PappaDieter

Zu den Rechten: Ich habe die Rechte 'Lesen/ausführen' und 'Lesen' entfernt und nur 'Ordnerinhalt auflisten' gelassen, weil ich der Meinung war, dass ich so zwar die Baumstruktur sehe, nicht aber die Dateien, und auch nichts in fremden Ordnern öffnen kann. Ich wollte eigentlich auch die Ordner anderer Benutzer nicht anzeigen (weckt u.U. Begehrlichkeiten), da hilft leider auch ABE nichts. Meine Variante 2 hätte den Charm, dass z.B. die Freigabe 'FD11' (jeder vollzugriff) mir erlaubt, MA111 explizit die Rechte auf den Ordner 'MA111' zu geben, er sieht dann 'MA112' etc. überhaupt nicht, und auch nichts von FD12 etc.. Des weiteren fallen die Ordner-Klickorgien weg, wenn ich das Laufwerk U: nicht mehr ganz oben an 'Daten' anhefte, sondern abhängig von der Gruppenzugehörigkeit (MA111 ist z.B. Mitglied der Gruppe GFD11) zuordne, hier mit 'net use u: \\Server\FD11 /persistent:no'.

Ich habe das jetzt so gelöst: auf Freigabe 'Daten' 'Jeder-Vollzugriff' (auf die Idee war ich nicht gekommen, gut, dass wir einen Ex-Lehrling haben, der die Schulkabinette betreut und sich mit Windows-Servern auskennt). - FB1 (MA111,Dom/Benutzer 'auflisten'; enterbt) - FD11 (MA111,Dom/Benutzer 'auflisten';enterbt) - Allgemein11 (MA111 'vollzugriff') - MA111 (MA111 'vollzugriff') - FD12 (nur Admin, System, Besitzer) - FD13 (nur Admin, System, Besitzer) - FB2 (Dom/Benutzer 'auflisten'; enterbt) - FB3 (Dom/Bernutzer 'auflisten'; enterbt) Da die Vererbung bei FB2 und FB3 erst nachträglich aufgehoben wurde, hat 'Dom/Benutzer' in allen Unterverzeichnissen 'auflisten'. Was sieht nun MA111? Die Ordnerstruktur Daten\FB1\Fd11 und dort 'MA111' und 'Allgemein11'; außerdem FB2 und FB3, weil da ja 'Dom\Benutzer' listrechte hat. Fazit: geht wie früher, aber dreifacher Aufwand. Alternative Idee: Es gibt folgende Freigaben: Daten, FB1, FB2, FD3, FD11, FD12, FD13, FD21 usw. Der Laufwerksbuchstabe wird den Benutzern individuell zugeordnet (Boss kriegt Daten, FB1 kriegt FB1, FD11 kriegt FD11 usw.). Die Benutzerverzeichnisse (MA111 etc.) werden nicht freigegeben, sondern erhalten per Gruppenrecht auf die FDx-Freigaben listrechte. Damit muss ich auf die übergeordneten Verzeichnisse nicht so viele Berechtigungen setzen. Der Aufwand ist also ca. 50% höher als bei Netware. Was würde Kaiser Friedrich dazu sagen? Mal im Ernst, Netware und vor allem die NDS ist schon eine feine Sache. Das gabs doch auch mal als eigenständiges Produkt ... Aber die Politik von Novell erinnert mich an die von Digital Research, man kann auf MS schimpfen wie man will wegen der Vormachtstellung, aber wenn sich die Konkurrenz selber zerhackt, kann man Gates nicht die Schuld zuweisen. Ich würde gern weiter die NDS auch in MS-Umgebung betreiben, habe aber große Bedenken wegen der Zukunftssicherheit der Lösung.

