Jump to content

kaineanung

Members
  • Gesamte Inhalte

    502
  • Registriert seit

  • Letzter Besuch

Profile Fields

  • Member Title
    Member

Letzte Besucher des Profils

Der "Letzte Profil-Besucher"-Block ist deaktiviert und wird anderen Benutzern nicht angezeit.

Fortschritt von kaineanung

Experienced

Experienced (11/14)

  • Immens engagiert Rare
  • 15 Jahre dabei!
  • Engagiert
  • Erste Antwort
  • Erster eigener Beitrag

Neueste Abzeichen

14

Reputation in der Community

  1. Hallo Leute, wir haben hier eine Situation die nicht alltäglich ist und ich dafür eine Lösung suche. Vielleicht bin ich auf dem falschen Dampfer und jemand belehrt mich wie es richtig geht oder aber es gibt keine andere Lösung als das von mir angedachte. Folgende Situation: Die Firma A hat eine kleine Firma B aufgekauft und beide haben eine Windows 2016 Domäne die für sich seperat arbeiten. Jede Firma hat seinen eigenen Windows-Dateiserver. Wir haben eine Standleitung zwischen den Firmen A und B und Firma A hat eine große Firewall und Firma B nur einen kleinen Satellit welcher an die große Firewall der Firma A angebunden ist (permanentes VPN) und den Datenverkehr regelt. So, Firma A hat nun auch eine RDS-Farm für beide Firmen (getrennte RDS-Sammlungen) und Homeoffice- und Aussendienstmitarbeiter verbinden sich ausschliesslich zu Firma A und dann auf die RDS-Farm. User der Firma B haben eigene AD-Konten in der Domäne der Firma A. So weit so gut und funktioniert prima. Jetzt aber wollen wir Laufwerksmappings anbieten für die User der Firma B, welche sich per VPN auf die RDS-Sammlung der Firma B in der Domäne der Firma A angemeldet haben. Ich weiß das die Domänen miteinander nichts zu tun haben und daher auch eine separate Authentifizierung stattfinden muss so daß jeder USer, der sich mit sienen Credentials authentifiziert hat, entsprechend Zugriff auf den Fileserver in der Firma B hat. Ich wollte ein Laufwerk auf die Freigabe des Fileserver in der Firma B machen welches aber 'durchgestichen' ist im Windows-Explorer. Wenn sich der User dann entschliesst darauf zuzugreifen, muss es einmalig für die aktuelle Sitzung seine Zugangsdaten der Domäne in der Firma B angeben. Frage 1: geht das überhaupt und wenn ja wie? Frage 2: was wäre der richtige Weg das zu bewerkstelligen? Ich habe so ein Gefühl das es auch einen besseren Weg dafür gibt, oder? Ich würde mich freuen wenn mir hier jemand zu diesem Thema was sagen und helfen könnte. Nochmals in Kurzform: - 2 Domänen miteinander per Standleitung verbunden - RDS-/Terminalserver-Farm ist in der Hauptfirma - User der zweiten Firma haben zusätzlich (zu ihren eigenen Domänenkonten in ihrer Firma) eigene Domänenkonten in der Hauptfirma - Nach der Anmeldung auf dem RDS-Server (Hauptfirma) soll per SMBv3 ein Laufwerk auf den Fileserver der anderen Firma gemappt werden und zwar ohne Credentials und somit noch 'inaktiv'. Bei klick auf den Laufwerksbuchstaben soll das Anmeldefenster kommen. - Laufwerksmappings sind also ähnlich zu den permanent manuell gemappten Laufwerken die mit anderen Benutzeranmeldungen gemappt werden wobei die Credentials nicht gespeichert werden sollen -> bei der nächsten Sitzung sind die Laufwerke rot durchkreuzt und man muss die Credentials beim ersten benutzen manuell eingeben.
