Sebastian R 10 Geschrieben 12. März 2013 Melden Teilen Geschrieben 12. März 2013 Hallo alle zusammen, habe auf meinen kürzlich neu eingerichteten Server auch servergespeicherte Profile eingesetzt. Dazu habe ich mich an diese Anleitung hier gehalten: http://technet.microsoft.com/en-us/library/jj649079.aspx Der neu erstellten Gruppe in der sich alle User befinden die roaming profiles nutzen habe ich zusätzlich noch die folgenden Anpassungen an der Policy zugewiesen (Schritt 2): http://www.serverhowto.de/Teil-2-Einrichten-der-Profile.656.0.html Eine Ordnerumleitung für die servergespeicherten Profile habe ich ebenfalls übers Dashboard aktiviert. Das funktioniert auch soweit, beim ersten anmelden wird ein entsprechender Unterordner für den jeweiligen User angelegt. Nur leider habe ich (als admin) keinen Zugriff auf die jeweiligen Unterordner mit den Profilen bzw. umgeleiteten Ordnern. Auch die entsprechenden User haben keinen Zugriff auf ihren Profilordner. Die erweiterten Sicherheitseinstellungen der Profilordner lassen sich auch nicht anzeigen, da die Berechtigung fehlt. Der Stammordner hat u.a. die Gruppe der Administratoren mit Vollzugriff für Ordner, Unterordner und Dateien. Jetzt grübele ich woran das liegt. Vor allem verstehe ich nicht so ganz warum die Vererbung deaktiviert werden soll wenn die Freigabe eingerichtet wird, siehe step 2 in dem oben verlinkten Technet Artikel. Zitieren Link zu diesem Kommentar
iDiddi 27 Geschrieben 12. März 2013 Melden Teilen Geschrieben 12. März 2013 Hallo Sebastian :) Hallo alle zusammen, habe auf meinen kürzlich neu eingerichteten Server auch servergespeicherte Profile eingesetzt. Dazu habe ich mich an diese Anleitung hier gehalten: http://technet.microsoft.com/en-us/library/jj649079.aspx Der neu erstellten Gruppe in der sich alle User befinden die roaming profiles nutzen habe ich zusätzlich noch die folgenden Anpassungen an der Policy zugewiesen (Schritt 2): http://www.serverhowto.de/Teil-2-Einrichten-der-Profile.656.0.html Eine Ordnerumleitung für die servergespeicherten Profile habe ich ebenfalls übers Dashboard aktiviert. Das funktioniert auch soweit, beim ersten anmelden wird ein entsprechender Unterordner für den jeweiligen User angelegt. Soweit ok Nur leider habe ich (als admin) keinen Zugriff auf die jeweiligen Unterordner mit den Profilen bzw. umgeleiteten Ordnern. Das ist standardmäßig so. Es sei denn, Du hast in der GPO definiert, dass Admins zu servergespeicherten Profilen hinzugefügt werden sollen. Das funktioniert aber nur, wenn die Einstellung beim Anlegen des Profilordners bereits gesetzt war. Sonst musst Du den Admin manuell berechtigen. Auch die entsprechenden User haben keinen Zugriff auf ihren Profilordner. Die erweiterten Sicherheitseinstellungen der Profilordner lassen sich auch nicht anzeigen, da die Berechtigung fehlt. Dann hast Du die Berechtigungen aber nicht korrekt nach der Technet-Anleitung vergeben ;) Der Stammordner hat u.a. die Gruppe der Administratoren mit Vollzugriff für Ordner, Unterordner und Dateien. Und was ist mit Deiner im vorherigen Schritt angelegten User-Group? Und wo ist "Ersteller/Bestzer"? Von "System" hast Du auch nix erwähnt :suspect: Schau Dir die zu vergebenen Berechtigungen bitte noch mal genau an. Da liegt irgendwo der Fehler. Jetzt grübele ich woran das liegt. Vor allem verstehe ich nicht so ganz warum die Vererbung deaktiviert werden soll wenn die Freigabe eingerichtet wird, siehe step 2 in dem oben verlinkten Technet Artikel. Weil Du ja sonst keine speziellen Berechtigungen vergeben oder Berechtigungen, die vererbt werden, entfernen kannst. Noch eine Anmerkung zum Admin: Wozu braucht dieser Zugriff auf die Benutzerdaten? Zwecks Sicherung bestimmt nicht. Ich überlege mir mittlerweile gut, ob ich diesen Zugriff als Admin überhaupt wünsche. Im Notfall komme ich ja sowieso an die Daten. Aber eben NUR im Notfall. Und dann bin ich zwecks Absicherung nicht alleine ;) Zitieren Link zu diesem Kommentar
