kaineanung

Wie gesagt: war nur eine Idee von mir. Warum es keine gute Idee war weiß ich zwar immer noch nicht, aber ich vertraue euch voll und ganz und somit: keine gute Idee... Per Logon-Batch hat man kiene Admin-Berechtigung und das Registrieren funktioniert nur mit diesen. Also wird das registrieren so nicht gehen. Eventuell Startscript. Das funktoniert bei mir jedoch nicht richtig. Ich werde es aber später nochmals genauer ausprobieren mit dem 'zuerst kopieren (Logon-Script) und dann registrieren (per Startscript beim nächsten Neustart)'. War nur so eine Idee: warum unnötig kopieren wenn es 'zentral' vom Server auch geht? Ich weiß immer noch nicht warum das eine schlechte Idee ist aber ich lass es weil es eine schlechte Idee war. Wir verteilen unsere Software eigentlich per OPSI (habe ich aufgezogen hier). Da dieses Programm aber eine eigene VB6 Entwicklung ist, wird da eigentlich nichts installiert sondern eine Verknüpfung auf die EXE auf die entsprechenden Desktops gelegt (EXE befindet sich auf der Freigabe im FS) und die 3 OCX-Dateien registriert und das war es. Somit habe ich das Software-Paket nicht auf den OPSI Software-Verteilungs-und-Installations-Server gepackt sondern verteile die Verknüpfung per GPP. Ist aber auch egal da es ja um das Prinzip geht: wie automatisch Dinge per GPO/GPP ausführen die Adminberechtigung benötigen wie z.B. DLL/OCX zu registrieren.

Hallo Leute, bitte 'hängt' euch nicht auf das Ding mit den UNC-Pfaden. Bisher wurden Sie auch kopiert und das war jetzt nur eine Idee von mir UNC zu nutzen. Ist mir aber wurscht und ich kopiere es halt auch lokal wenn das so besser ist. Dabei fällt mir sogar spontan ein wie ich das per AD-Mitgliedschaften steuern kann -> Kopieren im Userkontext in ein entsprechendes Verzeichnis mit Userberechtigung und beim nächsten Neustart im Startscript die Registriereung ausführen. Die Frage ist aber: wie registriere ich das Ding? Es hat bei mir nicht geklappt. Vielleicht weil es ein UNC-Pfad ist?

Ich weiß halt nie ob ich sonst Informationen weglasse die wichtig wären. Daher lieber mehr als zu wenig Text. Ich versuche es in Zukunft zu reduzieren / optimieren ;) Versuche ich ja, aber gegen die Oberen kann man nicht immer gewinnen... und wenn der Teamleiter von Team2 gleich auch noch Teamleiter vom Team7 wird, dies aber 'Stiefmütterlich' behandelt, dann habe ich so ein widersprechende Organisationding. Daher habe ich auch ungebdingt gewollt das wir für alle im Hause ein Laufwerksbuchstaben haben der auf die Freigabe geht. Aber nein, fast alle (und nicht nur die Oberen) wollen ein eigenen Heimordner-Laufwerksbuchstabe. Und da gehen die Probleme los. Jetzt haben wir ein Kompromiss: 2 Laufwerksbuchstaben. Einer geht auf die Root-Freigabe (darunter liegt u.a. auch das Heimverzeichnis), der andere direkt auf das Heimverzeichnis. Damit habe ich noch nie gearbeitet weil wir bis vor der jetzigen Migration des FS ja mindestens 4 Laufwerksmapping haben und wir das früher per Logon-Batch & ifmember gemappt haben und jetzt über GPP & Zielgruppenadressierung. Da haben wir dann auch gleich das Homelaufwerk gemappt. Übrigens: Meinst du mit Homelaufwerk in der AD den Basisordner -> 'Verbinden von'? siehe oben mein beschriebenen Kompromiss mit der Obrigkeit -> habe ich als ein Laufwerksbuchstabe neben dem des Homeordner-Laufwerksbuchstaben.

Hallo Leute, ich habe hier ein kleines Problem bei dem ihr mir vielleicht behilflich sein könnt: Ich möchte bestimmte OCX-Dateien, welche sich auf einer Freigabe befinden, beim Client registrieren. Ich suche nun eine Möglichkeit dies per GPO zu machen statt bei allen betroffenen Clients hin zulaufen, mich als Administrator anzumelden und manuell zu registrieren. 1. Geht das per GPO ohne Script und wenn ja wie? 2. Geht nur per Script aber wohin dann damit? 2.1 In der Logon-Sektion wird es nicht funktionieren da das Registrieren Admin-Berechtigung benötigt. Also dann Start-Script. Wenn ich folgendes in die Batch reinschreibe: regsvr32 \\srv-daten\firma$\intern\Programmname\mscomct2.ocx /s passiert nichts. Die OCX wurde nicht registriert. 3, Kann ich das irgendwie über die Mitgliedschaft von Sicherheitsgruppen oder Verteilergruppen der AD steuern?