  2. @testperson Nochmal: 2FA verlangt die Versicherung bis Ende des Monats. Ich schaffe es nicht mit meiner eigenen PKI und alles richtig und korrekt und vor allem sicher zu machen. Ich führe die jetzige Lösung nur, und das habe ich zum wiederholten mal gesagt, vorübergehend ein um der Versicherung zu genügen. Da muss ich dann nicht bis ins letzte Detail alles bombensicher machen (das kommt ja dann noch im Nachgang) und ich verstehe nicht das ihr das nicht versteht. Und das ist auch erstmal egal ob ihr das verstehen wollt oder nicht. Ihr habt die technische Grundlage und könnt jetzt leicht reden. Ihr habt entweder mega Glück gehabt das ihr bei all den IT-Themen niemals Zeitdruck hattet um diese zu erledigen oder ihr habt es vergessen wie das ist. Ich lache nun auch über die Domänenmigration wobei ich das hier vor 2 Jahren von vorne bis hinten durchgekaut hatte und mich angestellt hatte als ob das ein Unding ist. Auch damals hiess es hier: hol dir einen externen Dienstleister. Jetzt lache ich auch darüber weil es easy-peasy ist. Aber wenn man es nicht weiß dann ist es eben alles andere als easy-peasy......Ich vergesse sowas aber nicht und erkläre unseren Auszubildenden alles bis ins Detail und kann mich hineinversetzen und notfalls auch bildlich erklären mit 'viel bunt'.... Wie dem auch sei: ist egal jetzt. Der Rest ist dagegen und blockt ab und du hast mir 2 Links geschickt um die ich hier ersucht habe und dafür Danke ich dir sehr. Ich lese sie mir durch und schaue mal weiter.... Danke an euch alle, auch für die 'Sicherheitsbedenken'....
  3. Ich entscheide was ich an Sicherheit haben will oder nicht. Verstehe nicht das mich MS mit dieser Politik bevormundet. Ich will der 2FA bis ende des Monates genügen und mich vom Zeitdruck befreien damit ich es danach mit eigener PKI und allem drum und dran richtig machen kann.. Ich wollte genau diese Diskussion hier vermeiden... Daher nochmal: welche Möglichkeit bleibt mir diese Zertifikate nun an unsere Clients zu verteilen? Geht das vielleicht per Anmeldescript o.ä.?
  4. @NilsK Nicht zu vorschnell. Der DL ist gut und hilft mir mit dieser alternative, unter Vorbehalt und eindringlichem Appell es schnell 'richtig' zu machen mit meiner PKI. Aber ich habe eine Deadline einzuhalten und muss nun nach einer Alternative suchen. Diese hat er mir zähneknirschend vorgeschlagen... @All Wieso geht das mit der GPO eigentlich nicht? 1. In meiner Testumgebung habe ich dieses Zertifikat tatsächlich per GPO verteilt, leider nur in den Benutzer-Zertifikatsspeicher unter 'Vertrauenswürdige Personen'. 2. Mache ich es manuell mit dem Wizard, kann ich auswählen dass das Zertifikat automatisch in das entsprechenden abgelegt wird und dort landet er korrekterweise im 'Eigene Zertifikate'-Ordner. So, ich bräuchte doch nur lediglich Punkt 1 mit Punkt 2 in Kombination. Leider ist das Feld 'Automatisch Zertifikatsspeicher wählen' (oder so ähnlich) ausgegraut beim GPO-Erstellen....
  5. Hallo Leute, ich habe ein kleines Problem bei dem ich wenig Hoffnung habe es gelöst zu bekommen. Es gibt aber ab und an doch irgendwen der irgendein guten Trick kennt scheinbar unlösbare Probleme doch zu lösen. Vielleicht in diesem meinem Fall ja auch? Ich probiere es einfach mal und stelle meine Frage: Ich habe ein "Eigenes Zertifikat" mit privatem Schlüssel welches ich in der Domäne verteilen muss. Leider ist so ein Zertifikat mit privatem Schlüssel ja nicht dafür vorgesehen per GPO verteilt werden zu können. Es ist ja auch per Passwort geschützt und MS geht sicherlich davon aus das dies dann individuell von jedem User per Wizard importiert wird und daß die User das passwort kennen und eintippen müssen. Hintergrund: Bei uns verzögert sich das Aufbauen der PKI. Daher hat unser FW-Dienstleister kurzerhand auf der FW eine CA erstellt die an die Benutzer als 'Vertrauenswürdiger Stammzertifizierungsstelle" per GPO verteilt werden soll. Dieser Teil klappt auch wunderbar. Der andere Teil, das "Eigene Zertifikat" (P12-Datei) mit Passwort, habe ich auch vom Dienstleister bekommen und es soll, als vorübergehende Lösung, an alle verteilt werden damit wir auf der FW die 2FA aktivieren können für den VPN-Zugang. Dieses Zertifikat ist nicht individuell (so wie ich mir das Vorstelle eine Art Wildcard-Zertifizierung bei dem die Domänenzugehörigkeit der User bestätigt wird. Ist aber lediglich MEINE Vorstellung davon) und kann somit an alle verteilt werden. Das klappt so natürlich nicht per GPO. Die Frage ist aber: gibt es doch irgendeine Lösung für das Verteilen an alle in der Domäne, in eine bestimmte OU oder an eine Gruppe mit bestimmter AD-Sicherheitsgruppenzugehörigkeit o.