Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage Microsoft Windows Netzwerk

My Documents, Roaming Profile und Lokaler Admin

Mitglied: TheHawk

TheHawk (Level 1) - Jetzt verbinden

14.07.2008, aktualisiert 15:59 Uhr, 5429 Aufrufe, 11 Kommentare

Hallo Ng,

Ich habe in meiner Domaine alle Benutzer auf ihrem Pc als Lokalen Administrator definiert.
Alle Profile sind Roaming Profile.

Da manche Benutzer sich manchmal an versichedenen Pc's anmelden ergibt sich jetzt folgendes Problem.
Der Nutzer geht auf c:\Documents and Settings.
Dann sieht er dort die Profile der anderen Benutzer, er kann dann dort Informationen lesen die Ihn nichts angehn, unter anderem die "My documents" der anderen Benutzer.

Wegen einiger Programme müssen die Benutzter leider Lokaler Admin sein.

Frage:
Wie kann ich es unterbieten dass der Benutzter dort ein "access denied" erhält.

Mfg,

Steve
Mitglied: Logan000
14.07.2008 um 13:47 Uhr
Moin

Dann sieht er dort die Profile der anderen Benutzer, er kann dann dort Informationen lesen die Ihn nichts angehn, unter anderem die "My documents" der anderen Benutzer.

Nun das ist ganz einfach. Du musst der Gruppe der (lokalen) Administratoren das lesen Recht auf die jeweiligen Profil Ordner nehmen.

Nun wirst Du sicherlich sagen das ist je jede Menge arbeit, womit wir bei Grund Nr. 1 sind warum User keine Lokalen Adminrechte haben sollten.

Grund Nr. 2 ist, die lokalen Admins können sich die Rechte jederzeit wieder holen.

Falls Du ein AD hast kannst du die Rechte für den Profilordner per GPO setzen. Das hilft dir bei Grund 1. Grund 2 so ist nicht zu lösen.

Wegen einiger Programme müssen die Benutzter leider Lokaler Admin sein.
In 98% aller Falle kann man dieses Problem in den Griff kriegen ohne mit Rechten um sich zuschmeißen.
Die letzten 2% kann man verzichten.

Gruß L.
Bitte warten ..
Mitglied: TheHawk
14.07.2008 um 13:51 Uhr
Re,

Ich hab versucht dass ich jetz mal einigen Benutzern nur noch die Rechte eines "Hauptbenutzers" zu geben. Nun habe ich dann folgendes Problem:

Der Benutzer bekommt zwar im C:\documents and settings keine Rechte mehr auf andere Ordner, aber die Drucker sind jetzt verloren und er kann auch keine hinzufügen da er dann eine Fehlemeldung bekommt dass der Computer keine Drucker hinzufügen dürfe, ausserdem starte Outlook nicht mehr.

Mfg,
Bitte warten ..
Mitglied: Logan000
14.07.2008 um 14:21 Uhr
aber die Drucker sind jetzt verloren
Oh mein Gott sie sind verloren

und er kann auch keine hinzufügen da er dann eine Fehlemeldung bekommt dass der Computer keine Drucker hinzufügen dürfe,
Lokale Drucker oder Netzwerkdrucker?
- bei lokalem Drucker als admin installieren und in den Eigenschaften dem Anwender gegebenenfalls Zugriff gewähren.
- Netzwerkdrucker kann normalerweise jeder User verbinden. Ansonsten auch hier rechte (Jeder Drucken) gewähren.

ausserdem starte Outlook nicht mehr.
Welche Outlook Version? Seit Office 2K gibt da eigentlich keine Probleme mehr.
Hat der Anwender das Office selbst installiert?

Gruß L.
Bitte warten ..
Mitglied: TheHawk
14.07.2008 um 14:26 Uhr
Re,

Es sind Netzwerkdrucker, da bekommt er dann einen Fehler dass er die nicht hinzufügen kann. Es hat jeder Rechte auf dem Drucker.

Was komisch ist dass der Computer ein ganz neues Profil auf dem Pc erstellt wenn ich im Hauptbenutzerrechte gebe und die Adminrechte mehme.

Es ist Office 2k7

Mfg,
Bitte warten ..
Mitglied: Jochem
14.07.2008 um 14:27 Uhr
Moin,
also so kann das eigentlich auch nicht funktionieren.

