warbird001
-
Gesamte Inhalte
208 -
Registriert seit
-
Letzter Besuch
Beiträge erstellt von warbird001
-
-
In diesem Fall klappt es, weil das Default User Profil im NETLOGON irgendwann mal auf die korrekte Weise übertragen wurde, also nicht kopiert. Es wurde der Gruppe Jeder der Zugriff gewährt, was bedeutet, dass Jeder Ändern Berechtigungen hat. Mit einem Default User Profil, was lokal liegt, klappt das schon nicht mehr, da die Gruppe Benutzer nur Lesen Berechtigung hat und somit keine Änderungen möglich sind. Also ist das blosse Kopieren eines Profiles keine Option , es muss mindestens einmal das Profil mit dem entsprechenden Tool kopiert werden, damit die korrekten Registry-Berechtigungen gesetzt werden.
Gibts da noch andere Moeglichkeiten als ueber:
Arbeitsplatz - Eigenschaften - Erweitert - Benutzerprofile ?
Normalerweise prüft ein Client auch, ob er der Besitzer des Profils (auch NTUSER.DAT) ist, was er nach dem Kopieren nicht mehr ist. Man müsste noch die entsprechende Richtlinie setzen, dass diese Prüfung ausgelassen wird ...
Der Besitzer laesst sich ueber setacl/subinacl aendern also auch per Script.
Aber an dem Problem mit den Registry Berechtigungen aendert das nichts.
ciao
Stefan:wq
-
Zu deinen Erfahrungen: wie genau hast du da was gemacht und welche Probleme gab es?
Ich habe das angepasste Profil damals per Explorer auf einem Client Rechner
umkopiert, Rechte gesetzt und mich dann als Nutzer angemeldet.
Die Veraenderungen in der Registry wurden nicht uebernommen.
(EnableBallooTips). Ausserdem waren die Icons auf dem Desktop nicht mehr
an der richtigen Stelle.
ciao
Stefan:wq
-
Profile kann man nicht einfach kopieren, da dann Berechtigungen fehlen. Es gibt zwar eine Richtlinie, die besagt, dass Besitztum des Profils nicht geprüft wird, das hat aber nichts mit den Berechtigungen zu tun. Sicherlich kann man festlegen, welches Profil ein User bekommt, das wird auch vor dem ersten Anmelden des Benutzers gemacht.
Was ist eigentlich der Grund für dieses Vorhaben ?
Wegen einer Einstellung in der Verzeichnissicherheit hatt eine bestimmte
Benutzergruppe keinen Zugriff mehr auf das locale Default User Profil.
Damit wird vermieden das sie sich bei defektem Servergespeichertem
Profil mit einem lokalen Profil anmelden.
Das hatt zur Folge das ich die Benutzer einmal an und Abmelden muss
um ihre Profile zu Schreiben bevor ich ihnen Endgueltig die richtigen Gruppen
Zuweise. Sobald sie in den richtigen Gruppen sind funktioniert das nicht mehr.
Deshalb kann ich die Nutzer zurzeit nicht automatisch per Script anlegen weil ich
keine Moeglichkeit habe einen Nutzer per Script an und Abzumelden.
Wenn es allerdings mit ein paar einfachen Copy befehlen funktionieren wurde
waere es ja kein Problem.
Mit dem "einfachen" Kopieren habe da aber andere Erfahrungen gemacht.
ciao
Stefan:wq
-
Sicherlich.
Wo liegt denn das Default-Profil, was er bekommen soll?
Wird es von dem entsprechenden Client geladen oder liegt es in der NETLOGON-Freigabe des Servers?
Wenn es im NETLOGON liegt, kannst du
a) ein Script schreiben, mit dem durch Eingabe des Benutzernamens das Profil kopiert bekommst
oder
b) ein Script, was regelmäßig überprüft (als geplanter Task), ob jeder User in der Profil-Freigabe ein Profil hat.
Das Script geht alle Verzeichnisse im Ordner Profil durch und wenn ein Unterverzeichnis wie Anwendungsdaten nicht existiert, kopiert es das default - profil dort hinein
Das Default Profile ist das, das auf dem Client vorhanden ist.
Es wird dann beim Abmelden auf den Server geschrieben.