ä.? Schon einmal im Voraus besten Dank für jegliche Hilfe / Informationen oder auch die finale Bestätigung das dies überhaupt nicht geht ausser manuell verteilen (z.B. per TeamViewer dann beim User importieren).
  6. Eine PKI auf zu setzen scheint mir relativ einfach und schnell zu gehen. Ein Standard-Webzertifikat mit SAN-Attributen ging auch relativ einfach. Wahrscheinlich sind die vielen Probleme einfach im Detail versteckt und ehrlich gesagt habe ich schon große Sorge das ich nicht irgendwas 'zusammenfusche'. Wenn ich es aber nicht ausprobiere, dann werde ich es nie lernen und wenn es ein DL macht der wird ein Teufel tun um es mir vollumfänglich beizubringen denn niemand sägt an seinem Ast auf dem er sitzt... Daher werde ich mir auf jeden Fall das empfohlene Buch kaufen und es durchlesen. Ich muss jedoch in meiner Testumgebung irgendwas liefern damit man hier sieht das es möglich ist eigene Zertifikate zu erzeugen, domänenweit die vertrauenswürdigen Stammzertifikatsstellen an die Clients zu verteilen und z.B. die 2FA für den VPN-Zugang zu implementieren (das macht dann ein Dienstleister). Das es aber SO schlimm ist das gestandene und erfahrene DL ein Bogen um das Thema Zertifikate machen, macht mir ehrlich gesagt große Sorgen. Ich sehe die Probleme sicherlich noch nicht weil ich gerade an der Oberfläche 'kratze'. Ich hoffe das es nicht so schlimm wird. Bisher scheint es jedenfalls nicht zu kompliziert zu sein mit RootCA, SubCA erstellen, domänenweit bekannt machen und Webserverzertifkate zu erstellen... Mein nächster Schritt ist die Erstellung der Computerzertifikate. Ich hoffe das dies auch nicht anders ist als die Webserver-Zertifikate und das es der gleiche Vorgang ist... Die Webserver-Zertifikatsanfrage habe ich ja auf dem Webserver im IIS-Manager unter 'Zertifikate' erstellet um es dann auf der SubCA zu signieren und ein fertiges Zertifikat zum 'binden' zu erhalten. Die Frage die sich mir nun stellt ist: wo finde ich nun die Möglichkeit das Zertifikat (-Rrequest) für Computer ODER User zu erstellen?
  7. @NorbertFe Das macht mir, ehrlich gesagt, große Sorgen. Ich wüsste aber nicht wie ich denn sonst anfangen könnte als mich erstmal durchzubeissen, durchzuarbeiten und so Schritt-für-Schritt zu erfahren wie das alles funktioniert. Vielleicht irgendein Tipp für mich was am allerhäufigsten falsch gemacht wird am Anfang? @all Übrigens: meine Zertifikate mit SAN funktionieren nun einwandfrei mit IE, FF (per GPO und FF-Vorlage eingestellt daß der Windows-eigene Zertifikatsspeicher mitverwendet werden soll), EDGE und Chrome. Ich musste allerdings manuell ein Zertifikat erstellen, manuell auf dem Webinterface das Zertifikat signieren lassen (vom CA) und dann das Zertifikat auf dem IIS installieren und binden. Davor (also als ich nur das Standard-Zertifikat ohne SAN-Parameter erstellt habe) musste ich im IIS lediglich 'Domänenzertifikat erstellen' anklicken, die FQDN ODER NetBIOS-Name eingeben und schwups wurde alles con der CA erledigt und ich konnte es gleich direkt 'binden'. Jetzt muss ich die ganzen Schritte dazwischen manuell machen. Schade. Aber ok, die Zertifikate für unsere APs, Switche usw. muss ich sicherlich auch so erstellen da diese ja sowieso nicht in der Domäne sind. Jedenfalls bis hierhin: vielen Dank für eure Hilfe ;) Jetzt lese ich mich in das Thema 'Computerzertifikate' ein. Irgendwer irgendwelche Tips wo ich anfangen kann? Hat wer gute Anleitungen dafür? Schon einmal im voraus Danke dafür.
