Spezielle OU erstellen mit Rechten

[coolcat]

Hiho, ich hoffe ihr könnt mir helfen denn irgendwie bin ich im MOment blind oder weis einfach nicht mehr wie es genau geht/ging.

Ich habe dies schon Jahrelang nicht mehr gemacht und bin durch Zufall in diesen Berufszweig wieder reingestolpert da der vorherige Admin leider gestorben ist Weihnachten, und ich nun da weitermachen soll/muss wo er aufgehört hat. Dies gestaltet sich an sich nciht schwierig da fast alles Standard geblieben ist und auch die Anzahl der User-Konten (12) und der Rechner (75) überschaubar ist. Es kommen nun zwar noch demnächst 20 stk dazu (eine weitere Etage im Ärztehaus) aber das ist nicht das was mich beschäftigt.

Wir haben 2 OU´s die besondere Rechte haben "Verwaltung" und "User" nun möchte aber die Verwaltung gerne das die Ärzte ihren eigenen Zugang bekommen, dies wollte ich zuerst erreichen in dem ich die Berechtigungen der Verwaltung anpasse und die dann übernehme, aber das klappt leider nicht so.

Folgendes Szenario ist vorhanden:

Windows Server 2003 Standard Edition

AD auf dem Server vorhanden und einige Organisitionseinheiten vorhanden, sowie Standard User und Computers.

Ich würde gerne eine neue OU "Ärzte" hinzufügen und in dieser OU Benutzer "arzt 1, Arzt 2 usw.." einrichten die statt der normalen User/Benutzer auch noch die Rechte haben das sie alle Netzwerklaufwerke sehen können und auch nutzen.
Ausserdem sollen diese Ärzte an Ihrem "Arzt-Rechner" Lokale Rechte bekommen (also mit Netzwerkzugriff und Schreibrechten auf einem LW des Servers (Q) aber wenn sie an anderen Computern sich anmelden "nur" erweiterte Rechte haben ohne Zugriff auf den Server.

Versucht habe ich schon folgendes:

OU erstellt (Ärzte) -> in der OU Benutzer (arzt1) erstellt oO Wobei ich nciht weis ob eine Gruppe sinvoller wäre?Oo und diesen Benutzer zur Gruppe Administratoren zugefügt. (testweise um zu sehen ob es überhaupt so klappt), aber ausser den lokalen Festplatten auf dem PC keinerlei weitere LW sichtbar. Unter Netzwerkverbindungen im Freigabecenter sind sie aber sichtbar und anwählbar.

Was mache ich da falsch oder wo blockiert mein Gehirn grade ???

Ich weis learning by Doing, aber das letzte mal das ich das beruflich gemacht habe liegt Jahre (10 genau) zurück und bevor ich nun das KOmpendium wieder durchsuche und von vorne lesen muss frage ich erstmal hier die spezis.

Lg
Coolcat

[c0smic]

1. Was sind denn "erweiterte Rechte" ohne Zugriff auf den Server?
2. Was fürn Fileserver ist das? Windows? Dann werden die Zugriffe eh per NTFS-Berechtigung gesetzt und die sollten im Zweifelsfalle auf Basis des Benutzers, respektive auch Gruppe laufen, aber niemals per Computerkonto
3. Die von dir angesprochene Gruppe "Administratoren" klingt mir jetzt erstmal nach Domänen-Admins. Wenn du den Ärzten lokale Adminrechte auf ihrem Rechner geben möchtest (was übrigens nicht zu empfehlen ist) dann musst du dies auf dem Client erledigen, indem du dort das Domänenbenutzerkonto "arzt1" der LOKALEN Gruppe "Administratoren" hinzufügst.

[coolcat]

Zitat von c0smic 1. Was sind denn "erweiterte Rechte" ohne Zugriff auf den Server?

Also speizelle Rechte sind folgende:

User können auf Server (L) und (F) zugreifen aber nicht auf (M) (Q) und (i)
Die Verwaltung kann auf L:F: und Q zugreifen aber nicht auf die anderen.
Ärzte sollen auf L:F:i: und (K) zugreifen können aber nicht auf die anderen.

Zitat von c0smic 2. Was fürn Fileserver ist das? Windows? Dann werden die Zugriffe eh per NTFS-Berechtigung gesetzt und die sollten im Zweifelsfalle auf Basis des Benutzers, respektive auch Gruppe laufen, aber niemals per Computerkonto

Ja es ist Windows

Zitat von c0smic 3. Die von dir angesprochene Gruppe "Administratoren" klingt mir jetzt erstmal nach Domänen-Admins. Wenn du den Ärzten lokale Adminrechte auf ihrem Rechner geben möchtest (was übrigens nicht zu empfehlen ist) dann musst du dies auf dem Client erledigen, indem du dort das Domänenbenutzerkonto "arzt1" der LOKALEN Gruppe "Administratoren" hinzufügst.

Ja und Nein.

Es gibt die Domänen Administratoren und es gibt ein Administratorkonto (welches ich ehrlich bin noch nicht rausgefunden habe wofür das eigentlich mal war???)

Aber dazu noch folgendes versucht grade.

Die Verwaltung ist Mitglied derAdministratoren Builtin und der Domänen Benutzergruppe Users.

Wenn ich aber nun versuche einen Arzt als jeweiliges Mitglied davon hinzuzufügen, und mich dann anmelde sind trotzdem keinerlei Netzwerklaufwerke und oder andere LW´s sichtbar ausser den lokalen auf dem Rechner.