Ich verstehe das richtig:
Beim ersten Anmelden(bzw beim Abmelden) wird nichts weiter getan als ein
"einfaches" Kopieren(natuerlich mit Unterverz.) ? + Setzen der Entsprechenden Rechte?
Keine Einstellungen in der Registry etc? Nichts Weiter?
Ich hatte mal in einem anderen Zusammenhang versucht Profile "einfach"
zu Kopieren das Ergebniss sah irgendwie immer anders aus als das Original,
deshalb habe ich das dann aufgegeben.
von d.h bin ich etwas Ueberascht.
ciao
Stefan:wq
-
Hallo Alle
Ist es moeglich das Profil eines Nutzer automatisch auf den Server zu Schreiben?
Also nicht erst dann wenn der Nutzer selber sich erstmals interaktiv
an einem Rechner anmeldet sondern schon vorher per Script?
Quasi so eine Art automatisierter Login.
ciao
Stefan:wq
-
SubInACL ist prima, für NTFS, Druckerberechtigungen... die eierlegende Wollmilchsau.
Using the Command Line to Edit Multiple Subdirectory Permissions
Damit hatte ich es schon frueher versucht.
Es kann anscheinend nicht alle Rechte setzen die ueber den Explorer gesetzt
werden koennen.
Ich habe es mal mit der Kombination von beiden Versucht:
subinacl /subdirec e:\userdata\neu /deny=usr=POD
cscript c:\programme\xcacls_vbs\xcacls.vbs e:\userdata\neu /E /G domaene\usr:WX7;WX7
Dabei kommt dann folgendes Raus:
e:\userdata\neu domaene\yyy:(OI)(IO)(DENY)(special access:)
DELETE
WRITE_DAC
WRITE_OWNER
domaene\usr:(CI)(DENY)(special access:)
DELETE
WRITE_DAC
WRITE_OWNER
domaene\usr:(OI)(CI)(special access:)
READ_CONTROL
SYNCHRONIZE
FILE_GENERIC_READ
FILE_GENERIC_WRITE
FILE_GENERIC_EXECUTE
FILE_READ_DATA
FILE_WRITE_DATA
FILE_APPEND_DATA
FILE_READ_EA
FILE_WRITE_EA
FILE_EXECUTE
FILE_DELETE_CHILD
FILE_READ_ATTRIBUTES
FILE_WRITE_ATTRIBUTES
Das sieht gar nicht mal so Schlecht aus, wie ich subinacl allerdings dazu
Ueberede nur einen ACL Eintrag und dann mit (OI)(CI) zu setzen, das habe ich
bisher nicht herausgefunden.
Ich werde irgendwie das Gefuehl nicht los das das nicht so einfach geht.
ciao
Stefan:wq
-
Hallo
Schoen waers...
Es ist Tatsaechlich moeglich mit xcacls.vbs die Einstellungen
die mittels Explorer moeglich sind zu machen, aber wenn es um Verweigerungen
geht dann weicht xcacls.vbs vom Explorer ab.
Mit dem Befehl:
cscript xcacls.vbs e:\userdata\verz /E /G domaene/usr:WX7;WX7
lassen sich die "Zulassen" Rechte Orddnungsgemaess setzen.
Sieht dann genauso aus wie wenn man es aus dem Explorer macht
Wenn ich dann noch mittels:
cscript xcacls.vbs e:\userdata\verz /E /D domaene/usr:DCA;DCA
die Verweigerungen hinterherschiebe, taucht eine Verweigerung Zuviel auf.
Das normale xacls zeigt danach folgende Verweigerungen an:
E:\userdata\verz domaene\usr:(OI)(CI)(DENY)(special access:)
DELETE
WRITE_DAC
WRITE_OWNER
SYNCHRONIZE
Ich weiss nicht wie ich ihn dazu bringen kann die Verweigerung von
SYNCHRONIZE zu unterlassen. Damit funktioniert der Zugriff einfach nicht.
Wenn ich mir die Verweigerungen mittels xcacls.vbs ansehe dann taucht diese
dort als E auf.
Versuche mit einzelnen Verweigerungen haben nichts gebracht.
