Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Servergespeichete Profile NTFS Berechtigungen nachträglich ändern

Frage Microsoft Windows Server

Mitglied: bonnni

bonnni (Level 1) - Jetzt verbinden

26.02.2014, aktualisiert 22:21 Uhr, 3546 Aufrufe, 9 Kommentare

Problem/Aufgabe Ich muss die Berechtigungen in den servergespeicherten Profilen nachträglich ändern, da mein Vorgänger diese unglücklich gesetzt hat.
1. Schritt (noch ohne GPO)

Eigenschaften Testuser im AD: Benutzerprofil - Profilpfad \\SERVER01\allProfiles\%USERNAME%

In einer Testumgebung habe ich dazu gemäß den Empfehlungen von Daniel Melanchthon folgendes konfiguriert (Ausnahme: Administratoren haben Vollzugriff)

Minimale NTFS Berechtigungen für den übergeordneten Ordner von servergespeicherten Profilen

Ersteller/Besitzer: Vollzugriff, Nur Unterordner und Dateien
Sicherheitsgruppe der Benutzer, die Daten auf Ordner der Freigabe hinterlegen: Ordner auflisten/Inhalte lesen, Erstellen/schreiben - Nur dieser Ordner
Administrator: Vollzugriff
Jeder: Keine
Lokales System: Vollzugriff, Dieser Ordner, Unterordner und Dateien
Minimale Freigabeberechtigungen (SMB) für die übergeordnete Freigabe von servergespeicherten Profilen

Jeder: Keine
Sicherheitsgruppe der Benutzer, die Daten auf Ordner der Freigabe hinterlegen: Vollzugriff

Ergebnis: Die Anmeldung mit verschiedenen Testusern funktioniert problemlos, d.h. Profilordner werden erstellt, die Rechte sind vermtl. passend, aber die
Administratoren haben auf die einzelnen Ordner (z.B. Test01.V2) keinen Zugriff.
Jetzt habe ich die Besitzrechte übernommen und dem Test01 zusätzlich zum Admin wieder Vollzugriff gegeben.
NTFS werden nach unten vererbt, z.B. auf AppData,Desktop usw.

Leider wird der Testuser jetzt nur noch mit einem temp Profil angemeldet. Wenn ich im Windows Explorer unter dem jeweiligen Testuser
per UNC zu den Profilen navigiere hat der Testuser seltsamerweise vollzugriff.

Frage: Kann ich im ersten Schritt die Rechte nachträglich ändern, so die User sich anmelden können und der Amin vollzugriff hat.

Testumgebung: Server 2008 R2
Client: Windows 7

Danke im Voraus

Mitglied: Xaero1982
26.02.2014 um 22:01 Uhr
Hi,

der Vorgänger hat da gar nichts unglücklich gesetzt. Genau so werden sie gesetzt, wenn du einen Profilpfad in den Eigenschaften des Users einträgst und der Administrator hat nichts, aber auch gar nichts in den Profilordnern zu suchen.

Die Rechtevergabe in diesen Ordnern führt in nahezu 100% aller Fälle zu Problemen mit dem Profil.

Es gibt eine einzige Ausnahme wann dort für den Administrator Berechtigungen gesetzt werden: Beim Löschen!

Ergo: Finger weg von den Profilordnern!

Gruß
Bitte warten ..
Mitglied: emeriks
26.02.2014, aktualisiert um 22:12 Uhr
Zitat von Xaero1982:

Hi,

der Vorgänger hat da gar nichts unglücklich gesetzt. Genau so werden sie gesetzt, wenn du einen Profilpfad in den
Eigenschaften des Users einträgst und der Administrator hat nichts, aber auch gar nichts in den Profilordnern zu suchen.

Die Rechtevergabe in diesen Ordnern führt in nahezu 100% aller Fälle zu Problemen mit dem Profil.

Es gibt eine einzige Ausnahme wann dort für den Administrator Berechtigungen gesetzt werden: Beim Löschen!

Ergo: Finger weg von den Profilordnern!

Gruß

Sorry, aber Blödsinn!



Hi bonni,

Auf dem Stamm
- Administratoren Vollzugriff
- System Vollzugriff
- Ersteller Besitzer nur für untergeordnete Ordner & Daten Vollzugriff

Die GPO "Administratoren haben Vollzugriff auf Profil-Ordner" (oder so ähnlich) wie genannt für die PC / TS setzen. Überprüfen, ob die GPO angewendet wurde. Benutzer an- und abmelden.

Admins können da jetzt zugreifen.
Bitte warten ..
Mitglied: Xaero1982
LÖSUNG 26.02.2014, aktualisiert um 22:21 Uhr
Sorry, aber kein Blödsinn.

Genau so setzt der Server die Rechte.

Zumal der Administrator nun wirklich nichts in den Profilordnern zu suchen hat.

Gruß
Bitte warten ..
Mitglied: bonnni
26.02.2014 um 22:30 Uhr
Danke für Info, meine Intension im ersten Schritt lernen und verstehen, d.h. der Admin bleibt erst mal draußen.Im zweiten Schritt konfiguriere ich das ganze über GPO und da kann man ja ganz komfortabel den Admins vollzugriff gewähren.
Fazit: Admins kommen nur in das Profil, wenn Sie den Besitz übernehmen und sich vollzugriff gewähren. Der User kann dann seinen Profilordner nicht mehr nutzen, auch wenn nachträglich wieder vollzugriff gewährt wurde. Das ist für mich jetzt natürlich ein Problem. Ich muss im Profilordner div. Anpassungen/Änderungen vornehmen. Die Unternehmenspolitik sieht das Recht dazu so vor.
GPO kann ich leider erst nach div. Umstellungen nutzen.
Bitte warten ..
Mitglied: Xaero1982
26.02.2014 um 22:36 Uhr
Hi,

nun wie emeriks das schrieb wird das durchaus möglich sein. Aus meiner Sicht, aber ... s.o.

