11
Servergespeicherte Eigene Dateien umgeleitet
Hallo Zusammen,
habe folgendes Problem.
Der Windows Server 2003 läuft bei uns schon seit längerem.
Mir ist aber vor kurzem aufgefallen, dass unser \Home$ Ordner für jeden User sichtbar ist.
D.h. eigentlich sollten die Eigenen Dateien nur für den einen User einsichtbar sein. Wo habe ich bei den Einstellungen für die OU den Fehler gemacht?
Gruß Olli
habe folgendes Problem.
Der Windows Server 2003 läuft bei uns schon seit längerem.
Mir ist aber vor kurzem aufgefallen, dass unser \Home$ Ordner für jeden User sichtbar ist.
D.h. eigentlich sollten die Eigenen Dateien nur für den einen User einsichtbar sein. Wo habe ich bei den Einstellungen für die OU den Fehler gemacht?
Gruß Olli
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 113161
Url: https://administrator.de/contentid/113161
Printed on: April 16, 2024 at 18:04 o'clock
11 Comments
Latest comment
Kann sein, dass ich grad auf nem Schlauch steh, aber ich meine, aber in welcher OU willst du was ändern? Ich würde das ganze mit Berechtigungen auf Dateisystemebene regeln.
Theoretisch muss jeder Benutzer den Inhalt der Freigabe \Home$ lesen können. Sonst kann er ja nicht auf seinen Ordner (\Home$\%username%) zugreifen.
Daher ist die Frage eigentlich, kann er auf die Ordner der anderen Benutzer zugreifen? Es könnte sein, dass dieses Leserecht vom übergeordneten Verzeichnis vererbt wird. Da solltest du mal schaun.
Gruß
Peter
Theoretisch muss jeder Benutzer den Inhalt der Freigabe \Home$ lesen können. Sonst kann er ja nicht auf seinen Ordner (\Home$\%username%) zugreifen.
Daher ist die Frage eigentlich, kann er auf die Ordner der anderen Benutzer zugreifen? Es könnte sein, dass dieses Leserecht vom übergeordneten Verzeichnis vererbt wird. Da solltest du mal schaun.
Gruß
Peter
Hallo Peter,
habe die Leserechte vom übergeordneten Verzeichnis entfernt. Jetzt sind für den Home-Ordner noch als Berechtigung die Admins und die Gruppe "Ersteller-Besitzer" mit Vollzugriff vorhanden.
Werde mal testen ob die einzelnen User immer noch auf die Ordner der anderen User zugreifen können.
habe die Leserechte vom übergeordneten Verzeichnis entfernt. Jetzt sind für den Home-Ordner noch als Berechtigung die Admins und die Gruppe "Ersteller-Besitzer" mit Vollzugriff vorhanden.
Werde mal testen ob die einzelnen User immer noch auf die Ordner der anderen User zugreifen können.
Ich würde im Übergeordneten Ordner allen die Berechtigung "Ordnerinhalt auflisten" geben. somit können die Benutzer sauber ihren eigen Ordner finden.
irgendwo habe ich einen Denkfehler.
Komme jetzt nicht mehr an den Ordner als User ran.
Also unter dem Reiter der Eigenschafte des Ordners Freigabe->Freigabeberechtigung habe ich:
Domänen-Admins \"Vollzugriff\"
Ersteller-Besitzer nur \"Lesen\"
unter Reiter Sicherheit:
Domänen-Admins \"Vollzugriff\"
Ersteller-Besitzer nur \"Spezielle Berechtigung\"
dort: ---------> dort dann unter erweiterte Berechtigung:
\"übernehmen für\": nur unterordner und dateien
Vollzugriff
irgendwas habe ich in den berechtigungen verbockt und sehe die Lösung nicht.
Komme jetzt nicht mehr an den Ordner als User ran.
