, die Rechte über das AD zu steuern. Leider haben wir auch nicht die Möglichkeit eine eigene Domäne zu implementieren. Deshalb müssen wir mit dieser "Krücke" leben.
Bitte warten ..
Mitglied: 48507
06.08.2010 um 09:53 Uhr
Wie oben von Karo empfohlen... für alle das gleiche Laufwerk mit Unterverzeichnissen für die einzelnen Gruppen. Alles andere regelst du dann auf der Dateiebene auf dem Server.

Wie verbindest du eigentlich die Laufwerke, wenn du keinen Zugriff auf's Netlogon bzw. AD hast? Per lokalem Script?
Bitte warten ..
Mitglied: SkywalkersReturn
06.08.2010 um 10:11 Uhr
Die Verbindung zu den Laufwerken wird mit einem Skript erledigt, welches auf jedem Client in der Autostartgruppe der "All Users" liegt..
Bitte warten ..
Mitglied: Karo
06.08.2010 um 11:09 Uhr
Moin,
nun, clientbasierte Autostartscripts, tja ... hach

...wage es kaum zu schreiben, mach es aber doch:
IF EXIST \\<SERVERNAME>\<SHARE01> NET USE M: \\<SERVERNAME>\<SHARE01>
IF EXIST \\<SERVERNAME>\<SHARE02> NET USE N: \\<SERVERNAME>\<SHARE02>
aso.....
aso.....
Die User können schließlich nur das sehen, was für ihre Gruppen eingerichtet ist (wenn auf den Share-Rechten nur die Gruppe/n und Administratoren verrechtet sind.
Nachteil die Verzögerung beim Checken auf Existenz...

Ich bleibe bei meinem oben genannten. Mit ABE hast Du eine saubere Lösung ohne an irgendwelchen Clientscripts jetzt und in Zukunft rumferkeln zu müssen ....

Karo
Bitte warten ..
Mitglied: SkywalkersReturn
06.08.2010 um 12:30 Uhr
Vielen Dank für eure Hilfe. ABE ist tatsächlich die Lösung des Problems. Ich habe da etwas auf der Leitung gestanden, weil mir bis jetzt überhaupt nicht bekannt war, dass es so etwas gibt.

Das kommt davon, wenn man mit solchen Sachen ins kalte Wasser geworfen wird und sich sämtliches Wissen selbst erarbeiten muss...


Danke noch mal und schönes Wochenende

Dirk
Bitte warten ..
Mitglied: DerWoWusste
06.08.2010 um 13:26 Uhr
Schön. Gib bitte Feedback, ob ABE tatsächlich so arbeitet und Du es schon als funktionierend getestet hast. Ich habe das Bedenken, dass
IF EXIST \\<SERVERNAME>\<SHARE01> NET USE M: \\<SERVERNAME>\<SHARE01> usw.
auch Freigaben finden, die der Explorer (dank ABE) nicht sieht und die Lösung somit keine ist.
Bitte warten ..
Mitglied: Karo
06.08.2010 um 14:09 Uhr
Hoi,

die 'if exist...' bezog sich nicht auf ABE, sondern seine momentane Situation. Darum habe ich mich auch so schwer getan.
Mit ABE braucht er doch nur ein Laufwerk für alle User verbinden.

Karo
Bitte warten ..
Mitglied: DerWoWusste
06.08.2010 um 14:22 Uhr
Vollkommen richtig - hab ich nicht zu Ende gedacht.
Bitte warten ..
Ähnliche Inhalte
Windows Userverwaltung
Mitglieder der lokalen Benutzer und Gruppen über GPO ändern
gelöst Frage von moses-southWindows Userverwaltung5 Kommentare

Einen wunderschönen guten Morgen zusammen Erst mal ein herzliches Willkommen und danke für eure bisherige Unterstützung, anhand der Fragen ...

Windows Server
Windows Server 2008 R2 Kennwortrichtlinie Lokal Domäne
gelöst Frage von mario87Windows Server9 Kommentare

Hallo zusammen, ich habe einen Windows Server 2008 Std. R2, der Mitglied der Domäne ist, diese aber nicht verwaltet. ...

Windows Server
Windows 2008 r2, Gruppen Berechtigungen für Ordner auf einmal vergeben
Frage von TuricanWindows Server3 Kommentare

Hallo, ich soll auf unserem Server für mehrere Ordner Gruppen Berechtigungen vergeben. Wir haben normalerweise Novel als Hauptserver, da ...

Windows Userverwaltung
User und Gruppen von Server 2008 auf Server 2008 R2 umziehen
Frage von speedy26gonzalesWindows Userverwaltung4 Kommentare

Hallo, ich habe die letzte Zeit öfters damit zu tun dass wir ältere Server (z.B. 2003, 2008) auf Server ...

Neue Wissensbeiträge
Linux

Meltdown und Spectre: Linux Update

Information von Frank vor 1 TagLinux

Meltdown (Variante 3 des Prozessorfehlers) Der Kernel 4.14.13 mit den Page-Table-Isolation-Code (PTI) ist nun für Fedora freigegeben worden. Er ...

Tipps & Tricks

Solutio Charly Updater Fehlermeldung: Das Abgleichen der Dateien in -Pfad- mit dem Datenobject ist fehlgeschlagen

Tipp von StefanKittel vor 1 TagTipps & Tricks

Hallo, hier einmal als Tipp für alle unter Euch die mit der Zahnarztabrechnungssoftware Charly von Solutio zu tun haben. ...

Sicherheit

Meltdown und Spectre: Wir brauchen eine "Abwrackprämie", die die CPU-Hersteller bezahlen

Information von Frank vor 1 TagSicherheit12 Kommentare

Zum aktuellen Thema Meltdown und Spectre: Ich wünsche mir von den CPU-Herstellern wie Intel, AMD oder ARM eine Art ...

Sicherheit

Meltdown und Spectre: Realitätscheck

Information von Frank vor 1 TagSicherheit9 Kommentare

Die unangenehme Realität Der Prozessorfehler mit seinen Varianten Meltdown und Spectre ist seit Juni 2017 bekannt. Trotzdem sind immer ...

Heiß diskutierte Inhalte
Sicherheit
Meltdown und Spectre: Die machen uns alle was vor
Information von FrankSicherheit29 Kommentare

Aktuell sieht es in den Medien so aus, als hätten die Hersteller wie Intel, Microsoft und Co den aktuellen ...

Ubuntu
Ubuntu - Starter für nicht vertrauenswürdige Anwendungen
Frage von adm2015Ubuntu17 Kommentare

Hallo zusammen, Ich verwende derzeit die Ubuntu Versionen 17.10 bzw. im Test 18.04. Ich habe mehrere .desktop Dateien in ...

SAN, NAS, DAS
Hilfe beim Einrichten eines Storages (SAN)
gelöst Frage von Vader666SAN, NAS, DAS15 Kommentare

Hallo Admins! Ich bin in einer kleineren Firma und hatte bisher mit dem Thema SAN nur in meiner Ausbildung ...

Batch & Shell
Meltdown Microsoft Prüf Script - .zip Datei leider leer
gelöst Frage von MasterBlaster88Batch & Shell13 Kommentare

Hallo zusammen, ich patche gerade unsere Windows Server bzgl. der Meltdown Lücke. Patch vorhanden, Reg Keys gesetzt Um das ...