Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

My Documents, Roaming Profile und Lokaler Admin

Frage Microsoft Windows Netzwerk

Mitglied: TheHawk

TheHawk (Level 1) - Jetzt verbinden

14.07.2008, aktualisiert 15:59 Uhr, 5323 Aufrufe, 11 Kommentare

Hallo Ng,

Ich habe in meiner Domaine alle Benutzer auf ihrem Pc als Lokalen Administrator definiert.
Alle Profile sind Roaming Profile.

Da manche Benutzer sich manchmal an versichedenen Pc's anmelden ergibt sich jetzt folgendes Problem.
Der Nutzer geht auf c:\Documents and Settings.
Dann sieht er dort die Profile der anderen Benutzer, er kann dann dort Informationen lesen die Ihn nichts angehn, unter anderem die "My documents" der anderen Benutzer.

Wegen einiger Programme müssen die Benutzter leider Lokaler Admin sein.

Frage:
Wie kann ich es unterbieten dass der Benutzter dort ein "access denied" erhält.

Mit freundlichen Grüßen,

Steve
Mitglied: Logan000
14.07.2008 um 13:47 Uhr
Moin

Dann sieht er dort die Profile der anderen Benutzer, er kann dann dort Informationen lesen die Ihn nichts angehn, unter anderem die "My documents" der anderen Benutzer.

Nun das ist ganz einfach. Du musst der Gruppe der (lokalen) Administratoren das lesen Recht auf die jeweiligen Profil Ordner nehmen.

Nun wirst Du sicherlich sagen das ist je jede Menge arbeit, womit wir bei Grund Nr. 1 sind warum User keine Lokalen Adminrechte haben sollten.

Grund Nr. 2 ist, die lokalen Admins können sich die Rechte jederzeit wieder holen.

Falls Du ein AD hast kannst du die Rechte für den Profilordner per GPO setzen. Das hilft dir bei Grund 1. Grund 2 so ist nicht zu lösen.

Wegen einiger Programme müssen die Benutzter leider Lokaler Admin sein.
In 98% aller Falle kann man dieses Problem in den Griff kriegen ohne mit Rechten um sich zuschmeißen.
Die letzten 2% kann man verzichten.

Gruß L.
Bitte warten ..
Mitglied: TheHawk
14.07.2008 um 13:51 Uhr
Re,

Ich hab versucht dass ich jetz mal einigen Benutzern nur noch die Rechte eines "Hauptbenutzers" zu geben. Nun habe ich dann folgendes Problem:

Der Benutzer bekommt zwar im C:\documents and settings keine Rechte mehr auf andere Ordner, aber die Drucker sind jetzt verloren und er kann auch keine hinzufügen da er dann eine Fehlemeldung bekommt dass der Computer keine Drucker hinzufügen dürfe, ausserdem starte Outlook nicht mehr.

Mit freundlichen Grüßen,
Bitte warten ..
Mitglied: Logan000
14.07.2008 um 14:21 Uhr
aber die Drucker sind jetzt verloren
Oh mein Gott sie sind verloren

und er kann auch keine hinzufügen da er dann eine Fehlemeldung bekommt dass der Computer keine Drucker hinzufügen dürfe,
Lokale Drucker oder Netzwerkdrucker?
- bei lokalem Drucker als admin installieren und in den Eigenschaften dem Anwender gegebenenfalls Zugriff gewähren.
- Netzwerkdrucker kann normalerweise jeder User verbinden. Ansonsten auch hier rechte (Jeder Drucken) gewähren.

ausserdem starte Outlook nicht mehr.
Welche Outlook Version? Seit Office 2K gibt da eigentlich keine Probleme mehr.
Hat der Anwender das Office selbst installiert?

Gruß L.
Bitte warten ..
Mitglied: TheHawk
14.07.2008 um 14:26 Uhr
Re,

Es sind Netzwerkdrucker, da bekommt er dann einen Fehler dass er die nicht hinzufügen kann. Es hat jeder Rechte auf dem Drucker.

Was komisch ist dass der Computer ein ganz neues Profil auf dem Pc erstellt wenn ich im Hauptbenutzerrechte gebe und die Adminrechte mehme.

Es ist Office 2k7

Mit freundlichen Grüßen,
Bitte warten ..
Mitglied: Jochem
14.07.2008 um 14:27 Uhr
Moin,
also so kann das eigentlich auch nicht funktionieren.

Der Hauptbenutzer gilt für den lokalen Rechner. Wenn sich also UserX am RechnerX anmeldet, ist es soweit ok, dann hat er die Möglichkeiten, Drucker hinzuzufügen und auch die Outlook-Komponente kann geladen werden. Meldet sich jetzt UserY am RechnerX an, ist er nicht als Hauptbenutzer registriert (vermute ich mal jetzt aufgrund der Vorgeschichte) und ihm fehlen demnach auch die notwendigen Rechte.