Wenn ich versuche die Globale Sicherheitsgruppe "Ärzte" (erstellt von Mir) zu den Adminstratoren Builtin hinzzufügen versuche, haben die Ärzte trotzdem keinerlei Rechte wie die Verwaltung.

Das mit der Lokalen Rechtevergabe (Adminrechte) war nur eine Idee von Mir um das ganze evtl leichter zu machen für mich damit auch nur dort der entspr. Zugang erfolgen kann.

Ich weis ich bin schon lange raus, vieles ist damals Routine gewesen aber mit der ZEit schläft man ein und vergisst auch ab und an was ^^ also nicht gleich schlagen wenn ich irgendwo einen denkfehler habe, vlt. sind meine Arbeitsschritte die mache auch nur falsch (hat sich viel geändert stelle ich heute fest)

LG Coolcat

[lefg]

Moin,

ich kann den Sinn von OUs in diesem Fall nicht entdecken; ich denke da an Sicherheitsgruppen und deren Berechtigung auf Ressourcen, also Freigaben, Verzeichnisse und Geräte. Natürlich kann man die Benutzerkonten zusätzlich in verschiedene OUs schieben, das ist eine organisatorische Abbildung, das macht die Verwaltung der Konten übersichtlicher für den Admin, ist aber kein Sicherheitsmerkmal, ist nicht zwingend notwendig.

OUs sind ein administratives Hilfsmittel, sind zur Abbildung der Organisation gedacht, nicht zur Vergabe von Berechtigungen auf Ressourcen.

Ich habe hier in meinem primären Hause drei Unternehmensteile zu betreuen, die Benutzerkonten sind entsprechend in dazugehörenden OUs, dazu parallel jeweils eine Sicherheitsgruppe gleicher Benennung, darunter weitere Sicherheitsgruppen für eine Feinsteuerung für den Zugriff auf Ressourcen.

Gruß

Edgar

[coolcat]

Das kann Ich dir leider nicht erklären wie gesagt so ins kalte Wasser gesprungen /geschubst, und es ist so aufgebaut.

Fakt ist das das eigentliche Problem einfach ist das ich die Ärzte dazu fügen muss/möchte und ich beim besten willen atm nicht weis wie ich das ohne grossen Aufwand und ohne viel zu ändern hinbekomme....

Wenn der Umzug vom einen Gebäude ins andere vollzogen ist und dann ab Juli ein neuer Server geplant ist bzw eine komplett neue Struktur, wird es einfacher da ich das dann von Anfang an übernehme bzw. aufbaue....

Muss ich denn nun eine OU erstellen oder reicht es aus einen Benutzer anzulegen und dementsprechend die Rechte zu vergeben in der Gpo?

[lefg]

Hast Du meinen Post gelesen, auch die Änderungen, Ergänzungen?

Sicherheitsgruppen anlegen, die Benutzer sind deren Mitglieder!

Ein Benutzerkonto kann nur in einer OU residieren, kann aber mehreren Sicherheitsgruppen angehören.

Weiter kann man in Access Control Lists keine OUs eintragen sondern Sicherheitsgruppen und Benutzerkonten.

[coolcat]

sry als ich schreiben wollte war isch schon abgemeldet und habe dann nicht mehr drauf geachtet...das du noch was ergänzt hast......das sollte erstmal helfen....wenn ich noch fragen habe komme ich gerne darauf zurück..

lg
Coolcat

[lefg]

Keine Entschuldigung nötig; es war nur einen Nachfrage, wollte mich vergewissern. Ich hoffe, ich konnte dir weiterhelfen.

[lefg]

Zitat von coolcat Ich würde gerne eine neue OU "Ärzte" hinzufügen und in dieser OU Benutzer "arzt 1, Arzt 2 usw.." einrichten die statt der normalen User/Benutzer auch noch die Rechte haben das sie alle Netzwerklaufwerke sehen können und auch nutzen. Ausserdem sollen diese Ärzte an Ihrem "Arzt-Rechner" Lokale Rechte bekommen (also mit Netzwerkzugriff und Schreibrechten auf einem LW des Servers (Q) aber wenn sie an anderen Computern sich anmelden "nur" erweiterte Rechte haben ohne Zugriff auf den Server.

Du kannst gerne für administrative Zwecke die OU Ärzte anlegen und die Konten darin führen, kein Problem, das mache ich auch so. das hat aber i.d.R. nichts mit Berechtigungen zu tun.

Weiter kannst Du die Sicherheitsgruppe Ärzte anlegen und die User darin aufnehmen. Die Berechtigungen für den Zugriff müssen doch aber am Ziel, an den Freigaben des Servers und den dahinterliegenden Verzeichnissen konfiguriert werden durch Einträge in die ACLs.

Netzlaufwerke kann man im Benutzerprofil einrichten mit dem Explorer oder per Skript mappen, ein Homelaufwerk im Benutzerkonto einstellen.

[coolcat]

Ich habe grade gesehen er hat für die wichtigsten OU´s eigene .bat Dateien angelegt

Admin.bat
med.bat
verwaltung.bat

Mal eben ne dumme Frage, wo genau werden die abgelegt bzw wo zwischengespeichert? war es nicht so das diese auch Lokal abgelegt werden? Sprich nach Profilstart, dann auf dem jeweiligen Client? (oha war das nicht damals so?)

komisch nur das wenn ich dann einem User auch diese .bat zuweisen will es trotzdem nicht geht.....

Wie sagte mein Papa immer "schlaf ne Nacht drüber es fällt Dir wieder ein".....wenn die Nach nicht zu kurz wäre...optimal dann


LG
Coolcat