Mr_Marple 15 Geschrieben 12. März 2013 Melden Teilen Geschrieben 12. März 2013 Noch eine Anmerkung zum Admin: Wozu braucht dieser Zugriff auf die Benutzerdaten? Zwecks Sicherung bestimmt nicht. Ich überlege mir mittlerweile gut, ob ich diesen Zugriff als Admin überhaupt wünsche. Im Notfall komme ich ja sowieso an die Daten. Aber eben NUR im Notfall. Und dann bin ich zwecks Absicherung nicht alleine ;) Bei mir kommt es immer wieder vor dass ich in die Benutzerordner rein muss, warum sollte ich da immer umständlich mit den Berechtigungen jonglieren? Und was meinst du mit "zwecks Absicherung", falls dir mal vorgeworfen wird Daten gestohlen zu haben? Da ich ja sowieso überall rein kann wenn ich will, wird mir das eigene Aussperren im Ernstfall auch nichts helfen. Zum Thema, ich habe mir mal eine Batchdatei geschrieben, die alle Berechtigungen der Benutzerordner richtig setzen. Voraussetzung ist dass die Ordner den Namen des Benutzers haben. Dann wird zB am Ordner rudi.mentär der Vollzugriff für diese Benutzer gewährt: System, Administratoren und rudi.mentär Bei Bedarf kann ich dir das zukommen lassen. Und wie schon erwähnt wurde, die Einstellung für den Admin in der GPO setzen, dann erübrigt sich das Skript in Zukunft. Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 12. März 2013 Melden Teilen Geschrieben 12. März 2013 (bearbeitet) Bei mir kommt es immer wieder vor dass ich in die Benutzerordner rein muss, warum sollte ich da immer umständlich mit den Berechtigungen jonglieren? Und was meinst du mit "zwecks Absicherung", falls dir mal vorgeworfen wird Daten gestohlen zu haben? Da ich ja sowieso überall rein kann wenn ich will, wird mir das eigene Aussperren im Ernstfall auch nichts helfen. Hallo, ich frage mal provokativ: Wer hat es dir erlaubt, dir Zugriff darauf zu verschaffen? Die Frage sollst Du natürlich nicht mir beantworten, nur dir selbst. Ich habe so was schon öfters beobachtet, ein Admin meinte, er müsse auf alles Zugriff haben; so was hat sich dann als Irrtum herausgestellt, der Datenschützer fiel aus allen Wolken und der Chef auch. Falls dafür öfters ein Anlass besteht, dann ist zu vermuten, es ist grundsätzlich etwas nicht in Ordnung, dann sollte man da mal die Ursache für suchen. Ich habe grundsätzlichen keinen Zugriff auf die Ordner der Studierenden, auch nicht die Dozenten, ich habe auch keinen Zugriff auf die Ordner der Geschäftsbereiche, nicht auf die der Geschäftsleitung und nicht auf die des Geschäftsführers. Ich benötige darauf auch keinen Zugriff. bearbeitet 12. März 2013 von lefg Zitieren Link zu diesem Kommentar
Mr_Marple 15 Geschrieben 12. März 2013 Melden Teilen Geschrieben 12. März 2013 Hi, ich brauche mir diese Frage nicht zu beantworten, da ich nicht in diversen Ordnern herumspioniere. Ich habe weder Lust dazu und erst recht keine Zeit für diese Dinge. Meine Meinung dazu ist folgende, wenn ein Datenschützer aus allen Wolken fällt, dann ist das bloss deshalb um seine Arbeit hervorzuheben, Wichtigtuerei also. Denn wenn dieser Datenschützer meint dass ich keine Möglichkeit hätte unbemerkt auf Daten zuzugreifen und sie aus der Firma hinauszuschleusen, dann hat er keine Ahnung von irgendwas. Selbiges gilt natürlich für den Chef. Somit muss mir der Kunde also blind vertrauen, da hat er keine andere Möglichkeit ausser sein System selbst zu betreuen. Würde ich mich also selbst aus den Ordnern aussperren, dann ist das für den Datenschutz nicht mal Kosmetik. Vertrauen zum Systembetreuer ist das Um und Auf! In dieser Hinsicht verhält es sich wie bei seinem Hausarzt, vertraut man ihm dass er über die Patienten aus dem Dorf nichts weitererzählt? Das kann