Es scheint als ob xcacls.vbs beim Setzen einer Verweigerung immer auch
SYNCHRONIZE (E) auf Verweigert setzt.
ciao
Stefan:wq
-
Hallo Alle
Besteht die Moeglichkeit einer bestimmten Benutzergruppe den Login zu verweigern wenn das Laden des Servergespeicherten Profils fehlschlaegt?
In den GPO`s habe ich nur eine Einstellung gefunden die per Computer
vergeben wird. d.h Das gilt dann fuer alle Benutzer.
ciao
Stefan:wq
Habe evtl. eine (wenn auch Unschoene) Loesung gefunden:
Die Nutzer der Gruppe a sollen sich bei Profilproblemen nicht Anmelden duerfen.
Wenn das Laden eines Servergespeicherten Profils Fehlschlaegt dann gibt
ueblicherweise eine Fehlermeldung und es wird ein lokales Profil erstellt.
(Kopie von c:\dokumente und einstellungen\default user)
Ich Verweigere nun der Gruppe a per Verzeichnisssicherheit das Auflisten
des Verzeichnissinhalts von:
c:\Dokumente und Einstellungen
Das hatt anscheinend zur Folge das der Zugriff auf das Default User
Profil bei diesen Nutzern Fehlschlaegt, was wiederum zur Folge hat
das bei defektem Servergespeicherten Profil kein neues lokales
Profil mehr erstellt werden kann.
Deswegen bricht bei Mitgliedern der Gruppe a dann der Login Vorgang
mit einem "Zugriff Verweigert" ab.
Unschoener Nebeneffekt:
Das Anlegen neuer Nutzer gestaltet sich deshalb etwas Umstaendlich.
Das Servergespeicherte Profil muss erstellt werden bevor der Nutzer der
Gruppe a hinzugefuegt wird. Sobald er in der Gruppe a ist kann er kein
Profil erstellen.
Das erste an und Abmelden muss deshalb vom Administrator bei
Erstellung des Kontos erledigt werden.
Beobachte das seit kurzem, bisher sind mir bei den Nutzern
noch keine Nebeneffekte begegnet die nicht tolerierbar waeren.
Was meint ihr, ist das ein guter Weg?
Automisches Erstellen von Nutzern ist mir zurzeit kaum Moeglich.
Weiss jemand wie man einen Benutzer Automatisch per Script
an und wieder Abmelden kann? (Damit das Profil geschrieben wird)
ciao
Stefan:wq
-
Hallo Alle
Wie kann ich ueber die Kommandozeile ereichen das mir mittels xcacls
fuer ein Verzeichniss Folgendes anzeigt wird:
--- E:\userdata\verz domaene\usr:(OI)(CI)(DENY)(special access:) DELETE WRITE_DAC WRITE_OWNER VORDEFINIERT\Administratoren:(OI)(CI)F NT-AUTORIT<8E>T\SYSTEM:(OI)(CI)F domaene\usr:(OI)(CI)(special access:) READ_CONTROL SYNCHRONIZE FILE_GENERIC_READ FILE_GENERIC_WRITE FILE_GENERIC_EXECUTE FILE_READ_DATA FILE_WRITE_DATA FILE_APPEND_DATA FILE_READ_EA FILE_WRITE_EA FILE_EXECUTE FILE_DELETE_CHILD FILE_READ_ATTRIBUTES FILE_WRITE_ATTRIBUTES ---
Weder das Setzen von Verweigerungen noch die Special Access Einstellungen funktionieren hier mittels xcacls.
Das Beispiel habe ich ueber den Windows Explorer erstellt
ciao
Stefan:wq
-
Hallo Alle
Gibt es eine Moeglichkeit GPOs zwichen verschiedenen
Domaenen hin und her zu Kopieren?
BackupGPO / RestoreGPO aus den GPMC Scripts funktioniert anscheinend nicht.
Ich habe den Eindruck das das nur innerhalb der gleichen Domaene
funktioniert.
ciao
Stefan:wq
-
Hallo,
ist der WDS Dienst denn da?
hast du das gemacht?
Gruß
WDS Dienst laeuft und funktioniert.
Das Ding sieht im Legacy Modus genauso aus wie RIS und die vor dem
Update Mittels RipRep erstellten Images lassen sich Installieren.
Warums zuerst gehakt hatt ist mir unklar, hauptsache es Laeuft.
