Jump to content

PappaDieter

Newbie
  • Content Count

    23
  • Joined

  • Last visited

Community Reputation

10 Neutral

About PappaDieter

  • Rank
    Newbie
  • Birthday 04/01/1957
  1. Zu den Rechten: Ich habe die Rechte 'Lesen/ausführen' und 'Lesen' entfernt und nur 'Ordnerinhalt auflisten' gelassen, weil ich der Meinung war, dass ich so zwar die Baumstruktur sehe, nicht aber die Dateien, und auch nichts in fremden Ordnern öffnen kann. Ich wollte eigentlich auch die Ordner anderer Benutzer nicht anzeigen (weckt u.U. Begehrlichkeiten), da hilft leider auch ABE nichts. Meine Variante 2 hätte den Charm, dass z.B. die Freigabe 'FD11' (jeder vollzugriff) mir erlaubt, MA111 explizit die Rechte auf den Ordner 'MA111' zu geben, er sieht dann 'MA112' etc. überhaupt nicht, und auch nichts von FD12 etc.. Des weiteren fallen die Ordner-Klickorgien weg, wenn ich das Laufwerk U: nicht mehr ganz oben an 'Daten' anhefte, sondern abhängig von der Gruppenzugehörigkeit (MA111 ist z.B. Mitglied der Gruppe GFD11) zuordne, hier mit 'net use u: \\Server\FD11 /persistent:no'.
  2. Ich habe das jetzt so gelöst: auf Freigabe 'Daten' 'Jeder-Vollzugriff' (auf die Idee war ich nicht gekommen, gut, dass wir einen Ex-Lehrling haben, der die Schulkabinette betreut und sich mit Windows-Servern auskennt). - FB1 (MA111,Dom/Benutzer 'auflisten'; enterbt) - FD11 (MA111,Dom/Benutzer 'auflisten';enterbt) - Allgemein11 (MA111 'vollzugriff') - MA111 (MA111 'vollzugriff') - FD12 (nur Admin, System, Besitzer) - FD13 (nur Admin, System, Besitzer) - FB2 (Dom/Benutzer 'auflisten'; enterbt) - FB3 (Dom/Bernutzer 'auflisten'; enterbt) Da die Vererbung bei FB2 und FB3 erst nachträglich aufgehoben wurde, hat 'Dom/Benutzer' in allen Unterverzeichnissen 'auflisten'. Was sieht nun MA111? Die Ordnerstruktur Daten\FB1\Fd11 und dort 'MA111' und 'Allgemein11'; außerdem FB2 und FB3, weil da ja 'Dom\Benutzer' listrechte hat. Fazit: geht wie früher, aber dreifacher Aufwand. Alternative Idee: Es gibt folgende Freigaben: Daten, FB1, FB2, FD3, FD11, FD12, FD13, FD21 usw. Der Laufwerksbuchstabe wird den Benutzern individuell zugeordnet (Boss kriegt Daten, FB1 kriegt FB1, FD11 kriegt FD11 usw.). Die Benutzerverzeichnisse (MA111 etc.) werden nicht freigegeben, sondern erhalten per Gruppenrecht auf die FDx-Freigaben listrechte. Damit muss ich auf die übergeordneten Verzeichnisse nicht so viele Berechtigungen setzen. Der Aufwand ist also ca. 50% höher als bei Netware. Was würde Kaiser Friedrich dazu sagen? Mal im Ernst, Netware und vor allem die NDS ist schon eine feine Sache. Das gabs doch auch mal als eigenständiges Produkt ... Aber die Politik von Novell erinnert mich an die von Digital Research, man kann auf MS schimpfen wie man will wegen der Vormachtstellung, aber wenn sich die Konkurrenz selber zerhackt, kann man Gates nicht die Schuld zuweisen. Ich würde gern weiter die NDS auch in MS-Umgebung betreiben, habe aber große Bedenken wegen der Zukunftssicherheit der Lösung.
  3. Hallo, ich habe jetzt ausgiebig getestet. abe sollte gehen, und geht auch teilweise, wenn man die Gruppe der Benutzer mit 'Ordnerinhalt auflisten' versieht. Allerdings sehe ich dann trotzdem alle Unterordner. Wenn ich in den erweiterten Eigenschaften die Rechte bis auf 'Ordner auflisten' entziehe, sehe ich keine Unterordner mehr, kann aber in der Adresszeile direkt den Ordner des Mitarbeiters erreichen. Ich habe das Verzeichnis 'Daten' mit Freigabe für 'Jeder' und eingeschaltetem abe. Daten - FB1 - FD11 - Allgemein11, MA111, MA112, MA113 - FD12 - Allgemein12, MA121, MA122, MA123 - FD13 - Allgemein13, MA131, MA132, MA133 Daten - FB2 und FB3 analog aufgebaut. An Benutzern habe ich BOSS, FB1, FB2, FB3, FD11, FD12,FD13, MA111, MA112, MA113 usw. Gruppen GFD11 (Ma111, MA112, MA113), GFD12, GFD13 etc. BOSS soll alles sehen, FB1 nur FB1 und darunter, FD11 nur FD11 und darunter, GFD11 nur Allgemein11, MA111 nur MA111. Nun haben die Leiter (BOSS, FB's und FD's) nur