Eine Lösung wäre, die User einer Gruppe zuzuordnen und dieser Gruppe dann am lokalen Rechner als Hauptbenutzer zu deklarieren. Nachteil dieser Lösung: Du hast erheblichen Aufwand , das durchzuziehen (wäre grundsätzlich aber machbar) und Du hast trotz Aufwand nichts geschafft, denn damit haben auch alle User wieder dank Gruppenrechten Zugriff auf die anderen "privaten" Ordner.

Dein Knackpunkt sind tatsächlich die User, die lokaler Admin sein müssen. Du kannst es drehen und wenden wie Du willst, als Admin ist der User Herrscher auf der Kiste und kann machen, was er will. Nimmst Du dem "Admin-User" bestimmte Rechte weg, kann er sich die ohne große Probleme wieder zurückholen.

>>Wegen einiger Programme müssen die Benutzter leider Lokaler Admin sein.<<
Hast Du mal mittels Regmon und/oder Filemon (aus dem MS-Utilities; ehemals Sysinternals) verfolgt, welche Dateien da explizite Zugriffsrechte benötigen? Evtl. reicht ja eine Einschränkung auf bestimmte Dateien, was sich mit einer Benutzergruppe und entsprechenden Rechten auf Verzeichnis-/Dateiebene bewerkstelligen ließe?

Gruß J chem
Bitte warten ..
Mitglied: TheHawk
14.07.2008 um 14:30 Uhr
Der Hauptbenutzer gilt für den lokalen Rechner. Wenn sich also UserX am RechnerX anmeldet, ist es soweit ok, dann hat er die Möglichkeiten, Drucker hinzuzufügen und auch die Outlook-Komponente kann geladen werden.


das klapt leider nicht. Die sind als "Power User" definiert aber trotzem klappts nicht.
Bitte warten ..
Mitglied: Logan000
14.07.2008 um 14:46 Uhr
das klapt leider nicht. Die sind als "Power User" definiert aber trotzem klappts nicht.
Glaub mir mal, das klappt.
Warum es jetzt gerade bei Dir nicht funktioniert läßt sich ohne mehr Details natürlich nicht beantworten.

Gruß L.
Bitte warten ..
Mitglied: Jochem
14.07.2008 um 14:52 Uhr
Moin,
dann mach ich bzw. machen meine User irgendwas falsch, denn hier klappt es (W2K-Domäne (Sp4) mit W2K-Clients (Sp4), Office 2K3 (Sp3)).
Wäre ganz hilfreich, wenn Du mal mit ein paar "Internas" rüberkommst: also welches BS, welche SPs und welche Software wird eingesetzt? Ich hoffe mal, das alles in einer Umgebung, die auf "de" lautet, wobei ich mir da bei der Bezeichnung "My Documents" nicht mehr ganz sicher bin.

Gruß J chem
Bitte warten ..
Mitglied: TheHawk
14.07.2008 um 15:06 Uhr
Hallo,

Bei mir ist es ein Englische Umgebung.
Die Arbeitsstationen sind WinXPSp2 und Server sind Windows 2003R2 Server. Domaine ist auch Server 2k3. Office 2k7Sp1.

so ich hab jetzt mal das Prpofil auf dem Pc gelöscht.
Dann hab ich mich als admin angemeldet und dem Domaineuser die Rechte des Power Users gegeben.

Jetzt hab ich den Useer neu eingeloggt. Das Profil wird wider auf die Platte kopiert, aber allerdings wieder mal ohne die Drucker und ohne dass Outlook geht. Ich hab auch noch festgestellt dass er meinen Proxy nicht mehr mag. ich geb den ein mach ok und dann ist er wieder weg.

Bei den Druckern ist es so: ich durchsuch die AD (ja das geht ! ) wähle den Drucker aus, dann bekomm ich die meldung : You do not have sufficent access to your computer to connect to the selected printer



Gibt es da eine Global Policy die sowas erzeugen könnte?
Bitte warten ..
Mitglied: TheHawk
14.07.2008 um 15:38 Uhr
vielen dank schon mal für eure Mitarbeit
Bitte warten ..
Mitglied: Jochem
14.07.2008 um 15:59 Uhr
Moin,
also die Einstellung des Proxy kann über eine GPO geregelt werden. Insofern vermute ich mal stark, daß die anderen Einschränkungen auch über GPOs greifen. Wie sieht es denn damit aus? Und bitte vorsichtig bei gemischtsprachigen Installationen!

Gruß J chem
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Heiß diskutierte Inhalte
Router & Routing
gelöst Ipv4 mieten (22)

Frage von homermg zum Thema Router & Routing ...

Windows Server
DHCP Server switchen (20)

Frage von M.Marz zum Thema Windows Server ...

Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (20)

Frage von semperf1delis zum Thema Exchange Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...