Was für Änderungen musst du denn im Profilordner der Nutzer vornehmen?

Das lässt sich doch sicher anders handlen.

Gruß
Bitte warten ..
Mitglied: bastla
26.02.2014, aktualisiert um 23:42 Uhr
Hallo bommi!

Abgesehen von der Frage, warum überhaupt der "Eingriff" in die Profilordner nötig sein soll, müsste sich
Der User kann dann seinen Profilordner nicht mehr nutzen, auch wenn nachträglich wieder vollzugriff gewährt wurde.
dadurch lösen lassen, dass der User auch wieder zum Besitzer gemacht wird.

Noch etwas:
Im zweiten Schritt konfiguriere ich das ganze über GPO und da kann man ja ganz komfortabel den Admins vollzugriff gewähren.
Die Einstellung "Administratoren zu servergespeicherten Profilen hinzufügen" ändert aber nix mehr für bestehende Profile, sondern gilt nur für neue Profile.

Grüße
bastla
Bitte warten ..
Mitglied: emeriks
27.02.2014 um 19:59 Uhr
Hi,
nun, wenn wir unserem Helpdesk den Zugriff auf die Profilordner entziehen würden, dann hätten wir jeden Tag Halli Galli. irgendwas ist immer los.

Als Admin komme ich nun mal überall ran und bin für alles zuständig. Im Rahmen meiner Aufgaben natürlich. Das hat auch nichts Kontrollwahn oder so zu tun.
Jeder Kunde, jeder Geschäftsführer oder sonstige Geheimnisträger weiß das, ist darüber in Kenntnis gesetzt worden. Als Mitarbeiter habe ich dafür entsprechende Datenschutz- und Verschwiegenheitserklärungen unterschrieben. Der Schutz sensibler Daten erfolgt auf andere Weise. Die MAV's wissen das.

Es macht in diesem Sinne keinen Unterschied, ob ich mir über Besitzübernahme und -übergabe Zugriff verschaffe oder ihn mit meinem Adminkonto ständig habe. Es macht aber Unterschied im Sinne der Bearbeitungsgeschwindigkeit. Wenn man im Helpdesk im Schnitt 3 min zeit hat pro Call, dann kann ich bei einem Profil mit 10000 Cockies oder so'n Mist nicht auch noch dafür Zeit verschwenden, dass ich darauf warte, dass ich die Berechtigungen habe.

Und wenn ich so ein bißchen hart "Blödsinn" geschrieben habe, dann nur deshalb, weil Du das ebenso krass ausgeschlossen hast. Man kann das gar nicht verallgemeinern. Es gibt Umgebungen wo es notwendig ist, dass man Zugriff hat und es wird sicher welche geben, wo man keinen haben darf, z.B. weil die MAV Sturm läuft.

OK?

Mit freundlichen Grüßen
E.
Bitte warten ..
Mitglied: bonnni
27.02.2014 um 21:56 Uhr
Die Konfiguration der einzelnen Applikation dauert pro User ca. 90 Minuten, also hab ich ein Script, das eben diese Anpassungen in Null Komma nix erledigt.
BeispielAS400 *.ws Dateien, Lotus Notes oder IBM RDP. Die legen u.a. vieles im Profil ab. Zum Problem mit dem Temp-Profil: Dem User hab ich Vollzugriff gegeben und zum Besitzer gemacht. Ergebnis: Immer noch mit Temp-Profil angemeldet.
Nochmal zum Anfang, ich hatte in der alten Firma funktionierende servergespeichert Profile per GPO konfiguriert und hab eben jetzt Profile, die im ADDS in den
Eigenschaften des Users hinterlegt sind und versuche in der Testumgebung das ganze zu verstehen.

Danke für die Hinweise
Bitte warten ..
Mitglied: bonnni
27.02.2014 um 22:33 Uhr
Nachtrag: Ich habe eben auf dem Server, auf dem die Profile liegen dem Konto System Vollzugriff gegeben. Immer noch Temp-Profil. Auf dem Server erscheinen im Anwendungslog die Events "Ein Konto wurde erfolgreich angemeldet." 4624 und gleich dannach Ein Konto wurde abgemeldet.4634. Genauso bevor ich als Admin mir die Rechte gegeben habe. Auf Win7 Client habe ich in der Registry unter "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList" keine SID*.bak gefunden. Das hatte ich schon einmal auf einem Server 2008 R2 mit RDP.

Fazit: Ich verstehe einiges noch nicht
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Microsoft
NTFS Berechtigungen - Vererbung (9)

Frage von Bierkasten zum Thema Microsoft ...

Windows Server
gelöst Partition auf einer virtuellen Maschine nachträglich ändern (6)

Frage von TimSterntaler zum Thema Windows Server ...

Windows Server
gelöst Skript per GPO ausführen - Berechtigungen? (13)

Frage von honeybee zum Thema Windows Server ...

Windows Server
AD-Berechtigungen von zwei Servern miteinander vergleichen (3)

Frage von s0m3ting zum Thema Windows Server ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (33)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...