Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Servergespeichete Profile NTFS Berechtigungen nachträglich ändern

Frage Microsoft Windows Server

Mitglied: bonnni

bonnni (Level 1) - Jetzt verbinden

26.02.2014, aktualisiert 22:21 Uhr, 3958 Aufrufe, 9 Kommentare

Problem/Aufgabe Ich muss die Berechtigungen in den servergespeicherten Profilen nachträglich ändern, da mein Vorgänger diese unglücklich gesetzt hat.
1. Schritt (noch ohne GPO)

Eigenschaften Testuser im AD: Benutzerprofil - Profilpfad \\SERVER01\allProfiles\%USERNAME%

In einer Testumgebung habe ich dazu gemäß den Empfehlungen von Daniel Melanchthon folgendes konfiguriert (Ausnahme: Administratoren haben Vollzugriff)

Minimale NTFS Berechtigungen für den übergeordneten Ordner von servergespeicherten Profilen

Ersteller/Besitzer: Vollzugriff, Nur Unterordner und Dateien
Sicherheitsgruppe der Benutzer, die Daten auf Ordner der Freigabe hinterlegen: Ordner auflisten/Inhalte lesen, Erstellen/schreiben - Nur dieser Ordner
Administrator: Vollzugriff
Jeder: Keine
Lokales System: Vollzugriff, Dieser Ordner, Unterordner und Dateien
Minimale Freigabeberechtigungen (SMB) für die übergeordnete Freigabe von servergespeicherten Profilen

Jeder: Keine
Sicherheitsgruppe der Benutzer, die Daten auf Ordner der Freigabe hinterlegen: Vollzugriff

Ergebnis: Die Anmeldung mit verschiedenen Testusern funktioniert problemlos, d.h. Profilordner werden erstellt, die Rechte sind vermtl. passend, aber die
Administratoren haben auf die einzelnen Ordner (z.B. Test01.V2) keinen Zugriff.
Jetzt habe ich die Besitzrechte übernommen und dem Test01 zusätzlich zum Admin wieder Vollzugriff gegeben.
NTFS werden nach unten vererbt, z.B. auf AppData,Desktop usw.

Leider wird der Testuser jetzt nur noch mit einem temp Profil angemeldet. Wenn ich im Windows Explorer unter dem jeweiligen Testuser
per UNC zu den Profilen navigiere hat der Testuser seltsamerweise vollzugriff.

Frage: Kann ich im ersten Schritt die Rechte nachträglich ändern, so die User sich anmelden können und der Amin vollzugriff hat.

Testumgebung: Server 2008 R2
Client: Windows 7

Danke im Voraus

Mitglied: Xaero1982
26.02.2014 um 22:01 Uhr
Hi,

der Vorgänger hat da gar nichts unglücklich gesetzt. Genau so werden sie gesetzt, wenn du einen Profilpfad in den Eigenschaften des Users einträgst und der Administrator hat nichts, aber auch gar nichts in den Profilordnern zu suchen.

Die Rechtevergabe in diesen Ordnern führt in nahezu 100% aller Fälle zu Problemen mit dem Profil.

Es gibt eine einzige Ausnahme wann dort für den Administrator Berechtigungen gesetzt werden: Beim Löschen!

Ergo: Finger weg von den Profilordnern!

Gruß
Bitte warten ..
Mitglied: emeriks
26.02.2014, aktualisiert um 22:12 Uhr
Zitat von Xaero1982:

Hi,

der Vorgänger hat da gar nichts unglücklich gesetzt. Genau so werden sie gesetzt, wenn du einen Profilpfad in den
Eigenschaften des Users einträgst und der Administrator hat nichts, aber auch gar nichts in den Profilordnern zu suchen.

Die Rechtevergabe in diesen Ordnern führt in nahezu 100% aller Fälle zu Problemen mit dem Profil.

Es gibt eine einzige Ausnahme wann dort für den Administrator Berechtigungen gesetzt werden: Beim Löschen!

Ergo: Finger weg von den Profilordnern!

Gruß

Sorry, aber Blödsinn!



Hi bonni,

Auf dem Stamm
- Administratoren Vollzugriff
- System Vollzugriff
- Ersteller Besitzer nur für untergeordnete Ordner & Daten Vollzugriff

Die GPO "Administratoren haben Vollzugriff auf Profil-Ordner" (oder so ähnlich) wie genannt für die PC / TS setzen. Überprüfen, ob die GPO angewendet wurde. Benutzer an- und abmelden.

Admins können da jetzt zugreifen.
Bitte warten ..
Mitglied: Xaero1982
LÖSUNG 26.02.2014, aktualisiert um 22:21 Uhr
Sorry, aber kein Blödsinn.

Genau so setzt der Server die Rechte.

Zumal der Administrator nun wirklich nichts in den Profilordnern zu suchen hat.