Hallo, ich habe jetzt ausgiebig getestet. abe sollte gehen, und geht auch teilweise, wenn man die Gruppe der Benutzer mit 'Ordnerinhalt auflisten' versieht. Allerdings sehe ich dann trotzdem alle Unterordner. Wenn ich in den erweiterten Eigenschaften die Rechte bis auf 'Ordner auflisten' entziehe, sehe ich keine Unterordner mehr, kann aber in der Adresszeile direkt den Ordner des Mitarbeiters erreichen. Ich habe das Verzeichnis 'Daten' mit Freigabe für 'Jeder' und eingeschaltetem abe. Daten - FB1 - FD11 - Allgemein11, MA111, MA112, MA113 - FD12 - Allgemein12, MA121, MA122, MA123 - FD13 - Allgemein13, MA131, MA132, MA133 Daten - FB2 und FB3 analog aufgebaut. An Benutzern habe ich BOSS, FB1, FB2, FB3, FD11, FD12,FD13, MA111, MA112, MA113 usw. Gruppen GFD11 (Ma111, MA112, MA113), GFD12, GFD13 etc. BOSS soll alles sehen, FB1 nur FB1 und darunter, FD11 nur FD11 und darunter, GFD11 nur Allgemein11, MA111 nur MA111. Nun haben die Leiter (BOSS, FB's und FD's) nur die drei Standard-Rechte zum Lesen auf die jeweiligen Hauptverzeichnisse samt Unterordnern, MA111 hat Vollzugriff auf MA111, GFD11 hat Vollzugriff auf Allgemein11. Ich kann aber als MA111 weder die Dateien in MA111 und Allgemein11 bearbeiten, trotz Vollzugriff. Entweder ist mein Denkansatz falsch, oder das Ganze funktioniert nur mit einer Ebene unterhalb der Freigabe. Irgendein Tip dazu? Ich habe an dieser 'Spielwiese' schon einiges ausprobiert, nur ohne durchschlagenden Erfolg. ERGÄNZUNG: Wenn ich bei der Freigabe selbst 'Jeder' auf 'Vollzugriff' setze, kann ich auch schreiben. Die Rechtevergabe ala Novell funktioniert, wenn ich dem Nutzer 'Ma111' die Rechte auf 'FB1' und 'FD11' (also beide Zwischenstrukturen) gebe. Auf die Freigabe hat 'Benutzer' das Recht 'auflisten'. Damit habe ich bei unserer dreistufigen Struktur viel Arbeit mit der Rechtevergabe. ICH WILL MEINE NETWARE WIEDERHABEN

Wir haben eine gemischte Umgebung, hauptsächlich Novell, MS nur für SQL und Citrix. Jetzt stellen wir komplett auf MS und AD um, und da habe ich gemerkt, dass mit dem vererbten Recht 'Ordnerinhalt auflisten' der gesamte Baum mit allen Dateinamen angezeigt wird, u.a. die Datei 'fristlose Kündigung Lieschen Müller.doc' beim Chef. Der NormalUser kann diese zwar nicht öffnen, aber der Name sagt genug. Bei Novell haben wir einen LW-Buchstaben auf '\\Server\Daten-Volume\Daten gelegt' und den jeweiligen Nutzern die Zugriffsrechte auf die entsprechenden Unterordner gegeben. Im Explorer sieht man nur die relevante Baumstruktur zum User-Ordner, keine anderen Zweige und vor allem keine Dateien. Ich müsste also im AD den einzelnen Hauptabteilungsleitern die Rechte auf den Pfad der entsprechenden Hauptabteilung, den Abteilungsleitern die Rechte auf die Abteilung und den Mitarbeitern die Rechte auf ihre Verzeichnisse geben. Gleichzeitig muss ich den Mitarbeitern zwar die (Lese)Rechte auf Hauptabteilung und Abteilung geben, diese aber für die anderen Abteilungen explizit entziehen, ein irrsinniger Aufwand bei ca. 100 Usern. Geht das nicht einfacher? Für einen Tip wäre ich sehr dankbar Dieter

Was lange währt... Da habe ich ja alles verpasst, am Wochenende mußte ich aber auf ein Bikertreffen, und da blieb die Kiste aus. Auf alle Fälle würde ich für das interne Netz eine Domäne einrichten (z.B. meinnetz.lokal) und alle Rechner von 172.16.1.0/24 damit versehen (ich nehme an, daß wird schon vom W2K-Server gemacht und der DHCP übertragen). Wichtig ist nur, daß es Du keine Domäne aus dem Internet nimmst ('privat.de', 'mein.net' oder so), ansonsten sind Adressen aus dieser Domäne nicht erreichbar. Die Clients brauchen übrigens wirklich nur die DNS vom Server, weitere DNS-Server und Routen verwirren nur.

Ich habe das Problem inzwischen gelöst, es lag wahrscheinlich an den Rechten. Alles funktioniert jetzt, wie es soll.