die drei Standard-Rechte zum Lesen auf die jeweiligen Hauptverzeichnisse samt Unterordnern, MA111 hat Vollzugriff auf MA111, GFD11 hat Vollzugriff auf Allgemein11. Ich kann aber als MA111 weder die Dateien in MA111 und Allgemein11 bearbeiten, trotz Vollzugriff. Entweder ist mein Denkansatz falsch, oder das Ganze funktioniert nur mit einer Ebene unterhalb der Freigabe. Irgendein Tip dazu? Ich habe an dieser 'Spielwiese' schon einiges ausprobiert, nur ohne durchschlagenden Erfolg. ERGÄNZUNG: Wenn ich bei der Freigabe selbst 'Jeder' auf 'Vollzugriff' setze, kann ich auch schreiben. Die Rechtevergabe ala Novell funktioniert, wenn ich dem Nutzer 'Ma111' die Rechte auf 'FB1' und 'FD11' (also beide Zwischenstrukturen) gebe. Auf die Freigabe hat 'Benutzer' das Recht 'auflisten'. Damit habe ich bei unserer dreistufigen Struktur viel Arbeit mit der Rechtevergabe. ICH WILL MEINE NETWARE WIEDERHABEN
  4. Wir haben eine gemischte Umgebung, hauptsächlich Novell, MS nur für SQL und Citrix. Jetzt stellen wir komplett auf MS und AD um, und da habe ich gemerkt, dass mit dem vererbten Recht 'Ordnerinhalt auflisten' der gesamte Baum mit allen Dateinamen angezeigt wird, u.a. die Datei 'fristlose Kündigung Lieschen Müller.doc' beim Chef. Der NormalUser kann diese zwar nicht öffnen, aber der Name sagt genug. Bei Novell haben wir einen LW-Buchstaben auf '\\Server\Daten-Volume\Daten gelegt' und den jeweiligen Nutzern die Zugriffsrechte auf die entsprechenden Unterordner gegeben. Im Explorer sieht man nur die relevante Baumstruktur zum User-Ordner, keine anderen Zweige und vor allem keine Dateien. Ich müsste also im AD den einzelnen Hauptabteilungsleitern die Rechte auf den Pfad der entsprechenden Hauptabteilung, den Abteilungsleitern die Rechte auf die Abteilung und den Mitarbeitern die Rechte auf ihre Verzeichnisse geben. Gleichzeitig muss ich den Mitarbeitern zwar die (Lese)Rechte auf Hauptabteilung und Abteilung geben, diese aber für die anderen Abteilungen explizit entziehen, ein irrsinniger Aufwand bei ca. 100 Usern. Geht das nicht einfacher? Für einen Tip wäre ich sehr dankbar Dieter
  5. Was lange währt... Da habe ich ja alles verpasst, am Wochenende mußte ich aber auf ein Bikertreffen, und da blieb die Kiste aus. Auf alle Fälle würde ich für das interne Netz eine Domäne einrichten (z.B. meinnetz.lokal) und alle Rechner von 172.16.1.0/24 damit versehen (ich nehme an, daß wird schon vom W2K-Server gemacht und der DHCP übertragen). Wichtig ist nur, daß es Du keine Domäne aus dem Internet nimmst ('privat.de', 'mein.net' oder so), ansonsten sind Adressen aus dieser Domäne nicht erreichbar. Die Clients brauchen übrigens wirklich nur die DNS vom Server, weitere DNS-Server und Routen verwirren nur.
  6. Ich habe das Problem inzwischen gelöst, es lag wahrscheinlich an den Rechten. Alles funktioniert jetzt, wie es soll.
  7. Wow, das war eine schnelle Reaktion! Ich habe zwischenzeitlich weiter gebastelt und ein Profil nach Anleitung hergestellt. Nur bei der Anmeldung tauchen jetzt Probleme auf. Der Desktop baut die Icons im Sekundentakt neu auf (aber nicht in der gewünschten Anordnung). Ich habe dann die Sitzung getrennt (hatte ich schon erwähnt, daß das ganze bei Citrix abläuft?). In 'Ereignisanzeige->Anwendungsprotokoll' taucht die angehängte Fehlermeldung auf. (Die Shell wurde unerwarteterweise beendet und Explorer.exe wurde neu gestartet) Die Gruppe hat Vollzugriff auf den Server-Profilpfad.
  8. Und noch ein Nachtrag: Ich habe den Artikel mit den Servergestützten Profilen (http://www.rsbesigheim.de/profile/iuk/modellnetz/verwaltung/profile/benutzerprofile.htm) gelesen und bin jetzt beim probieren, ob ich es so hinkriege. Ich hoffe, es klappt, klar genug ist es ja formuliert.
  9. ok, kein problem Achja, DNS sollte der Router mit übers dhcp machen, am PC dann alles auf automatisch stellen. Ich hatte bei meinen ersten Versuchen mit DSL einfach eine zweite IP auf die Karte gelegt, das hat natürlich nicht funktioniert...