Gruß
Bitte warten ..
Mitglied: bonnni
26.02.2014 um 22:30 Uhr
Danke für Info, meine Intension im ersten Schritt lernen und verstehen, d.h. der Admin bleibt erst mal draußen.Im zweiten Schritt konfiguriere ich das ganze über GPO und da kann man ja ganz komfortabel den Admins vollzugriff gewähren.
Fazit: Admins kommen nur in das Profil, wenn Sie den Besitz übernehmen und sich vollzugriff gewähren. Der User kann dann seinen Profilordner nicht mehr nutzen, auch wenn nachträglich wieder vollzugriff gewährt wurde. Das ist für mich jetzt natürlich ein Problem. Ich muss im Profilordner div. Anpassungen/Änderungen vornehmen. Die Unternehmenspolitik sieht das Recht dazu so vor.
GPO kann ich leider erst nach div. Umstellungen nutzen.
Bitte warten ..
Mitglied: Xaero1982
26.02.2014 um 22:36 Uhr
Hi,

nun wie emeriks das schrieb wird das durchaus möglich sein. Aus meiner Sicht, aber ... s.o.

Was für Änderungen musst du denn im Profilordner der Nutzer vornehmen?

Das lässt sich doch sicher anders handlen.

Gruß
Bitte warten ..
Mitglied: bastla
26.02.2014, aktualisiert um 23:42 Uhr
Hallo bommi!

Abgesehen von der Frage, warum überhaupt der "Eingriff" in die Profilordner nötig sein soll, müsste sich
Der User kann dann seinen Profilordner nicht mehr nutzen, auch wenn nachträglich wieder vollzugriff gewährt wurde.
dadurch lösen lassen, dass der User auch wieder zum Besitzer gemacht wird.

Noch etwas:
Im zweiten Schritt konfiguriere ich das ganze über GPO und da kann man ja ganz komfortabel den Admins vollzugriff gewähren.
Die Einstellung "Administratoren zu servergespeicherten Profilen hinzufügen" ändert aber nix mehr für bestehende Profile, sondern gilt nur für neue Profile.

Grüße
bastla
Bitte warten ..
Mitglied: emeriks
27.02.2014 um 19:59 Uhr
Hi,
nun, wenn wir unserem Helpdesk den Zugriff auf die Profilordner entziehen würden, dann hätten wir jeden Tag Halli Galli. irgendwas ist immer los.

Als Admin komme ich nun mal überall ran und bin für alles zuständig. Im Rahmen meiner Aufgaben natürlich. Das hat auch nichts Kontrollwahn oder so zu tun.
Jeder Kunde, jeder Geschäftsführer oder sonstige Geheimnisträger weiß das, ist darüber in Kenntnis gesetzt worden. Als Mitarbeiter habe ich dafür entsprechende Datenschutz- und Verschwiegenheitserklärungen unterschrieben. Der Schutz sensibler Daten erfolgt auf andere Weise. Die MAV's wissen das.

Es macht in diesem Sinne keinen Unterschied, ob ich mir über Besitzübernahme und -übergabe Zugriff verschaffe oder ihn mit meinem Adminkonto ständig habe. Es macht aber Unterschied im Sinne der Bearbeitungsgeschwindigkeit. Wenn man im Helpdesk im Schnitt 3 min zeit hat pro Call, dann kann ich bei einem Profil mit 10000 Cockies oder so'n Mist nicht auch noch dafür Zeit verschwenden, dass ich darauf warte, dass ich die Berechtigungen habe.

Und wenn ich so ein bißchen hart "Blödsinn" geschrieben habe, dann nur deshalb, weil Du das ebenso krass ausgeschlossen hast. Man kann das gar nicht verallgemeinern. Es gibt Umgebungen wo es notwendig ist, dass man Zugriff hat und es wird sicher welche geben, wo man keinen haben darf, z.B. weil die MAV Sturm läuft.

OK?

mfg
E.
Bitte warten ..
Mitglied: bonnni
27.02.2014 um 21:56 Uhr
Die Konfiguration der einzelnen Applikation dauert pro User ca. 90 Minuten, also hab ich ein Script, das eben diese Anpassungen in Null Komma nix erledigt.
BeispielAS400 *.ws Dateien, Lotus Notes oder IBM RDP. Die legen u.a. vieles im Profil ab. Zum Problem mit dem Temp-Profil: Dem User hab ich Vollzugriff gegeben und zum Besitzer gemacht. Ergebnis: Immer noch mit Temp-Profil angemeldet.
Nochmal zum Anfang, ich hatte in der alten Firma funktionierende servergespeichert Profile per GPO konfiguriert und hab eben jetzt Profile, die im ADDS in den
Eigenschaften des Users hinterlegt sind und versuche in der Testumgebung das ganze zu verstehen.