Wow, das war eine schnelle Reaktion! Ich habe zwischenzeitlich weiter gebastelt und ein Profil nach Anleitung hergestellt. Nur bei der Anmeldung tauchen jetzt Probleme auf. Der Desktop baut die Icons im Sekundentakt neu auf (aber nicht in der gewünschten Anordnung). Ich habe dann die Sitzung getrennt (hatte ich schon erwähnt, daß das ganze bei Citrix abläuft?). In 'Ereignisanzeige->Anwendungsprotokoll' taucht die angehängte Fehlermeldung auf. (Die Shell wurde unerwarteterweise beendet und Explorer.exe wurde neu gestartet) Die Gruppe hat Vollzugriff auf den Server-Profilpfad.

Und noch ein Nachtrag: Ich habe den Artikel mit den Servergestützten Profilen (http://www.rsbesigheim.de/profile/iuk/modellnetz/verwaltung/profile/benutzerprofile.htm) gelesen und bin jetzt beim probieren, ob ich es so hinkriege. Ich hoffe, es klappt, klar genug ist es ja formuliert.

ok, kein problem Achja, DNS sollte der Router mit übers dhcp machen, am PC dann alles auf automatisch stellen. Ich hatte bei meinen ersten Versuchen mit DSL einfach eine zweite IP auf die Karte gelegt, das hat natürlich nicht funktioniert...

Na, Traceroute geklappt? Stell mal das Ergebnis rein. Wenn das Notebook ins Inet kommt, liegts wohl doch allein am Server. Nach deinen Angaben sieht der aber nicht schlecht aus. Ich würde an deiner Stelle testweise das dhcp wieder vom Router machen lassen und mit 'ipconfig /all' ermitteln, was er so alles einstellt. Der W2K-Server sollte dann so hingefummelt werden, daß er das gleiche übermittelt. Ich als Empiriker würde das jedenfalls so machen.

Na endlich meldet sich mal wieder die 'Schuldige' der Diskussion... Naja, war auch **** von mir, mich da reinzuhängen und mit einem MCSE zu beißen. Jetzt weiß ich aber genauer, was du vorhast. Du sagst, der ping auf google geht nicht, auch nicht auf die ip. Dann ist es kein DNS, sondern ein Routingproblem! Denn der Ping ist absolut unabhängig von den DNS-Eintragungen (das weiß ich nicht aus der Literatur, sondern aus leidvoller Erfahrung), sofern er auf eine numerische Adresse gemacht wird. DNS setzt nur Klarnamen in Adressen um. Hast Du schon einen Traceroute ('tracert 216.239.39.104') probiert? Sollte eigentlich was anzeigen, und wenns auch manchmal nur '* * * *' ist. Ganz dumme Frage: Hast du ev. Regeln auf deinen NW-Karten liegen (ich meine Portsperren oder so)? Das Notebook hängt am gleichen Switch wie der Rest, ja? Die virtuellen Server auf dem Router brauchst du denke ich nicht. ---------------- Du bist also die, die die verschwundenen Dokumentvorlagen wieder herzaubern muß, Papierstau im Drucker entfernen usw. Mein Beileid' Wir sind hier 4 Mann in der IT-Abteilung und kümmern uns Basisdemokratisch um alles vom Server bis zum Telefon, sozusagen alles mit Bildschirm und elektrisch. Das nervt manchmal ganz schö... ;)

Ich habe mich in dem Thread ' voreingestellter Desktop in einer Domänenumgebung' umgeschaut, kriege es aber nicht gebacken. Ich habe bei einem AD-Benutzer den Desktop so gebaut, wie ich ihn will. Die ntuser.dat habe ich dann nach '\\win2k\netlogon\default user\ntuser.man' kopiert. Wenn ich mit einem 'frischen' User anmelde, kriegt der aber die alten Standardwerte. Muß ich vielleicht die ntuser.dat doch nach 'win2k:\dokumente und einstellungen\default user' kopieren, damit es funzt? Erschwerend kommt hinzu, daß sich die Nutzer nicht auf 'win2k' anmelden (der mit dem active directory), sondern auf 'win2000' (das ist unser Terminalserver mit Citrix), denn da sollen sie den Klumpatsch sehen. Sollte ich den User vielleicht auf 'servergespeichertes Profil' umstellen, und wenn ja, auf welche Kiste, oder ist das egal?