Also unter dem Reiter der Eigenschafte des Ordners Freigabe->Freigabeberechtigung habe ich:
Domänen-Admins \"Vollzugriff\"
Ersteller-Besitzer nur \"Lesen\"
unter Reiter Sicherheit:
Domänen-Admins \"Vollzugriff\"
Ersteller-Besitzer nur \"Spezielle Berechtigung\"
dort: ---------> dort dann unter erweiterte Berechtigung:
\"übernehmen für\": nur unterordner und dateien
Vollzugriff
irgendwas habe ich in den berechtigungen verbockt und sehe die Lösung nicht.
wer ist Ersteller-Besitzer der Ordner?
Zur Vereinfachung:
Man sollte alle Berechtigungen über das Dateisystem machen. Dann kannst du in der Freigabeberechtigung jeden Vollzugriff geben und musst nur an einer Stelle nach Fehlern suchen.
Zum Verständnis:
ich habe folgenden Pfad d:\Ordner-A\Ordner-B\Ordner-C
um Zugriff auf Ordner-C zu bekommen, muss ich auch Ordner-A und Ordner-B lesen können. Ich kann ja auch meinen Nachbarn nicht besuchen wenn ich zwar bei ihm erwünscht bin aber die Straße nicht betreten darf.
Zum Vorgehen:
Wenn du im Ordner-C in den Erweiterten Sicherheitseinstellungen den Haken bei "Berechtigungen übergeordneter Objekte..." rausnimmst, wirst du gefragt, ob du die geerbten Berechtigungen löschen odeer kopieren willst. Ich würde in dem Fall auf kopieren setzen. Dann kannst du für Ordner-C die Berechtigungen anpassen.
Du solltest dir vorher aber erst mal aufschreiben, was du brauchst und/odeer haben willst. Man verliert sich leicht in undurchsichtigen Berechtigungsstrukturen
Gruß
Peter
Zur Vereinfachung:
Man sollte alle Berechtigungen über das Dateisystem machen. Dann kannst du in der Freigabeberechtigung jeden Vollzugriff geben und musst nur an einer Stelle nach Fehlern suchen.
Zum Verständnis:
ich habe folgenden Pfad d:\Ordner-A\Ordner-B\Ordner-C
um Zugriff auf Ordner-C zu bekommen, muss ich auch Ordner-A und Ordner-B lesen können. Ich kann ja auch meinen Nachbarn nicht besuchen wenn ich zwar bei ihm erwünscht bin aber die Straße nicht betreten darf.
Zum Vorgehen:
Wenn du im Ordner-C in den Erweiterten Sicherheitseinstellungen den Haken bei "Berechtigungen übergeordneter Objekte..." rausnimmst, wirst du gefragt, ob du die geerbten Berechtigungen löschen odeer kopieren willst. Ich würde in dem Fall auf kopieren setzen. Dann kannst du für Ordner-C die Berechtigungen anpassen.
Du solltest dir vorher aber erst mal aufschreiben, was du brauchst und/odeer haben willst. Man verliert sich leicht in undurchsichtigen Berechtigungsstrukturen
Gruß
Peter
PEINLICH!!!
Habe erst mal (keine Ahung warum) vergessen die Gruppe Domänen-Benutzer zu nehmen.
Dort dann für den Home-Ordner die Berechtigung für "Ordner auflisten" übernehmen für "nur dieser Ordner".
SO jetzt klappt es.
Die Ordner werden aufgelistet und man kann nur auf seinen eigenen Ordner zu greifen. PERFEKT!!!
Dank dir.
Kurze abweichende Frage:
Wenn ich einen neuen User im Ad erstelle muss ich dort immer unter Eigenschaften-Profil bei Basisordner -> verbinden von (z.B. \\server\home$/%username%) per Hand eingeben?
Oder geht das mit der OU auch automatisch?
Habe erst mal (keine Ahung warum) vergessen die Gruppe Domänen-Benutzer zu nehmen.
Dort dann für den Home-Ordner die Berechtigung für "Ordner auflisten" übernehmen für "nur dieser Ordner".