  8. @Squire Keine Sorge, ich verwechsle die 2 Themen nicht. Ich weiß daß ich für die 2FA Computerzertifikate (oder alternativ Benutzerzertifikate, tendiere aber auf die Computerzertifikate) benötige. Ich arbeite mich zum allerersten mal in das Thema 'Zertifikate', CA und PKI ein. Da dies eine große Infrastruktur ist und eben mehrere Bereiche abdeckt, will ich alles, was für uns (Firma) relevant ist 'abarbeiten' bzw. mir aneignen. Bevor ich in das noch schwierigere Thema 2FA einsteige, will ich erst sicherstellen das ich PKI / CAs korrekt installiert und konfiguriert habe und erstmal, weil es einfacher ist umzusetzen und es auch gleich testen kann, schauen möchte ob das einfachere 'SSL für Webserver' (also HTTPS) überhaupt funktioniert. Steht dieser Teil kann ich mich dann auf Computerzertifikate 'stürzen' und dann unseren Dienstleister mit unseren Computerzertifikaten beliefern damit er diese in unsere FW (für VPN für die 2FA) einspielen kann. Ich hoffe ich bin mit der Vorgehensweise nicht ganz auf dem Holzweg. Vor ein paar Tagen habe ich PKI und CA nur am Rande mal von gehört. Jetzt habe ich eine PKI am laufen und versorge die Webserver damit. Jetzt dann bald kann ich mich um das eigentliche Thmea (2FA) kümmern.
  9. Ja, mein Fehler das ich gleich 2 Themen in ein Thema hier rein gepackt hatte. Ich habe in meiner Testumgebung eine PKI erstellt weil ich den primären Auftrag habe Gerätezertifikate im Unternehmen einzuführen zwecks 2-Faktor-Authentifizierung. Ich arbeite mich jedoch gerade erstmal in das Thema SSL & CA allgemein ein und um sofort meine Errungenschaften testen zu können, habe ich mich auf das Webzertifikat für den IIS konzentriert. Dies ist auch mein sekunderäs Thema was ich einfach mal vorweg genommen habe. Also um es nochmals zu reproduzieren was ich hier heraus gelesen habe: 1. IE nutzt den Windows-eigenen Zertifikatsspeicher und benötigt keiner weiteren konfiguration. 2. FF nutzt seinen eigenen Zertifikatsspeicher, kann aber konfiguriert werden damit er auch den Windows-eigenen Zertifikasspeicher mit benutzt (das habe ich bereits umgesetzt und es funktioniert in meiner Testumgebung) 3. EDGE und Chrome nutzen zwar den Windows-eigenen Zertifikatsspeicher, benötigt aber noch weitere Einträge in der SAN des Zertifikates. b***d ist das ich somit immer ein manuell erstelltes Zertifikat mit erweiterten Einstellungen erstellen muss um SAN (und eventuell weitere Einstellungen) konfigurieren zu können und nicht 'einfach' auf dem IIS den Punkt 'Domänenzertifikat erstellen...' (im Bereich Serverzertifikate) klicken und den Wizard 'Zertifikat erstellen' nutzen kann denn dadurch wird ein Standard-Zertifikat mit nur rudimentären Einstellungen erstellt. So, wie mache ich am besten (und einfachsten) ein eigenes Zertifikat mit diesen erweiterten Einstellmöglichkeiten (z.B. SAN) für den IIS und was muss ich da genau eingeben? Ich habe das Thema bereits ein wenig 'angekratzt' weil ich für den Webserver ein Zertifikat erstellen möchte welches für das 'ansrufen' der Webseite mit dem NetBIOS-Namen als auch FQDN erstellen möchte. Dies geht wohl auch nur wenn ich dies mit erweiterten Informationen in der SAN mache. Habt ihr mir vielleicht eine gute deutsche Anleitung/HowTo wie ich das machen kann? Wenn das Thema erledigt ist, werde ich mich 2 weiteren Themen widmen: Wie erstelle ich ein Zertifikat (mit SAN) für andere Webserver / Webinterfaces (Apache2, APs, Switche, Firewall, usw.) und wie erstelle ich Gerätezertifikate damit man diese in FW für die 2-faktor-Authentifizierung per VPN nutzen kann. Aber erstmal Schritt für Schritt. Jetzt geht es um die SAN mit der ich NetBIOS und FQDN nutzen kann für ein und den selben Server UND EDGE und Chrome überhaupt diese Zertifikate auch akzeptiert (damit würde ich ja gleich beide Themen 'abhaken').