Der Hauptbenutzer gilt für den lokalen Rechner. Wenn sich also UserX am RechnerX anmeldet, ist es soweit ok, dann hat er die Möglichkeiten, Drucker hinzuzufügen und auch die Outlook-Komponente kann geladen werden. Meldet sich jetzt UserY am RechnerX an, ist er nicht als Hauptbenutzer registriert (vermute ich mal jetzt aufgrund der Vorgeschichte) und ihm fehlen demnach auch die notwendigen Rechte.

Eine Lösung wäre, die User einer Gruppe zuzuordnen und dieser Gruppe dann am lokalen Rechner als Hauptbenutzer zu deklarieren. Nachteil dieser Lösung: Du hast erheblichen Aufwand , das durchzuziehen (wäre grundsätzlich aber machbar) und Du hast trotz Aufwand nichts geschafft, denn damit haben auch alle User wieder dank Gruppenrechten Zugriff auf die anderen "privaten" Ordner.

Dein Knackpunkt sind tatsächlich die User, die lokaler Admin sein müssen. Du kannst es drehen und wenden wie Du willst, als Admin ist der User Herrscher auf der Kiste und kann machen, was er will. Nimmst Du dem "Admin-User" bestimmte Rechte weg, kann er sich die ohne große Probleme wieder zurückholen.

>>Wegen einiger Programme müssen die Benutzter leider Lokaler Admin sein.<<
Hast Du mal mittels Regmon und/oder Filemon (aus dem MS-Utilities; ehemals Sysinternals) verfolgt, welche Dateien da explizite Zugriffsrechte benötigen? Evtl. reicht ja eine Einschränkung auf bestimmte Dateien, was sich mit einer Benutzergruppe und entsprechenden Rechten auf Verzeichnis-/Dateiebene bewerkstelligen ließe?

Gruß J chem
Bitte warten ..
Mitglied: TheHawk
14.07.2008 um 14:30 Uhr
Der Hauptbenutzer gilt für den lokalen Rechner. Wenn sich also UserX am RechnerX anmeldet, ist es soweit ok, dann hat er die Möglichkeiten, Drucker hinzuzufügen und auch die Outlook-Komponente kann geladen werden.


das klapt leider nicht. Die sind als "Power User" definiert aber trotzem klappts nicht.
Bitte warten ..
Mitglied: Logan000
14.07.2008 um 14:46 Uhr
das klapt leider nicht. Die sind als "Power User" definiert aber trotzem klappts nicht.
Glaub mir mal, das klappt.
Warum es jetzt gerade bei Dir nicht funktioniert läßt sich ohne mehr Details natürlich nicht beantworten.

Gruß L.
Bitte warten ..
Mitglied: Jochem
14.07.2008 um 14:52 Uhr
Moin,
dann mach ich bzw. machen meine User irgendwas falsch, denn hier klappt es (W2K-Domäne (Sp4) mit W2K-Clients (Sp4), Office 2K3 (Sp3)).
Wäre ganz hilfreich, wenn Du mal mit ein paar "Internas" rüberkommst: also welches BS, welche SPs und welche Software wird eingesetzt? Ich hoffe mal, das alles in einer Umgebung, die auf "de" lautet, wobei ich mir da bei der Bezeichnung "My Documents" nicht mehr ganz sicher bin.

Gruß J chem
Bitte warten ..
Mitglied: TheHawk
14.07.2008 um 15:06 Uhr
Hallo,

Bei mir ist es ein Englische Umgebung.
Die Arbeitsstationen sind WinXPSp2 und Server sind Windows 2003R2 Server. Domaine ist auch Server 2k3. Office 2k7Sp1.

so ich hab jetzt mal das Prpofil auf dem Pc gelöscht.
Dann hab ich mich als admin angemeldet und dem Domaineuser die Rechte des Power Users gegeben.

Jetzt hab ich den Useer neu eingeloggt. Das Profil wird wider auf die Platte kopiert, aber allerdings wieder mal ohne die Drucker und ohne dass Outlook geht. Ich hab auch noch festgestellt dass er meinen Proxy nicht mehr mag. ich geb den ein mach ok und dann ist er wieder weg.