Danke! Habe ich auch genauso gemeint. Ich will die Jungs nur mal fragen, wie ihrer Meinung nach eine ordentliche Installation auszusehen hat. Das große Problem ist allerding der Zugang über das CN Thüringen, denn da haben wir überhaupt keinen Einfluß darauf. Selbst der S2M-Cisco für die Standleitung wurde vom Land gestellt und konfiguriert. Wir haben halt nur die Aussage, daß Internet (http, https und ftp) nur über einen Proxy laufen dürfen und DNS-Anfragen ans Internet nicht erlaubt sind. nntp etc. geht überhaupt nicht. Aber damit müsen wir halt leben... :wink2:

Schon mal bei Novell gefragt? Nehmt ihr eDirectory, um NDS und AD abzugleichen?

Zum Abschluß eine Frage: Ich würde gern unsere Firma mal mit diesen Punkten konfrontieren. Darf ich dazu deine Stellungnahmen verwenden? Du hast mich nämlich doch etwas nachdenklich werden lassen. Ich bin übrigens Endanwender und Autodidakt, betreue aber ein größeres Behörden-Netzwerk. 'learning by doing', das hat bisher ganz gut geklappt. Und bei den Server-Betriebssystemen haben wir natürlich Ansprechpartner bei den Lieferanten der Technik. NDS mache ich nun schon seit 12 Jahren und muß sagen, das funzt ohne Probleme (und ohne Server-Neustarts bei Rekonfiguration eines popligen Moduls), deshalb kommt mit NT,W2K und XP als Server nur unter Protest ins Haus. Mag sein, daß ich da voreingenommen bin.

Ich bin da pragmatisch. Firefox ist super, Opera auch. Ich nutze meist Firefox. Den IE nehme ich nur selten, zuhause überhaupt nicht. Für Mail nehme ich Thunderbird. Für Newsgroups bleibe ich bei Netscape 4.78!! Was ich machen will, geht damit am schnellsten. Beruflich nutzen wir Netscape 7 und Mozilla 1.6 flächendeckend. Dazu muß ich aber noch gestehen, daß ich weder ein Fans von MS-Office und Windows-Servern bin. Novell rulez! Und für Text etc. ist Lotus Smartsuite eine gute (und preiswerte) alternative. Open Office ist zu langsam.

Soso Murks... :mad: Wenn das die Installationsfirma hört... Aber mal im Ernst, mit LDAP haben wir uns (noch) nicht intensiv beschäftigt, Gruppenrichtlinien spielen nur eine untergeordnete Rolle (siehe meine eigene Frage ;) ) Windows kommt bei mir eh nur als AP auf den Tisch, die 2 Server sind der Software geschuldet, die wir einsetzen 'dürfen'. Alles wirklich wichtige liegt auf den vielen Novell-Servern... ;) . Ich habe dem Beitrag von Lakrimosa allerdings nicht netnehmen können, daß es da um ein größeres Netz mit den verschiedensten Diensten geht. Und nur fürs Internet würde ich eh keinen großen Server nehmen.

Da habe ich doch gleich mal nachgeschaut... Also, ich habe nur die lokalen Rechner in der DNS stehen (AD-Server ist 'W2K.netz.lokal' in der Domäne 'netz.lokal'). Der hat 2 Namensserver, 'win2000.netz.lokal' und 'linux.netz.lokal'. SOA ist 'win2000.netz.local', auf dem läuft aber nur der DNS-Client. Jetzt wirst Du natürlich sagen: Damit geht Internet sicher nicht. Stimmt! Aber wir haben am Browser 'manuelle Proxy-Konfiguration' eingestellt, und das steht der Proxy vom CN drin. Das Land läßt uns nämlich nicht an die Rootserver ran, deshalb spielt das DNS bei uns nur eine Nebenrolle. WINS ist da für die User schon wichtiger... Nun hätte ich als Lakrimosa einfach den Router bei SOA eingetragen. Du hast aber gesagt, so gehts nicht... :wink2:

Heureka! Ich habe weiter gebastelt und die Gruppenrichtlinie für die OU definiert. Nun können 'normale' User nicht mehr an die Sytemsteuerung etc., der Administrator aber schon. Man muß halt bei den Foren in Ruhe lesen... (und auch mal suchen, das hat geholfen). Die Probleme mit CSNW und den Desktop-Icons bestehen aber weiter (auch wenns sicher mehr Kosmetik ist, ich bin ein Fan von Automatisierungen, bei über 250 PC's sicher nicht ganz falsch). Also falls jemand eine geniale Idee hat...