nur der Kunde entscheiden. Oft muss ich ja nicht auf die Ordner zugreifen, es ist also grundsätzlich alles OK. Es gibt nur diverse Dinge wie Verknüpfungen auf den Desktop legen, oder diverse Anfragen warum das Netzlaufwerk so voll ist und man doch bitte mal nachschauen soll, oder die Dropboxinstallation aus dem Profil rausschmeissen und solche Dinge. Ich will da nicht immer auf und zusperren müssen. Das ist meine Sicht der Dinge, wenn ein Kunde damit nicht klarkommt dass ich so oder so überall Zugriff habe, dann soll er sich doch jemand anderen suchen. LG Zitieren Link zu diesem Kommentar
iDiddi 27 Geschrieben 12. März 2013 Melden Teilen Geschrieben 12. März 2013 Bei mir kommt es immer wieder vor dass ich in die Benutzerordner rein muss, warum sollte ich da immer umständlich mit den Berechtigungen jonglieren? Ja? Und was machst Du da drin so? Und was meinst du mit "zwecks Absicherung", falls dir mal vorgeworfen wird Daten gestohlen zu haben? Nein. Aber in den Benutzerordnern befinden sich persönliche, evtl. auch private Daten des Benutzers. Und Du solltest als Admin wissen, dass man mit diesen Daten äußerst sensibel umzugehen hat. Zum Beispiel sollte es in Eurer Firma eine Richtlinie geben, in der geregelt wird, in wie weit eine private Nutzung erlaubt oder eben nicht erlaubt ist. Diese sollte vom Arbeitnehmer unterschrieben werden. Ich würde mich an Deiner Stelle mal mit Eurem Rechtsbeistand oder der zuständigen Person für Datenschutz in Verbindung setzen. Da ich ja sowieso überall rein kann wenn ich will, wird mir das eigene Aussperren im Ernstfall auch nichts helfen. Wenn man es richtig macht und wenn z.B. die Übernahme von Rechten protokolliert wird, dann kann das schon helfen. Dass es für einen Admin immer möglich sein kann und wird, unerlaubten Zugriff auf Daten auf dem Server zu erlangen, ist klar. Aber wenn mal wirklich eine Prüfung stattfindet und der Admin überall mit Vollzugriff hinterlegt ist, dann hast Du ein Problem. Zitieren Link zu diesem Kommentar
Sebastian R 10 Geschrieben 12. März 2013 Autor Melden Teilen Geschrieben 12. März 2013 Keine Sorge - das ist kein Server im Produktivbetrieb sondern erstmal nur ein kleines isoliertes Netz sozusagen zum Testbetrieb. Aber auch mir hat die Praxis gezeigt, dass es manchmal nützlich ist auf die Benutzerprofile zu zu greifen, genauso wie die admin shares. Nun jetzt wieder btt: anhängend die Berechtigungen für den Stammordner der Benutzerprofile. Kann da nichts fehlerhaftes erkennen. Admin-Zugriff auf die Profile habe ich per Policy aktiviert. Wenn ich jetzt versuche etwas an den Berechtigungen zu ändern, so kommt nach dem klick auf "übernehmen" eine Fehlermeldung für jeden Profilordner. Die habe ich auch mal angehängt. In die Profilordner komme ich weiterhin nicht rein, obwohl mit einem Nutzer der Gruppe Administrators angemeldet bin. :confused: Übrigens: wenn ich versuche die erweiterten Sicherheitseinstellungen eines Profilordners anzeigen zu lessen, so bekomme ich zu lesen "Sie haben nicht die Berechtigung, die Sicherheitseigenschaften dieses Objekts anzuzeigen, obwohl sie administrative Rechte besitzen." Besitzer: "Der aktuelle Besitzer kann nicht angezeigt werden" :confused: Zitieren Link zu diesem Kommentar