Danke fuer die Hilfe.
ciao
Stefan:wq
-
??? neee, nix einstellen...
@skywalker; CMD aufmachen:
WDSUTIL /uninitialize-server
und schon ist der WDS wieder im legacy modus (im guten alten RIS modus). dann meckert auch der TFTP nicht mehr wenn mit PXE gebootet wird. ;)
solltest du danach noch mal meinen die WDS konsole aus der verwaltung öffnen zu müssen, und da konfigurationen machst, dann darfst du das mit dem CMD und befehl gleich noch mal wiederholen, sonst hast du den selben fehler wieder.
gruß
michael
Hallo
Ich habe hier das gleiche Problem, aber auch nach
WDSUTIL /uninitialize-server
funktioniert nichts was mit einem RIS zumindestens Aehnlichkeit haette.
Mir ist dabei relativ egal ob nun RIS oder WDS solange ich meine bereits
erstellten Images verwenden kann.
Bevor ich nun meinen Geist aus dem Schrank hole,
gibts noch andere Moeglichkeiten das wieder ans laufen zu bekommen?
ciao
Stefan:wq
-
Hallo Stefan,
Schau mal hier:
http://www.mcseboard.de/windows-forum-ms-backoffice-31/ris-problem-seit-w2k3-sp2-110423.html
Gruß Robert
Hmm... Schaut nach dem gleichen Fehler aus. Aber die Loesung will nicht so Richtig.
Haenge mich dort mal an....
-
Hallo Alle
Whaerend der Installation von SP auf einem w2k3 DomaenenController erfolgte
eine Fehlermeldung das ich nicht ueber ausreichende Installationsrechte verfuegen wuerde. Danach lief die Installation zwar weiter aber nach dem Neustart hies es:
"Ein Dienst konnte nicht gestartet werden bitte kontroliieren sie Ereignisanzeige"
Ein nochmaliges durchlaufen der SP2 Installation als "Administrator" brachte keine
besserung.
In der Ereignissanzeige fand ich unter Anwendung eine Warnung mit ID 53258 / MSDTC .
Das Problem konnte ich durch einen Hinweis auf eventid.net hier im Board loesen.
Nun Taucht in der Ereignissanzeige unter System aber immer noch die Meldung:
Der Dienst Remoteinstallationsdienste wurde beendet.
Die angegebene Prozedur konnte nicht gefunden werden.
Weiss jemand wie ich den wieder ans Laufen bekomme?
ciao
Stefan:wq
-
Hallo Alle
Jetzt geht der Aerger los.
Bisher war es nicht erforderlich Kontingente zu verwenden.
Leider gibt es Leute die es umbedingt so haben wollen....
Um den Aerger moeglichst klein zu halten moechte ich aber erstmal
nur die Querulantin treffen.
Reicht es aus die Kontingente zu Aktivieren / Scharfzuschalten
und dann nur der Betreffenden Person einen Kontingenteintrag zu verpassen?
d.h fuer die anderen bleibt erstmal alles beim Alten?
Bei Versuchen in einer XP/W2K3 Testumgebung funktionierte das Problemlos.
Leider ist das bestehende Netz aber noch Komplett w2k Basiert.
So das ich dort quasi am offenen Herzen Arbeiten muesste.
Geht das da auch?
ciao
Stefan:wq
-
Hallo Alle
Eben erwaehnte ein Kollege das er demnaechst Kontingente fuer Gruppen auf
einem DFS Aktivieren wolle.
Ist die Kontingentverwaltung fuer DFS eine andere als die fuer normale
Datentraeger?
Es geht w2k3 sp1 mit Bordmitteln.
ciao
Stefan:wq
-
Hallo Alle
Ich erinnere mich dunkel daran das es Moeglich ist die lokale Kopie
eines Servergespeicherten Profils zu unterbinden.
Da dinge wie cookies , urls usw ueblicherweise unter "Lokale Einstellungen"
gespeichert werden, koennte das eine Moeglichkeit sein zu ereichen das
die Browser History des IE nach einem neustart leer ist?
Kanns leider im Moment nicht testen.
Die Tools clearprog und ocp sind zwar grundsaetzlich geeignet, versagen
aber (vermutlich) wegen anderer Einschraenkungen ihren Dienst.