Bei den Druckern ist es so: ich durchsuch die AD (ja das geht ! ) wähle den Drucker aus, dann bekomm ich die meldung : You do not have sufficent access to your computer to connect to the selected printer



Gibt es da eine Global Policy die sowas erzeugen könnte?
Bitte warten ..
Mitglied: TheHawk
14.07.2008 um 15:38 Uhr
vielen dank schon mal für eure Mitarbeit
Bitte warten ..
Mitglied: Jochem
14.07.2008 um 15:59 Uhr
Moin,
also die Einstellung des Proxy kann über eine GPO geregelt werden. Insofern vermute ich mal stark, daß die anderen Einschränkungen auch über GPOs greifen. Wie sieht es denn damit aus? Und bitte vorsichtig bei gemischtsprachigen Installationen!

Gruß J chem
Bitte warten ..
Ähnliche Inhalte
Windows Userverwaltung
Lokales Domänen Profil in Roaming Profil umwandeln Windows 10
gelöst Frage von simonlohrWindows Userverwaltung6 Kommentare

Hallo, ich versuche aktuell ein Lokales Profil in ein Roaming Profil zuverwandeln. Leider hab ich auf dem Thema keine ...

Windows Server
Roaming Profile aktive Synchronisation
gelöst Frage von heinz2017Windows Server7 Kommentare

Moin, gibt es in den GPOs auf dem MS Win 2012 R2 Server oder wo auch immer, die Möglichkeit ...

Windows Server
Roaming Profiles - bin ich zu blöd?
gelöst Frage von markaurelWindows Server13 Kommentare

Hallo zusammen! Ich hab bis dato einen WinServer2003 als Domain Controller. Da jetzt wieder etwas Geld in der Kassa ...

Windows Server
Roaming Profiles Server 2012
gelöst Frage von Hendrik2586Windows Server13 Kommentare

Guten Morgen all! Folgende Ausgangssituation: ADDC -> Einen Benutzer ausgewählt zum Testen (TUser) -> in den Eigenschaften unter dem ...

Neue Wissensbeiträge
Linux

Meltdown und Spectre: Linux Update

Information von Frank vor 1 TagLinux

Meltdown (Variante 3 des Prozessorfehlers) Der Kernel 4.14.13 mit den Page-Table-Isolation-Code (PTI) ist nun für Fedora freigegeben worden. Er ...

Tipps & Tricks

Solutio Charly Updater Fehlermeldung: Das Abgleichen der Dateien in -Pfad- mit dem Datenobject ist fehlgeschlagen

Tipp von StefanKittel vor 2 TagenTipps & Tricks

Hallo, hier einmal als Tipp für alle unter Euch die mit der Zahnarztabrechnungssoftware Charly von Solutio zu tun haben. ...

Sicherheit

Meltdown und Spectre: Wir brauchen eine "Abwrackprämie", die die CPU-Hersteller bezahlen

Information von Frank vor 2 TagenSicherheit12 Kommentare

Zum aktuellen Thema Meltdown und Spectre: Ich wünsche mir von den CPU-Herstellern wie Intel, AMD oder ARM eine Art ...

Sicherheit

Meltdown und Spectre: Realitätscheck

Information von Frank vor 2 TagenSicherheit10 Kommentare

Die unangenehme Realität Der Prozessorfehler mit seinen Varianten Meltdown und Spectre ist seit Juni 2017 bekannt. Trotzdem sind immer ...

Heiß diskutierte Inhalte
Batch & Shell
Meltdown Microsoft Prüf Script - .zip Datei leider leer
gelöst Frage von MasterBlaster88Batch & Shell13 Kommentare

Hallo zusammen, ich patche gerade unsere Windows Server bzgl. der Meltdown Lücke. Patch vorhanden, Reg Keys gesetzt Um das ...

Batch & Shell
Shell-Skript - Syntax error: Unterminated quoted string
Frage von newit1Batch & Shell13 Kommentare

Hallo Ich schreibe ein Skript das eine CSV-Datei in eine mySQL Datenbank schieben soll. Bekomme nach start des Skrips ...

E-Mail
Erfahrungen mit hMailServer gesucht
Frage von it-fraggleE-Mail10 Kommentare

Hallo, meine neue Stelle möchte einen eigenen Mailserver. Ich als Linuxkind war direkt geistig mit Postfix dabei. Leider wollen ...

Windows Server
DNS Forwarding an andere Domäne
Frage von detox91Windows Server9 Kommentare

Hallo, für Testzwecke haben wir bei uns eine zweite Windows Domäne (B.local) aufgebaut, welche komplett unabhängig und isoliert der ...