Da hast du allerdings recht. Für die Internet-Nutzung sollte es aber auch gehen, den DNS des Routers als Master und den W2K-DNS als sub zu nehmen, oder liege ich da verkehrt? Auch wenns nervt: Immer an die Firewall denken. Man fährt ja auch nicht mit verbundenen Augen Fahrad auf der Autobahn...

Hi grizzly999, wo liegt dein Problem? Ich meine natürlich die DHCP/DNS-Funktionalität des Routers, die ein eigenes DNS auf einem Server nicht erforderlich macht. Für lokale Namensauflösungen in größeren Netzen kann man einen eigenen DNS-Server einsetzen (was ich auf Arbeit auch tue, > 250 PC in 4 Subnetzen mit S2M-WAN-Verbindungen, subnetting mit /19 netmask, eigener Mailserver mit mx-record beim Provider = Corporate Network Thüringen, Netzübergang über Astaro-Firewall mit NAT, Internet über Landes-Firewall One und nur über Proxy), aber zuhause bei 3 Rechnern lohnt das nicht. Ich muß das Fahrrad schließlich nicht neu erfinden, das gibts schon. Und ich will daheim schlicht und einfach (und halbwegs sicher) ins Internet, und nicht tagelang an kryptischen Konfigurationsfiles basteln. Es ist halt nicht jeder ein TCP/IP-Spezialist. Lakrimosa will sicher einfach mit mehreren Rechnern ins Internet, und weiter nix. Da ist die Lösung, den Router zu 'mißbrauchen' sicher nicht die schlechteste Wahl. ;)

Auf alle Fälle liegts am DNS des W2K-Servers. Warum nimmst Du nicht DHCP/DNS vom Router, die funzen meistens. Der Server muß das ja nicht mit erledigen, der sollte aus Sicherheitsgründen ohnehin nicht ungeschützt am Web hängen (und die zweite Karte kann dann raus, das ist richtig). Wenn möglich, schalte eine Firewall dazwischen bzw. aktiviere Portfilter und NAT am Router (falls der das kann, was ist es denn überhaupt für ein Modell?). Hier noch einige weitere IP-Adressen zum Pingen: http://www.google.de / 66.102.11.99 google.de / 216.239.39.104 Ich bin ziemlich sicher, daß nur der Ping auf die Nummern geht! Bei deinem kleinen Netz muß dhcp auch nicht unbedingt sein(Tip: DHCP einschalten, Client und Server auf automatik schalten, mit 'winipcfg' (98) bzw. 'ipconfig /all' in der cmd-box (2k) die zugewiesenen Werte notieren und dann als feste Daten eintragen. Dann kann dhcp ausgeschaltet werden.) Ich habe eine Fritz!box fon am DSL, damit gehts wies böse Tier. Vorher, bei ISDN, hatte ich fli4l als Linux-Router, da lies sich das auch gut konfigurieren. :cool:

hallo, Ich möchte neu angelegten AD-Usern (Win2k-Server mit Citrix) einen bestimmten Desktop vorlegen (Serverbasiertes Profil?). Nun nerven mich drei Dinge: - bei der ersten Anmeldung werde ich von CSNW nach NDS-Container etc. gefragt, das möchte ich gern automatisieren. - Wir nehmen den IE hier nicht, sondern Netscape. Nun kann ich mit den Gruppenrichtlinien zwar das Desktop-Icon rauswerfen, in der Startleiste erscheint es aber weiter. Kann man das verhindern? - Das Icon 'Verbindung mit dem Internet...' kommt auch ungefragt. Der Hintergrund ist, daß wir einen Bürgerservice betreiben, der an allen AP gleich aussehen soll (die Mitarbeiter wechseln häufig den Rechner). In der Haupstelle haben wir das ja gut hinbekommen, aber die Außenstelle soll über Citrix genauso reinkommen. Einen Versuch mit den Gruppemrichtlinien habe ich hinter mir, mit dem Erfolg, daß sich nicht mal der Admin mehr abmelden konnte... Habe ich aber wieder hingekriegt (wie, weiß ich auch nicht, in meiner Not habe ich alle Regeln wieder auf 'undefined' gestellt). Vielleicht stehts ja doch schon im Forum, aber nach 50 Seiten habe ich das Handtuch geworfen... Ein armer Admin