iDiddi 27 Geschrieben 12. März 2013 Melden Teilen Geschrieben 12. März 2013 (bearbeitet) Wann hast Du denn die Richtlinie bzgl. Admin-Rechten gesetzt? Vermutlich erst, nachdem Du den Benutzer erstellt hast und er sich das erste mal an seinem Client angemeldet hat, stimmt's? Dann ist es leider zu spät und Du musst die Berechtigungen händisch anpassen. Schau Dir mal diesen Beitrag an. Dort wird erklärt, warum das so ist: http://www.mcseboard.de/topic/186839-berechtigung-profile-roming-profiles-%C3%A4nder-administratoren-hinzuf%C3%BCgen/?do=findComment&comment=1152575 In die Profilordner komme ich weiterhin nicht rein, obwohl mit einem Nutzer der Gruppe Administrators angemeldet bin. Da wird Dir die Benutzerkontensteuerung in die Quere kommen. Und da Du den Windows Explorer benutzt, der immer im Benutzer-Modus, und nicht im Admin-Modus ausgeführt wird, hilft Dir die Mitgliedschaft in der Admin-Gruppe leider nicht: http://www.faq-o-matic.net/2010/11/08/uac-den-explorer-mit-admin-rechten-starten/ http://www.faq-o-matic.net/2008/02/22/benutzerkontensteuerung-uac-richtig-einsetzen/ Wurde übrigens auch schon hier im Board behandelt: http://www.mcseboard.de/topic/185354-kein-zugriff-auf-administratoren-ordner-obwohl-mitglied-der-gruppe-administratoren/ Besitzer: "Der aktuelle Besitzer kann nicht angezeigt werden" :confused: Richtig, da Dein Admin über den Explorer keine Berechtigung auf diese Daten hat. Daher kann er auch den Besitzer nicht auslesen. Normalerweise, so war es jedenfalls bei mir, sollte Windows Dich beim ersten Klick auf den Ordner darauf hinweisen, dass Du nicht berechtigt bist und ob Du das ändern willst: Sie verfügen momentan nicht über die Berechtigung des Zugriffs auf diesen Ordner. Klicken Sie auf "Fortsetzen", um dauerhaft Zugriff auf diesen Ordner zu erhalten. Falls Du Fortsetzen wählst, fügt Windows einfach den Admin-Benutzer als berechtigt hinzu, sodass dieser zusätzlich zur Admin-Gruppe in der ACL auftaucht. Wenn Du gar nicht klar kommst, dann versuche mal meinen Tipp vom ersten Link: der Benutzer muss zwingend auch Besitzer seines Profils sein. Ich mache es immer folgendermaßen:Ich melde mich als Admin normal am Server an. Erstelle mir dann ein Netzlaufwerk für die Userfreigabe, allerdings mit alternativer Benutzeranmeldung. Also nehme ich hier den Benutzer, auf dessen Profil ich keinen Zugriff habe.Nun kann ich für das jeweilige Profil die Berechtigungen anpassen, ohne die Besitzrechte verändern zu müssen. Danach wird das Netz-LW wieder getrennt und der nächste Benutzer kommt an die Reihe.Das klappt natürlich nur, wenn Dir die Kennwörter der Benutzer bekannt sind und Eure Firmenrichtlinie das zulässt. Evtl. holst Du Dir den entsprechenden Benutzer dazu, der dann das Kennwort eingibt.Zusätzlich zu beachten ist, dass es keine Netzlaufwerke des Servers mit unterschiedlichen Anmeldeinformationen geben kann. Deshalb musst Du die Laufwerke immer schön trennen.Ist natürlich umständlich, aber besser als......den Besitz zu übernehmen......Benutzer hinzuzufügen......Berechtigungen vererben......Besitzer wieder auf den Benutzer umlegen......Besitzrechte vererben... bearbeitet 12. März 2013 von iDiddi 1 Zitieren Link zu diesem Kommentar
Sebastian R 10 Geschrieben 12. März 2013 Autor Melden Teilen Geschrieben 12. März 2013 Vielen Dank für deine Ausführungen und Links - wieder was dazu gelernt. :) Bei unserem "alten" Server hatten wir die Profile noch immer "händisch" eingerichtet bzw. ein defaul Profil kopiert (mit den entsprechenden Berechtigungen. Aber das soll jetzt alles anders werden. Wo der Fehler genau lag kann ich nicht sagen, daher werde ich morgen die Anleitung nochmal Schritt fpr Schritt durchgehen, Berechtigungen neu setzen etc. Dafür muss ich aber, wie du korrekt angemerkt hast, für die bereits vorhandenen Profile die Berechtigungen anpassen. Diese sollten für die Profilordner dann nach meinem Verständnis so aussehen: System, Creator Owner und Administrators haben Vollzugriff auf diesen Ordner, Unterordner und Dateien. Besitzer des Profilordners wird der jeweilige Benutzer. korrekt? Zitieren Link zu diesem Kommentar