  10. Na, Traceroute geklappt? Stell mal das Ergebnis rein. Wenn das Notebook ins Inet kommt, liegts wohl doch allein am Server. Nach deinen Angaben sieht der aber nicht schlecht aus. Ich würde an deiner Stelle testweise das dhcp wieder vom Router machen lassen und mit 'ipconfig /all' ermitteln, was er so alles einstellt. Der W2K-Server sollte dann so hingefummelt werden, daß er das gleiche übermittelt. Ich als Empiriker würde das jedenfalls so machen.
  11. Na endlich meldet sich mal wieder die 'Schuldige' der Diskussion... Naja, war auch **** von mir, mich da reinzuhängen und mit einem MCSE zu beißen. Jetzt weiß ich aber genauer, was du vorhast. Du sagst, der ping auf google geht nicht, auch nicht auf die ip. Dann ist es kein DNS, sondern ein Routingproblem! Denn der Ping ist absolut unabhängig von den DNS-Eintragungen (das weiß ich nicht aus der Literatur, sondern aus leidvoller Erfahrung), sofern er auf eine numerische Adresse gemacht wird. DNS setzt nur Klarnamen in Adressen um. Hast Du schon einen Traceroute ('tracert 216.239.39.104') probiert? Sollte eigentlich was anzeigen, und wenns auch manchmal nur '* * * *' ist. Ganz dumme Frage: Hast du ev. Regeln auf deinen NW-Karten liegen (ich meine Portsperren oder so)? Das Notebook hängt am gleichen Switch wie der Rest, ja? Die virtuellen Server auf dem Router brauchst du denke ich nicht. ---------------- Du bist also die, die die verschwundenen Dokumentvorlagen wieder herzaubern muß, Papierstau im Drucker entfernen usw. Mein Beileid' Wir sind hier 4 Mann in der IT-Abteilung und kümmern uns Basisdemokratisch um alles vom Server bis zum Telefon, sozusagen alles mit Bildschirm und elektrisch. Das nervt manchmal ganz schö... ;)
  12. Ich habe mich in dem Thread ' voreingestellter Desktop in einer Domänenumgebung' umgeschaut, kriege es aber nicht gebacken. Ich habe bei einem AD-Benutzer den Desktop so gebaut, wie ich ihn will. Die ntuser.dat habe ich dann nach '\\win2k\netlogon\default user\ntuser.man' kopiert. Wenn ich mit einem 'frischen' User anmelde, kriegt der aber die alten Standardwerte. Muß ich vielleicht die ntuser.dat doch nach 'win2k:\dokumente und einstellungen\default user' kopieren, damit es funzt? Erschwerend kommt hinzu, daß sich die Nutzer nicht auf 'win2k' anmelden (der mit dem active directory), sondern auf 'win2000' (das ist unser Terminalserver mit Citrix), denn da sollen sie den Klumpatsch sehen. Sollte ich den User vielleicht auf 'servergespeichertes Profil' umstellen, und wenn ja, auf welche Kiste, oder ist das egal?
  13. Danke! Habe ich auch genauso gemeint. Ich will die Jungs nur mal fragen, wie ihrer Meinung nach eine ordentliche Installation auszusehen hat. Das große Problem ist allerding der Zugang über das CN Thüringen, denn da haben wir überhaupt keinen Einfluß darauf. Selbst der S2M-Cisco für die Standleitung wurde vom Land gestellt und konfiguriert. Wir haben halt nur die Aussage, daß Internet (http, https und ftp) nur über einen Proxy laufen dürfen und DNS-Anfragen ans Internet nicht erlaubt sind. nntp etc. geht überhaupt nicht. Aber damit müsen wir halt leben... :wink2:
  14. Schon mal bei Novell gefragt? Nehmt ihr eDirectory, um NDS und AD abzugleichen?
  15. Zum Abschluß eine Frage: Ich würde gern unsere Firma mal mit diesen Punkten konfrontieren. Darf ich dazu deine Stellungnahmen verwenden? Du hast mich nämlich doch etwas nachdenklich werden lassen. Ich bin übrigens Endanwender und Autodidakt, betreue aber ein größeres Behörden-Netzwerk. 'learning by doing', das hat bisher ganz gut geklappt. Und bei den Server-Betriebssystemen haben wir natürlich Ansprechpartner bei den Lieferanten der Technik. NDS mache ich nun schon seit 12 Jahren und muß sagen, das funzt ohne Probleme (und ohne Server-Neustarts bei Rekonfiguration eines popligen Moduls), deshalb kommt mit NT,W2K und XP als Server nur unter Protest ins Haus. Mag sein, daß ich da voreingenommen bin.
×
×
  • Create New...