SO jetzt klappt es.
Die Ordner werden aufgelistet und man kann nur auf seinen eigenen Ordner zu greifen. PERFEKT!!!
Dank dir.
Kurze abweichende Frage:
Wenn ich einen neuen User im Ad erstelle muss ich dort immer unter Eigenschaften-Profil bei Basisordner -> verbinden von (z.B. \\server\home$/%username%) per Hand eingeben?
Oder geht das mit der OU auch automatisch?
sollte über Gruppenrichtlinien zu machen sein. Du kannst dir das aber eigentlich sparen indem du einfach einen bestehenden benutzer kopierst wenn du einen neuen erstellen willst.
Oder erstell und konfigurier dir einen User, den du als Vorlage für neue Benutzer verwendest.
Gruß
Peter
Oder erstell und konfigurier dir einen User, den du als Vorlage für neue Benutzer verwendest.
Gruß
Peter
Nachtrag:
Wenn du einen Benutzer erstellst, solltest du den Pfad auch mit der Variable %Username% anlegen. Dann wird beim Kopieren immer der richtige Benutzername eingetragen.
Gruß
Peter
Wenn du einen Benutzer erstellst, solltest du den Pfad auch mit der Variable %Username% anlegen. Dann wird beim Kopieren immer der richtige Benutzername eingetragen.
Gruß
Peter
bis dato habe ich das immer so gemacht.(Benutzer kopieren oder per Hand)
war auch nur so aus Bequemlichkeit. ist ja kein riesen Aufwand bei der Neuerstellung den Basisordner einzugeben.
Habe eine Gruppenrichtlinie mal probeweise erstellt, aber wie das dann automatisch funktioniert mit dem eintrag keine Ahnung.
werde dann halt weiter den weg zu Fuss machen.
Aber hab vielen DANK:
Gruß Olli
war auch nur so aus Bequemlichkeit. ist ja kein riesen Aufwand bei der Neuerstellung den Basisordner einzugeben.
Habe eine Gruppenrichtlinie mal probeweise erstellt, aber wie das dann automatisch funktioniert mit dem eintrag keine Ahnung.
werde dann halt weiter den weg zu Fuss machen.
Aber hab vielen DANK:
Gruß Olli
Bitteschön, gern geschehen.
In einer neuen Gruppenrichtlinie auf der OU, in der deine Benutzer liegen
Unter:
Benutzer-Konfiguration
Windows-Einstellungen
Ordnerumleitung
Rechtklick auf "Eigene Dateien" und auf Eigenschaften klicken.
Im Auswahlfeld "Einstellungen" "Standard - Leitet alle Ordner auf den gleichen Pfad um." auswählen
Im Feld "Zielordner" "Einen Ordner für jeden Benutzer im Stammpfad anlegen" auswählen
Im Feld "Stammverzeichnis" den Stammpfad angeben (\\%logonserver%\homes$)
So sollte sich das konfigurieren lassen. Aber ohne Gewähr, ich habs noch nicht ausprobiert.
Gruß
Peter
In einer neuen Gruppenrichtlinie auf der OU, in der deine Benutzer liegen
Unter:
Benutzer-Konfiguration
Windows-Einstellungen
Ordnerumleitung
Rechtklick auf "Eigene Dateien" und auf Eigenschaften klicken.
Im Auswahlfeld "Einstellungen" "Standard - Leitet alle Ordner auf den gleichen Pfad um." auswählen
Im Feld "Zielordner" "Einen Ordner für jeden Benutzer im Stammpfad anlegen" auswählen
Im Feld "Stammverzeichnis" den Stammpfad angeben (\\%logonserver%\homes$)
So sollte sich das konfigurieren lassen. Aber ohne Gewähr, ich habs noch nicht ausprobiert.
Gruß
Peter
ist ein guter Hinweis. werde ich mal nachgehen.
ALSO VIELEN DANK
ALSO VIELEN DANK
