krush

Ich würde, wenn die Benutzer nur im Ordner lesen dürften folgendes tun:

1. NTFS Berechtigung des Ordners auf Lesen stellen

2. Die Freigabe Berechtigung auf Vollzugriff

Denn das restriktivere der beiden zieht, somit hat der Benutzer nur lesen auf dem entsprechenden Ordner (Wird von MS auch so empfohlen :thumb1:)

..aber ist doch genau das was ich mache.

Deswegen ja auch unter der Freigabe-Berechtigung "jeder" und Vollzugriff und die eigentlichen Rechte kläre ich mit den NTFS-Berechtigungen, tja nichts mit restriktiv :(

Deswegen wundere ich ja wie ****e, viell. sehe ich ja auch den Wald vor Bäumen nicht.

Du must die NTSF rechte zunächst einstellen wie Du sie benötigst!

 

Danach stellst du die Freigabe Rechte ein, und zwar auf das höchste Recht was gefordert wird von NTSF!

Dies ist aber nur so wenn du mit Jeder arbeitest, auch diese kannst dunoch spezialisieren!

...also ich hab jetzt mal einen neuen Ordner erstellt entsprechend die NTSF - Berechtigungen gesetzt und dann die Freigabe erstellt mit der Berechtigung "Jeder"...gleiches Ergebnis :-/

Schreibe mal bei Sicherheit Jeder lesen, aushühren und Ordner auflisten rein.

...gleiches Ergebnis, irgendwie werden die Berechtigungen für die Freigabe primär behandelt, was ja eigentlich nicht sein sollte :-/

Wie setzt du denn nun genau die Berechtigungen?

Freigabe Jeder lesen, schreiben und oder Vollzugriff?

..auf Vollzugriff

Wie sieht das unter dem Reiter Sicherheit aus?

...unter Sicherheit hat nur haben nur die Administratorden und das System Vollzugriff auf den Ordner. Der Rest darf theoretisch nur lesen.

Ich bin verwirrt ;)

Wenn Du jetzt noch die Lösung postest, haben andere auch etwas davon und dadurch bekommt dieses Forum gleich einen Mehrwert ;)

[/Quote]

 

naklar kann ich das :)

 

$group = [ADSI]"LDAP://CN=$group,OU=$ou,DC=domain,DC=COM"

$group.member.add("CN=$group,OU=$ou,DC=domain,DC=COM")

$group.setinfo()

 

....funktioniert natürlich nur wenn alles in einer OU ist!

 

Na das dauert noch etwas.

Powershell steht ebenfalls bei mir auf den langen Liste, mir das anzueignen.

Ich weiß allerdings nicht, ob dieses Leben dazu ausreicht ;)

 

jep, da gehts nicht nur Dir so.

Manchmal hab ich das Gefühl M$ macht extra irgendwelche Neuentwicklungen etwas unverständlicher um mehr Geld an Schulungen zu verdienen ;)

Hallo,

ich hab ein kleines Problem mit meinem Windows 2003 Server, wenn ich dort einen Ordner freigebe und die Berechtigungen auf "jeder" setze, die eigentlichen Berechtigungen setze ich unter Reiter "Sicherheit".

Das Problem ist, das jeder Benutzer überall hinschreiben darf, obwohl ich er es eigentlich nicht darf.

Setz ich die Berchtigungen unter Freigabe funktioniert es.

Obwohl es ja so theoretisch nicht funktionieren dürfte...

Ja den Link kannte ich schon, kein schlechtes Script...trotzdem danke.

Ich konnte mittlerweile das Problem lösen.

Powershell ist noch nicht so populär, oder? ;)

Hallo,

ich versuche gerade mit folgenden Zeilen einen Nutzer einer Gruppe im AD hinzu zufügen:

"$pfad= "LDAP://server/CN=$Group,DC=$domain,DC=local"

$gr = new-object system.directoryservices.directoryEntry($pfad)

$Benutzer = "LDAP://server/CN="Benutzer,OU=$subou,OU=ou,DC=$domain,DC=local"

$ou.Add($Benutzer)"

Das Ergebnis ist folgendes:

Sie können keine Methode für einen Ausdruck mit dem Wert NULL aufrufen.

Bei $script.ps1 1:4 Zeichen:8

+ $ou.Add( <<<< $Benutzer)

Irgendwie übergibt er beim Anlegen die Gruppe nicht.

Hat jemand ne Idee?

Hallo zusammen,

ja ich weiss solche Threads gabs schon zuhauf ;)

Aber das Script soll etwas anders funktionieren.

Also erstmal zum Verständnis: es gibt eine Gruppe, darunter liegen dann verschiedene andere Gruppen...sagen wir zum Bespiel die Gruppe heisst "Azubi" und darunter liegen dann z.b. "FISI" und "FIAE"

Das Script soll zum einen alle Gruppen unter "Azubi" auslesen und dann anzeigen (z.b. durch eine switch-case o.ä), so das man eine Gruppe auswählen kann.

Wenn man dann die Gruppe ausgewählt hat, gibt man noch die Anzahl der gewünschten User an und diese werden dann nach einem Schema angelegt, z.b. FISI_01....FISI_n

Sicherlich könnte man die Gruppen statisch in das Script einbinden, aber was ist z.b. wenn ich noch eine Gruppe (z.B. "ITSE") hinzufügen soll, dann müßte man das auch in dem Script ändern, eben das soll vermieden werden.

Das Anlegen der Gruppen soll das Script übrigens auch können, sowie das ändern eines Passwortes eines Users...aber das gehört wohl eher zu den nicht so schweren Aufgaben.

Das Ganze soll auf einem Windows 2003 Server laufen...mit AD natürlich ;)

Unter Linux wäre das z.b mit einem bash-Script nicht so schwer, aber unter Windows sind mir einbisschen die Hände gebunden.

Vielleicht hat ja jemand ne Idee?

Lokale Konten sind bei richtiger Konfiguration des Samba Servers eigentlich nicht notwendig

achja..wäre es möglich das du die wichtigsten Zeilen postest, bzw. ein paar Tipps gibst?

Nach meiner Kenntnis muss der User einmal auf dem Linux und einmal auf dem Samba angelegt sein. Jedenfalls war das bei SUSE noch vor einigen Monaten so.

da hast du recht, der Benutzer existiert in der entsprechen smbpasswd, wie gesagt wenn der Nutzer lokal auf der Windows-Maschine angelegrt wird funktioniert es auch.

danke für den Tipp.

In die Richtung hab ich auch schon gedacht, reicht es nicht aus samba als Domaincontroller laufen lassen?

Hallo zusammen,

Ich hab ein Linux-Server auf dem ein kerberos-server läuft, wo unteranderem auch die Windowsprofile auf einem Samba gespeichert werden. Das Ganze funktioniert auch ganz gut, wenn die Benutzer (unter Benutzerverwaltung) lokal auf der Maschine angelegt sind.

Aber sobald ein Nutzer nicht lokal angelegt ist, kommt folgende Fehlermeldung (WinXP pro):

"Zuordnungen von Kontonamen und Sicherheitskennungen wurden nicht durchgeführt"

Irgendwie muß ich die Nutzerverwaltung auf die Linux-Bückse umbiegen, aber mir ist noch nicht so ganz klar wie...

Hat vielleicht jemand schon ein ähnliches Szenario am laufen?

Für einwenig Hilfe wäre ich echt dankbar!