(Fehlemeldung: Illegal Picture , oder so ae.)
ciao
Stefan:wq
-
Hallo Alle
Ich habe hier 3 Rechner die mein Vorgaenger speziell Praepariert hatt.
Server und Client w2k , es werden Mandatory Profiles mit Autologin verwendet.
Das geschah zum Teil durch Einstellungen ueber AD Gruppenrichtlinien.
Aber wohl auch durch einige Lokale Einstellungen ueber die aber keine
Unterlagen mehr Existieren.
Nun ist bei einem dieser Rechner die Platte abgeraucht.
Nach Neuinstallation des Systems laesst sich das alte Profil nicht
mehr Laden.
Also erstmal ein neues Konto mitsamt Profil erstellt und dieses mit dem Rechner
an der richtigen Stelle im AD Platziert.
Trotzdem zeigen sich einige Unterschiede zu den 2 anderen Rechnern:
Das Netzwerkumgebungs Icon ist auf dem neuen Rechner nicht ausgeblendet.
Das Arbeitsplatz Icon ist nicht gesperrt. Es kann geoeffnet werden.
Die Verlaufsanzeige des InternetExplorers wird nicht bei jedem
Neustart geloescht.
Habt ihr ne Idee wo ich suchen muss?
ciao
Stefan:wq
-
Wie will denn ein Trojaner die LAN Karte aktiviren? Und wie will ein Trojaner denn auf das System kommen, wenn Du nicht in I-Net gehst!
Wäre das gleiche wie Schwanger ohne Verkehr . . . das geht auch net (zumindest nicht ohne die moderne Medizin)
Eine vorhandene LAN Karte zu Aktivieren ist fuer einen Nutzer nicht viel mehr
als ein paar Mausklicks. Das duerfte fuer einen Trojaner auch kein grosses
Hinderniss sein. Stellt sich die Frage wie effektiv man eine Netzwerkkarte unter
Windows Deaktivieren/Deinstallieren kann ohne das andere Parallel Installierte
Betriebssysteme davon Betroffen sind.
Soweit ich ihn verstanden habe war er mit der Installation schon im Internet.
Wie sicher kannst du sein das auf deinem System kein Trojaner vorhanden ist?
Doch nur soweit wie es dir die Virenscanner Bestaetigen.
100% Sicherheit gibt es letzendlich nur bei getrennter Kabelverbindung.
ciao
Stefan:wq
-
Nein Kabel abziehen möchte ich nicht. Ich surfe nur noch mit Linux.
Aber Netzwerkkarte deaktivieren ist eine gute Idee. Und ein Trojaner oder so könnte die nicht wieder heimlich aktivieren?
Vermutlich ja aber:
Was heisst eigentlich DSL?
Betreibst du das mit PPPOE u.co (also direkt vom PC zum DSL Modem)
oder laeuft das ueber einen Router der da noch dazwichen haengt?
Im ersten Fall:
Software Deinstallieren. Netzwerkkarte in der Systemsteuerung deaktivieren.
Und hoffen das du dir nix eingefangen hast was in der Lage ist das umzukehren.
Im zweiten Fall kommt es drauf an wie Paranoid du bist und was du fuer Moeglichkeiten hast.
Die einfache Variante:
Dem Windows Client ein Feste IP Zuweisen.
Default Route und DNS NICHT Eintragen.
Mehr Aufwand und von Router zu Router Unterschiedlich(bzw Moeglich o. Unmoeglich)
DHCP auf dem Router generell abschalten und nur mit Festen IPs Arbeiten.
Windows Client bekommt eine andere IP als der Linux Client.
Anhand der Vergebenen IPs auf dem Router Sperren vergeben.
Unuebliche Netzmask vergeben.
ciao
Stefan:wq
-
Hallo Alle
Kann mir jemand sagen ob es moeglich ist mittels subinacl das Recht
"Unterordner und Dateien Loeschen" auf Ordner zu setzen bzw zu Verweigern?
Mit D oder C geht es Anscheinend nicht.
Besteht die Moeglichkeit mittels subinacl sowohl Zulassen als auch Verweigern
Eintraege zu setzen?