  10. Hallo Leute, ich lerne mich gerade in das Thema 'PKI', RootCA und IntermediateCA ein. Wir wollen eine eigene Domänen-integrierte CA betreiben um Geräte-Zertifikate für die 2-Faktor-Authentifizierung zu erstellen und nebenbei auch noch alle unsere https-Webinterfaces vertrauenswürdig zu machen. In meiner Testumgebung habe ich ein IIS (eigentlich ein RDS mit IIS), eine PKI (RootCA standalone, SubCA als AD-betriebene CA), natürlich ein DC und ein Windows 10 Client mit IE, Edge, FF und Chrome. Domänenweit wird in dem Zertifikatsspeicher 'vertrauenswürdige Stammzertifizierungsstellen' mein RootCA und in 'Zwischenzertifizierungsstellen' mein SubCA aufgelistet. Die Verteilung in der Domäne funktioniert also wie es soll. Ich habe ein Zertifikat für meinen IIS erfolgreich erstellt und diesen auch erfolgreich gebunden. Mein erster Test mit dem IE vom Client hat wunderbar funktioniert. Dann habe ich ein Test mit dem FF gemacht und es hat nicht funktioniert. Nach kurzer recherche ist mir wieder eingefallen das FF ja mit seinem eigenen Zertifikatsspeicher daherkommt und auch gleich eine Lösung gefunden: per GPO (Mozilla/Firefox-Template) kann man FF anweisen den Windowseigenen Zertifikatespeicher additional mitzubenutzen. Der nächste Test war dann auch erfolgreich. So weit so gut. Jetzt ist der Edge dran mit testen und komischerweise funktioniert es mit diesem nicht? Ich hätte gedacht das Microsoft EDGE natürlich den Windows-Zertifikatsspeicher mitbenutzt. Nach kurzer (oberflächlicher) Recherche habe ich irgendwo aufgegriffen daß der EDGE nun im Kern den Chromekern verwendet. Chrome kommt angeblich auch mit seinem eigenen Zertifikatsspeicher daher (nutze kein Chrome und kenne mich mit diesem überhaupt nicht aus). So, meine Fragen sind wie folgt: 1. Stimmt das das Edge den gleichen Kern wie Chrome nutzt? 2. Nutzt Edge einen eigenen Zertifikatsspeicher und nicht automatisch den Windows-eigenen Zertifikatsspeicher? 3. Kann ich Edge dazu überreden den Windows-eigenen Zertifikatsspeicher zu nutzen und wenn ja vorzugsweise per GPO? Wenn ja, kann mir vielleicht jemand sagen wie und wo oder auch eine Anleitung nennen? Ich bedanke mich schon einmal für eure Mühe (und wenn es nur das Lesen bis hierher ist).
  11. Habe ich auch gleich gedacht. Aber wenn ich alle GPO (damit meine ich wirklich ALLE) vorrübergehend deaktiviere, sollten die Probleme ja verschwinden. Tun sie aber leider nicht. Somit hängt es nicht an irgendwelchen Scripten bei der Anmeldung bzw. gar nicht an irgendwelchen GPOs. @all Liege ich damit richtig daß die Warnung mit dem Fehlercode 1534 nichts mit meinem Problem zu tun hat?
  12. Hallo Leute, ich habe ein Problem bei dem ich alleine nicht mehr weiterkomme und hoffe hier Hilfe zu finden. Das ist was wir hier haben / einsetzen: Die RDS-Farm: 1x Connectionbroker / Lizenzierungsserver / WebAccess-Server 3 RDS-Hosts (2 sind in einer Sammlung und einer in einer anderen Sammlung) 1x Fileserver als UPD-Server (Userprofile) Alle Server laufen auf Microsoft Windows Server 2016 STD. Jeden Monat auf den neusten Stand aktualisiert (Standard-Update). Die komplette RDS-Farm ist Virtualisiert und läuft auf folgenden Hostern: ESXi vSphere 6.7.0-HP-Customized-Maschine (ProLiant DL380 G7 12 CPUs Intel