Danke für die Hinweise
Bitte warten ..
Mitglied: bonnni
27.02.2014 um 22:33 Uhr
Nachtrag: Ich habe eben auf dem Server, auf dem die Profile liegen dem Konto System Vollzugriff gegeben. Immer noch Temp-Profil. Auf dem Server erscheinen im Anwendungslog die Events "Ein Konto wurde erfolgreich angemeldet." 4624 und gleich dannach Ein Konto wurde abgemeldet.4634. Genauso bevor ich als Admin mir die Rechte gegeben habe. Auf Win7 Client habe ich in der Registry unter "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList" keine SID*.bak gefunden. Das hatte ich schon einmal auf einem Server 2008 R2 mit RDP.

Fazit: Ich verstehe einiges noch nicht
Bitte warten ..
Ähnliche Inhalte
Windows Server
NTFS Berechtigungen dokumentieren
Frage von isomasterWindows Server2 Kommentare

Hallo Kollegen, ich habe jetzt eine Aufgabe alle Zugriffsberechtigungen auf alle Ordner auf dem Fileserver zu dokumentieren. Hat schon ...

Windows Userverwaltung
Performance bei NTFS-Berechtigungen in Fileserver
gelöst Frage von BleppSatterWindows Userverwaltung11 Kommentare

Hallo, ich habe aktuell die Aufgabe, die Zugriffsberechtigungen für etwa 1000 Projektverzeichnisse in einer Freigabe zu überarbeiten, wo jeder ...

Windows Server
VMWare, Festplatten und NTFS Berechtigungen
gelöst Frage von halani01Windows Server4 Kommentare

Hallo zusammen, wir aktualisieren gerade unseren File-Server. Nachdem der neue Server als virtuelle Maschine aufgesetzt ist, wollen wir nun ...

Microsoft
NTFS Berechtigungen - Vererbung
gelöst Frage von BierkastenMicrosoft11 Kommentare

Hallo liebe Community, so langsam bin ich echt ratlos mit dem Vergeben von Berechtigungen. Deswegen Frage an euch liebe ...

Neue Wissensbeiträge
Verschlüsselung & Zertifikate

19 Jahre alter Angriff auf TLS funktioniert immer noch

Information von BassFishFox vor 1 MinuteVerschlüsselung & Zertifikate

//Der Bleichenbacher-Angriff gilt unter Kryptographen als Klassiker, trotzdem funktioniert er oft noch. Wie wir herausgefunden haben, gilt das besonders ...

Windows 10

Windows 10 Fall Creators Update - Neue Funktion Hyper-V Standardswitch kann ggf. Fehler bei Proxy Configs verursachen

Erfahrungsbericht von rzlbrnft vor 10 StundenWindows 102 Kommentare

Hallo Kollegen, Da wir die Gefahr lieben, haben wir bei einigen Usern nun mittlerweile das Creators Update drauf. Einige ...

Sicherheit

TLS-Zertifikat und privater Schlüssel von Microsofts Dynamics 365 geleakt

Information von Penny.Cilin vor 12 StundenSicherheit

Microsoft hat versehentlich das TLS-Zertifikat inklusive dem privaten Schlüssel seiner Business-Anwendung Dynamics 365 geleakt. TLS-Zertifikat und privater Schlüssel von ...

Viren und Trojaner

Deaktivierter Keylogger in HP Notebooks entdeckt

Information von bitcoin vor 1 TagViren und Trojaner3 Kommentare

Ein Grund mehr warum man Vorinstallationen der Hersteller immer blank bügeln sollte Der deaktivierte Keylogger findet sich im vorinstallierten ...

Heiß diskutierte Inhalte
Netzwerkmanagement
Firefox Profieles im Roaming
gelöst Frage von Hendrik2586Netzwerkmanagement17 Kommentare

Hallo liebe Leute. :) Ich hab da ein kleines Problem, welches anscheinend nicht unbekannt ist. Wir nutzen hier in ...

Netzwerkmanagement
NAS über zwei weitere Ethernet Anschlüsse verbinden
gelöst Frage von Sibelius001Netzwerkmanagement16 Kommentare

Sorry - ich bin hier wahrscheinlich als kompetter IT Trottel unterwegs. Aber eventuell kann mir jemand ganz einfach helfen: ...

LAN, WAN, Wireless
Häufig Probleme beim Anmelden in WLAN
Frage von mabue88LAN, WAN, Wireless15 Kommentare

Hallo zusammen, in einem Netzwerk gibt es relativ häufig (1-2 mal pro Woche) Probleme mit der WLAN-Verbindung. Zunächst mal ...

Netzwerkgrundlagen
Hi eine blöde frage. xD
Frage von 132954Netzwerkgrundlagen13 Kommentare

Also: Habe 2012 r2 essentials neuinstalliert, allerdings installiert diese version ja gleich diesen gangen AD kram mit, den hab ...