iDiddi 27 Geschrieben 12. März 2013 Melden Teilen Geschrieben 12. März 2013 Vielen Dank für deine Ausführungen und Links - wieder was dazu gelernt. :) Kein Problem :) System, Creator Owner und Administrators haben Vollzugriff auf diesen Ordner, Unterordner und Dateien. Besitzer des Profilordners wird der jeweilige Benutzer. korrekt? Ja, korrekt. Der Besitz ist bei Profilen sehr wichtig, da der Benutzer sonst sein Profil nicht mehr laden kann, wenn er nicht der Besitzer ist. Dann mal frohes Schaffen ;) Zitieren Link zu diesem Kommentar
Sebastian R 10 Geschrieben 16. März 2013 Autor Melden Teilen Geschrieben 16. März 2013 (bearbeitet) Dein Trick mit dem Netzlaufwerk hat übrigens prima geklappt. Leider muss ich das wohl aber auch bei der Freigabe für die Ordnerumleitung machen, denn dort gibts auch keinen Zugriff :( Dort ist auch wieder die Admingruppe enthalten, aber auch gleiches Problem wie bei den Profilen. Und da kann nichts bei den Zugriffrechten falsch gesetzt sein, denn ich hatte die Ordnerumeltung ja über das Dashboard eingerichtet womit Freigabe, Berechtigungen etc. automatisch gesetzt wurden. bearbeitet 16. März 2013 von Sebastian R Zitieren Link zu diesem Kommentar
iDiddi 27 Geschrieben 16. März 2013 Melden Teilen Geschrieben 16. März 2013 (bearbeitet) Dein Trick mit dem Netzlaufwerk hat übrigens prima geklappt.Super, freut mich für Dich :) Leider muss ich das wohl aber auch bei der Freigabe für die Ordnerumleitung machen, denn dort gibts auch keinen Zugriff :( Dort ist auch wieder die Admingruppe enthalten, aber auch gleiches Problem wie bei den Profilen. Und da kann nichts bei den Zugriffrechten falsch gesetzt sein, denn ich hatte die Ordnerumeltung ja über das Dashboard eingerichtet womit Freigabe, Berechtigungen etc. automatisch gesetzt wurden.Da werden gar keine Rechte automatisch gesetzt, sondern nur die Gruppenrichtlinie und Gruppenzugehörigkeiten angepasst ( zumindest bis 2008R2). Überlege mal, wann und durch welchen Benutzer die Daten vom Profil in den entsprechenden Ordner umgeleitet werden. Und was bedeutet umleiten? Dabei werden die Daten doch wohl verschoben und nicht kopiert. Somit ändern sich weder Berechtigungen noch Besitzer, wobei wir wieder von den Rechten der Profil-Ersterstellung ausgehen müssen. Und da war die Admin-Richtlinie bei Dir halt noch nicht gesetzt, wie sich ja herausgestellt hat. bearbeitet 16. März 2013 von iDiddi Zitieren Link zu diesem Kommentar
Sebastian R 10 Geschrieben 26. März 2013 Autor Melden Teilen Geschrieben 26. März 2013 (bearbeitet) Langsam bin ich wirklich am verzweifeln hier: nachdem ich nochmals wirklich penibelst die Anleitung aus dem Technet im ersten Post durchgegangen bin habe ich nun weitere Benutzer angelegt und das Zugriffsproblem besteht immer noch. Berechtigungen des Stammordners passen, Administratoren sind auch per Policy hinzugefügt (und aktiviert). PS: Auch hat das testweise Deaktivieren von UAC nichts geändert an dem Verhalten. Nachtrag: Auch für neu angelegte Benutzer funktioniert die Ordnerumleitung nun nicht mehr :( bearbeitet 26. März 2013 von Sebastian R Zitieren Link zu diesem Kommentar
iDiddi 27 Geschrieben 27. März 2013 Melden Teilen Geschrieben 27. März 2013 (bearbeitet) Merkwürdig. Hast Du auch beachtet, dass Du den Server nach Deaktivierung der UAC erst neu starten musst? Ist Dein Admin überhaupt in der Administratoren-Gruppe? Und die Admingruppe ist definitiv von der Gruppenrichtlinie hinzugefügt worden? bearbeitet 27. März 2013 von iDiddi Zitieren Link zu diesem Kommentar
Sebastian R 10 Geschrieben 28. März 2013 Autor Melden Teilen Geschrieben 28. März 2013 Ja, der Server wurde neu gestartet. Und der Admin ist auch mitglied in der Administratorengruppe. Diese Gruppe wurde auch dem jeweiligen Profilverzeichnis und Unterverzeichnissen hinzugefügt. Das kann ich ja kontrollieren wenn ich mit dem jeweiligen Benutzer ( = Besitzer) auf seine Profilfreigabe auf dem Server schaue (oder dein Trick mit dem Netzlaufwerk anwende). Noch eine Idee? *ratlos* Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.