Xeon X5690 3.47 Ghz mit 60 GB RAM (-> RDS-Server (CB, WA & Lizenzierungsserver), Fileserver (UPD) und 1x SessionHostServer) ESXi vSphere 6.7.0 in einem vCenter mit SAN (ThinkSystem SR650, Intel(R) Xeon(R) Gold 6136 CPU mit 24 echten CPUs bzw. 48 logische CPUs @ 3.00GHz und 500 GB RAM Das Problem: User melden bei der 'Hauptsammlung' (2x SessionHosts-Server -> ca. 50 User allerdings gleichzeitig max. 15-20) immer öfter daß die Anmeldung teilweise 10-20 Minuten dauert und sie während dessen einen schwarzen Bildschirm bekommen. Dies tritt gleich nachdem der Standard-Anmeldebildschirm verschwunden ist (Anmeldung wurde verifiziert, Gruppenrichtlinien wurden geladen, und nun soll der Desktop angezeigt werden -> schwarzer Bildschirm kommt stattdessen). Es ist nicht immer so, bei 2 Test-Usern hat es mal 20 Sekunden gedauert und dann aber auch mal 2 Minuten (dies jedoch dann beim ersten Anmelden nach einem Neustart) und bei einem dann auch 40 Sekunden. Bei keinem war es wie gewohnt daß der Desktop schon nach 2-3 Sekunden 'Blackscreen' da war. Ich habe natürlich recherchiert zu diesem Fehler und bereits ein paar Ansätze gefunden und ausprobiert. Leider war keine Lösung dabei. Erfolglose Dinge dich ich also bereits getan habe sind: audiodg.exe beenden Diverse Dienste beendet und auf Deaktiviert gestellt was Audio angeht -> habe sowieso keine Soundkarte am Server und wird aktuell nicht benötigt Powerschell-Skript ausgeführt welches die "Firewall-Regeln", die sich mit der Zeit ansammeln, löscht. War bei diesem Server ca. 53K und hat ca. 1-2 Stunden gedauert. In der Ereignisanzeige habe ich keine Fehler, jedoch ein paar sporadische Warnungen. Hier eine die wahrscheinlich mit der RDS zu tun hat (aber wohl nichts mit meinem Problem zu tun hat): Protokollname: Application Quelle: Microsoft-Windows-User Profiles Service Datum: 10.09.2021 11:44:08 Ereignis-ID: 1534 Aufgabenkategorie:Keine Ebene: Warnung Schlüsselwörter: Benutzer: SYSTEM Computer: srv-rdsh01.XXXX.local Beschreibung: Die Beschreibung für die Ereignis-ID "1534" aus der Quelle "Microsoft-Windows-User Profiles Service" wurde nicht gefunden. Entweder ist die Komponente, die dieses Ereignis auslöst, nicht auf dem lokalen Computer installiert, oder die Installation ist beschädigt. Sie können die Komponente auf dem lokalen Computer installieren oder reparieren. Falls das Ereignis auf einem anderen Computer aufgetreten ist, mussten die Anzeigeinformationen mit dem Ereignis gespeichert werden. Die folgenden Informationen wurden mit dem Ereignis gespeichert: Delete {709E2729-F883-441e-A877-ED3CEFC975E6} Das System kann die angegebene Datei nicht finden. Das Handle ist ungültig So, jetzt meine Frage und meine Hoffnung: Kennt jemand das Problem und hat eine Lösung dafür? Ich verzweifle mit den Dingen und bin kurz davor die 2 Session-Hosts neu aufzusetzen. Kann aber sein daß nach einer Neuinstallation in ein paar Monaten das gleiche Problem wieder auftritt.. daher wäre mir eine Lösung lieber. Übrigens: an dem dritten Session-Host-Server, welcher alleinig in einer Sammlung steht, habe ich das Problem nicht. Diese Umgebung ist aber relativ neu und wird nur von 3-5 Usern verwendet.
  13. @Dukel Ich habe mich vielleicht nicht verständlich genug ausgedrückt: es geht gar nicht um die Migration, denn für die habe ich Scripte mit Robocopy erstellt und das funktioniert wunderbar (ich mache Gruppe um Gruppe damit ich kein Zeitdruck habe. 75% sind aber schon umgezogen). Es geht darum das die User, die früher Dateien nur in ihrem "Tree" verschieben konnten, nun auswärts verschieben können und dies auch tun. Auswärts: nicht mehr innerhalb ihres Teamordners sondern z.B. in ein Projektordner wo sich auch Benutzer aus anderen Teams tummeln. Diese sehen nun die Daten nicht die Benutzer A in den Projektornder verschoben hat. Ich weiß das dies schon immer so war das MS ACLs unterschiedlich behandelt beim Verschieben im Vergleich zum Kopieren. Die Frage ist aber: kann man das auch anders handhaben/einstellen/konfigurieren/"workarounden" auf dem Fileserver?