Wenn ich zuerst mit:
subinacl /subdirec e:\data\user\*.* /GRANT=max=RW
setzte und dann versuche mittels
subinacl /subdirec e:\data\user\*.* /DENY=max=op
die Verweigerung hinterher zu schieben, werden die vorher gesetzten
Berechtigungen ueberschrieben und es bleiben nur die Verweigerungen.
subinacl /subdirec e:\data\user\*.* /GRANT=max=RW /DENY=max=op
Fuehrt zum gleichen Ergebniss.
ciao
Stefan:wq
-
Wie schon gesagt, wenn Du diese Berechtigungen verweigerst und der User ist Besitzer seiner Dateien und Ordner, kann er sich die Berechtigungen zurück geben. Wenn Du den Besitz übernimmst, musst Du die entsprechende Richtlinie setzen, da der Client das Profil sonst gar nicht mehr lädt. Wird bei der Profilübertragung wieder zurück geschrieben, ändern sich unter Umständen aber wieder die Besitzrechte ... Ich glaube, dass bringt nichts und wenn, dann nur Ärger ...
Ich muss auch sagen, dass ich diese Problematik nicht kenne. Was genau passiert denn da ?
Wenn ich das so genau wuesste...
Nur die Auswirkungen bekomme ich immer Life mit.
Ich bin mir relativ sicher das es keine Absicht der Benutzer ist, sondern eher
ein Software Problem.
Es gibt z.b in einem Menu eine Verkuepfung "Outlook Express Starten" die
immer wieder mal (aber eben nicht immer) keinen Besitzer hatt und deshalb
erst nach Besitzuebernahme Geloescht werden kann.
Das Cookies Verzeichniss ist bei einige Nutzern auch so ein Kandidat wo
die Dateien nur fuer den Nutzer selber lesbar zugreifbar
Das sind nur 2 Beispiele , das kann in so ziemlich allen ProfilOrdnern auftreten.
Einzig Auffaellig ist das sehr oft Links .LNK betroffen sind.
ciao
Stefan:wq
-
Du kannst via Richtlinie die zwischengespeicherte Kopie löschen lassen
O.K , werds Versuchen.
Was meinst du, koennte es Sinn machen via Verzeichnissfreigabe
"Berechtigungen Aendern" und "Besitz Uebernehmen" in
C:\Dokumente und Einstellungen
fuer die Benutzer zu Verweigern?
was allerdings bedeutet, dass beim Anmelden das Profil vom Server gezogen wird.
Das sollte O.K sein.
Danke
ciao
Stefan:wq
-
Das würde überhaupt nichts bringen, da die Benutzer die Ersteller ihrer Dateien sind und demzufolge immer volle Berechtigung haben oder sich geben können. Die Benutzer arbeiten auch mit einer Kopie des servergespeicherten Profils, nicht mit dem Profil selbst. Wenn sie sich abmelden, wird das lokale Profil mit dem Serverprofil "verschmolzen" (nach gewissen Regeln). Vielleicht solltet Ihr die Richtlinie setzen, dass die Administratoren den Profilordner-ACLs zugefügt werden (das muss passieren, BEVOR vom Client der Profilordner erstellt wird). Oder die User dürfen ihre Profile nicht ändern (.MAN oder Policy) ...
.MAN kommt nicht in Frage, die Nutzer muessen Einstellungen aendern
und auch Abspeichern koennen.
Die Richtlinie das die Administratoren ebenfalls Vollzugriff auf die Profile haben
ist Aktiviert. Das Problem tritt trotzdem auf.
Hmm, die Benutzer Arbeiten nur mit einer Kopie, die ist dann ja auf dem
Client vorhanden. Dann ist die Loesung des Problems wohl eher auf dem Client(w2k) anzusetzen als auf dem Server(w2k).
ciao
Stefan:wq
Profil Automatisch anlegen?
in Windows Forum — Scripting
Geschrieben
Siehe oben, es geht darum das das lokale Default Profile fuer bestimmte
Nutzer gesperrt ist und es deshalb nicht moeglich ist Benutzer automatisch
per Script anzulegen.
Oder meinst du was anderes?
Konnte noch nicht pruefen ob die von !aN genannte Gruppenrichtlinie
zu dem gleichen Effekt fuehrt.
ciao
Stefan:wq