3
Sicherheitseinstellungen für Profile
Hallo,
also ich hab mal grundlegende Frage zu den Sicherheisteinstellungen bei serverseitig gespeicherten Profilen.
Ich mach grad einen ABteilungsserver neu. Da liegen ach die Profile der User drauf.
Ich bin mir da nicht so ganz sicher wie man das am allerbesten einstellt.
Der Profiles-Ordner ist ja ne Freigabe.
Also ich erklär mal gerade wie ichs einstellen will, dann kann mir ja vielleicht jemand sagen an welchem Punkt es besser anders einzustellen wäre.
Der Profiles-Ordner liegt im Root-Verzeichnis einer Festplatte.
Ich wollte erstmal die Platte so einstellen das die lokale Administratoren-Gruppe auf Vollzugriff steht und das nach unten vererbt wird, sonst nichts.
Die Freigabe bei Profiles bekommt Lokale Admin-Gruppe Vollzugriff und Authentifizierte Benutzer lesen.
Können neue User die sich das erste mal anmelden und ein Profil erstellt bekommen Ihr Profil da reinschreiben ?
Oder müsste ich da noch Auth-Benutzer auf den Profiles-Ordner mit Schreibrechten geben ohne Vererbung nach unten ?
Und dann müsste ja jedes neu erstellte Profil von oben die Admin-Gruppe vererbt bekommen und automatisch den richtigen User als Vollzugriff eintragen oder ?
Kann man das auch irgendwie einstellen das beim erstellen des Profils der jeweilige User nicht die Rechte erhält zum Berechtigungen ändern oder Besitz übernehmen ?
Ansonsten muss ichs halt jedes mal per Hand einstellen.
So ich hoffe ich habs verständlich erklärt was ich machen will, aber vielleicht stellt man das ja auch besser ganz anders ein.
Ich freu mich schon auf eure Ideen und bedanke mich da schonmal im vorraus für.
Gruß
Beowulf
also ich hab mal grundlegende Frage zu den Sicherheisteinstellungen bei serverseitig gespeicherten Profilen.
Ich mach grad einen ABteilungsserver neu. Da liegen ach die Profile der User drauf.
Ich bin mir da nicht so ganz sicher wie man das am allerbesten einstellt.
Der Profiles-Ordner ist ja ne Freigabe.
Also ich erklär mal gerade wie ichs einstellen will, dann kann mir ja vielleicht jemand sagen an welchem Punkt es besser anders einzustellen wäre.
Der Profiles-Ordner liegt im Root-Verzeichnis einer Festplatte.
Ich wollte erstmal die Platte so einstellen das die lokale Administratoren-Gruppe auf Vollzugriff steht und das nach unten vererbt wird, sonst nichts.
Die Freigabe bei Profiles bekommt Lokale Admin-Gruppe Vollzugriff und Authentifizierte Benutzer lesen.
Können neue User die sich das erste mal anmelden und ein Profil erstellt bekommen Ihr Profil da reinschreiben ?
Oder müsste ich da noch Auth-Benutzer auf den Profiles-Ordner mit Schreibrechten geben ohne Vererbung nach unten ?
Und dann müsste ja jedes neu erstellte Profil von oben die Admin-Gruppe vererbt bekommen und automatisch den richtigen User als Vollzugriff eintragen oder ?
Kann man das auch irgendwie einstellen das beim erstellen des Profils der jeweilige User nicht die Rechte erhält zum Berechtigungen ändern oder Besitz übernehmen ?
Ansonsten muss ichs halt jedes mal per Hand einstellen.
So ich hoffe ich habs verständlich erklärt was ich machen will, aber vielleicht stellt man das ja auch besser ganz anders ein.
Ich freu mich schon auf eure Ideen und bedanke mich da schonmal im vorraus für.
Gruß
Beowulf
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 86809
Url: https://administrator.de/contentid/86809
Printed on: April 16, 2024 at 15:04 o'clock
3 Comments
Latest comment
Hallo Beowulf,
Die Gruppe ERSTELLER-BESITZER erhält ihre Rechte für Nur Unterordner und Dateien.
Somit können die Benutzer bei der ersten Anmeldung ihren Profilordner erstellen jedoch nicht mehr. Innerhalb Ihres Ordners haben Sie dann entspr. erweiterte Rechte.
Durch die Richtlinie sind die Administratoren auch immer dabei
Gruß,
gemini
Der Profiles-Ordner ist ja ne Freigabe.
Korrekt!Der Profiles-Ordner liegt im Root-Verzeichnis einer Festplatte.
Kann muss aber nicht sein. Auf c:\ sollten sie nicht liegen.Ich wollte erstmal die Platte so einstellen das die lokale Administratoren-Gruppe auf Vollzugriff steht und das nach unten vererbt wird, sonst nichts.
Es gibt eine Gruppenrichtlinie die für jeden neu erstellten Profilordner die Administratoren hinzufügt.Die Freigabe bei Profiles bekommt Lokale Admin-Gruppe Vollzugriff und Authentifizierte Benutzer lesen.
Die Benutzer benötigen Schreib-/Ändernrechte, sonst kann das Profil 1. nicht erstellt und 2. ein bereits bestehendes Profil nicht synchronisiert werden.Können neue User die sich das erste mal anmelden und ein Profil erstellt bekommen Ihr Profil da reinschreiben ? Oder müsste ich da noch Auth-Benutzer auf den Profiles-Ordner mit Schreibrechten geben ohne Vererbung nach unten ?
Die Benutzergruppe muss die entspr. Rechte (mind. Odner durchsuchen, Ordner erstellen) unter den Eigenschaften des Profilordners > Sicherheit > Erweitert > Nur diesen Ordner bekommen.Die Gruppe ERSTELLER-BESITZER erhält ihre Rechte für Nur Unterordner und Dateien.
Somit können die Benutzer bei der ersten Anmeldung ihren Profilordner erstellen jedoch nicht mehr. Innerhalb Ihres Ordners haben Sie dann entspr. erweiterte Rechte.
Durch die Richtlinie sind die Administratoren auch immer dabei
Kann man das auch irgendwie einstellen das beim erstellen des Profils der jeweilige User nicht die Rechte erhält zum Berechtigungen ändern oder Besitz übernehmen ?
Ja, in den erweiterten Einstellungen des Ordners > Bearbeiten...Ansonsten muss ichs halt jedes mal per Hand einstellen.
So kann man seine Zeit natürlich auch rumbringen Gruß,
gemini
Hi!
Der Ansatz von gemini ist soweit vollständig. Ich vergebe auf Freigabenebene zusätzlich für alle Domänenbenutzer Vollzugriff. Dann gibts erst mal keine Probleme mit der Freigabe. Der Rest wird über NTFS geregelt.
Halt dich sonst einfach an das was gemini geschrieben hat und es geht.
Gruß
meto
Der Ansatz von gemini ist soweit vollständig. Ich vergebe auf Freigabenebene zusätzlich für alle Domänenbenutzer Vollzugriff. Dann gibts erst mal keine Probleme mit der Freigabe. Der Rest wird über NTFS geregelt.
Halt dich sonst einfach an das was gemini geschrieben hat und es geht.
Gruß
meto
Vielen Dank für die Hilfe.
Werde das gleich mal umstellen.
Gruß
Beowulf
Werde das gleich mal umstellen.
Gruß
Beowulf