  14. Hallo Leute, ich hätte da mal wieder ein Problemchen. Wir sind nach vielen vielen Jahren auf einem W2K3-Server (DC, DNS, DHCP und Fileserver) nun auf eine neue W2K16 Domäne, separatem Fileserver und der Gleichen migriert. Bisher hatten wir auf dem alten Server auch mühselig unser Firmen-Organigram abgebildet was nun, danke euch, entfallen ist. So weit so gut. Wir haben auf dem neuen Fileserver nun auch ein Projekte-Ordner auf dem sich verschiedene Team übergreifende Ordner befinden die jeweils in der AD abgebildet sind (RO- und RW-Sicherheitsgruppe und dort dann die Mitglieder die darauf Zugriff haben sollen). Nun haben wir aber zum ersten mal die Probleme daß MS die Eigenart hat bei verschobenen Daten die ACL mitzunehmen und keine vom übergeordneten Zielordner vererbt zu bekommen. Die Leute rufen dann an und sagen "mein Kollege sieht die Daten nicht, ich sehe sie jedoch". Da ist mir sofort eben diese Eigenart von MS eingefallen. Ich habe nun ein Testuser "Max Mustermann" angelegt welcher Domänen-Benutzer ist, Mitglied in einem bestimmten Team und Mitglied einer Projektgruppe ist. Mit diesem User habe ich nun eine Datei von seinem Basis-Gruppenlaufwerk zu einem Projektordner, in welchem dieser RW-Zugriff hat, kopiert und einmal verschoben. Es ist tatsächlich so: beim Kopieren bekommt die Datei die Berechtigung vererbt und ist gleich wie alle anderen in diesem Ordner. Beim Verschieben nimmt er alle Berechtigungen von der Quelle mit und bekommen keine vererbt. Somit sehen alle anderen Mitglieder des Projektes, welche nicht gleichzeitig zum gleichen Team gehören, die Daten nicht. Also, die Frage ist nun: was kann ich machen damit die Leute Dateien in den Projekt-Ordnern kopieren und verschieben können so daß die Daten aber immer die Berechtigung vererbt bekommen? Ich bedanke mich schon einmal im Voraus für eure Hilfe!
  15. Meinst du wozu ich das nun so haben will und es verändere? Wir haben bisher unseres Firmen-Organigramm auf dem Fileserver abgebildet gehabt und jede Gruppe hat ihre Vorlagen gehabt. Nun strukturieren wir es um und es wird nur noch in der AD durch die Sicherheitsgruppen-Verkettung / Verschachtelung das Organigram abgebildet und nicht mehr in der Verzeichnisstruktur. Dort führen wird mehr auf flache Ordnerstrukturen hingearbeitet und weg von Gruppen- und hin zu Projekt-Ordnern. Durch diese Umstellung will ich auch für alle ein Vorlagen-Root-Ordner haben so daß ich auch per GPO Office so steuern kann das jeder diesen Root-Ordner als Vorlage gesetzt bekommt. Dadurch bekomme ich meine GPO auch noch übersichtlicher so daß ich nur für alle Domänenmitglieder eine Einstellung habe und nicht jedem Hans sein Vorlagenpfad hinterlegen muss. Da wir aber neben den allgemeinen Vorlagen dennoch auch gruppenbezogene Vorlagen haben, will ich das irgendwie steuern. Da bietet sich ja das ABE geradezu an. Die Unterordner haben verschiedene Zugriffsberechtigungen und ABE kümmert sich darum das nur die gesehen werden die einen auch was angehen. Office bietet auch nur diese dann an. Das gute an dem ganzen ist nun auch das die gruppenbezogenen Vorlagen in jeweilige Reiter zusammengefasst werden (zumindest bei uns im Office 2010). Es wird für uns einfacher zu administrieren, die Daten-Redundanz verschwindet und für jeden Benutzer ist der Pfad der Gleiche.
×
×
  • Neu erstellen...