Ich finde bei der Zielgruppenadressierung unter 'Benutzer ist Mitglied der Sicherheitsgruppe:' 'PRIMÄRE GRUPPE'. Ich frage mich ob mir dies bei meinem Problem weiterhelfen kann? Ein User ist Mitglied seiner zugewiesenen Gruppe und dies ist die Primäre Gruppe, alle anderen Mitgliedschaften die durch Verkettungen der Sicherheitgruppe in anderen Sicherheitgruppen resultieren, sind dann sekundäre Gruppen? Könnte ja das sein was ich mir vorstelle.. Wenn ja: muss ich das irgendwo noch angeben oder irgendwas der Gleichen?

Nein, das Home-Laufwerk des Gruppenleiters ist T325GL, die seiner Mitarbeiter T325. Der Gruppenleiter ist Mitglied von T325GL, die Gruppe ist aber auch Mitglied der T325. Somit ist der Gruppenleiter Mitglied beider Gruppen (was ja Sinn hat da so verkettet auf der AD). So, jetzt will ich der Gruppe T325GL (also dem Gruppenleiter) sein Homelaufwerk auf T325GL mappen, wenn aber T325 in der Zuordnungsreihenfolge (GPP) vorher eintritt, so bekommt er dieses gemappt da er ja auch dort Mitglied ist. Die Frage ist: kann ich irgendwo bestimmen was die Primäre Mitgliedschaft ist und das soll zählen statt das von der AD 'aufgelösten Untermitgliedschaften' (ich kenne den Begriff dazu nicht)? Meinst du mich damit? Da mir viele Begriffe fehlen muss ich halt mit Erklärungen arbeiten bis mir jemand den Begriff an den Kopf schmeisst. Daher sorry, ich gebe mein Bestes...

Ich habe noch ein kleines Problem ermittelt: Mein Vorgesetzter will für eine gewisse Zeit 'zweigleisig' fahren was das Laufwerksmapping angeht. Wir reduzieren von momentanen 5 Mappings auf 2 (statt wie geplant auf 1). Einmal in die Share (also Root) die für alle gleich ist (G-Laufwerk) und einmal in das Home-Verzeichnis der zugehörigen Gruppe (H-Laufwerk). So, der Gruppenleiter der Gruppe T325 ist Mitglied der Sicherheitsgruppe "T325GL", seine Mitarbeiter sind Mitglieder der Sicherheitsgruppe "T325". Ich mappe die Laufwerke per GPP -> Benutzerkonfiguration->Einstellungen->Windows-Einstellungen->Laufwerkszuordnungen und nutze dort die Zielgruppenadressierung. Ich habe da dann viele G-Laufwerksmappings die sich in der Ziegruppenadressierung untersecheiden. Jetzt habe ich aber dank der Verkettung der AD-Sicherheitsgruppen ddie Gruppe T325GL ist Mitglied der Gruppe T325. Somit ist der Herr Gruppenleiter der Gruppe T325 Mitglied in beiden Gruppen und bekommt das Laufwerk zugeordnet was in der Reihenfolge priorität hat. Kann man das irgendwie anders beeinflussen statt die Reihenfolge beachten zu müssen? Oder ist auch dies die normale Vorgehensweise? Oder gibt es irgendwo ein Punkt 'Primäre Gruppe festlegen'? Denn bei der Zielgruppenadressierung habe ich gesehen das es eine Möglichkeit gibt die ungefähr folgendes aussagt: 'Nur wenn Mitglied der Primäre Gruppe'. Das würde mich hier jetzt interessieren wo ich das setzen kann und natürlich auch wider ob dies das Lehrbuchvorgehen darstellt? Wenn jemand meint dies würde sogar in einem neuen Thread besser untergebracht sein so gebet mir Bescheidu nd ich mache ein neues Thema auf.

"This Folder Only" ist wahrscheinlich die 'Technik' die ich nicht kannte und danach gefragt habe ob es irgendwas 'eleganteres' gibt statt jeden Projektordner 'händisch aufzubrechen' was die Vererbung angeht. Und ja, das war mein bisheriger Plan: jeder PProjektordner wird aus der Vererbung herausgenommen, "Domänen-Benutzer" (die Lesen-Berechtigung vererbt bekommen) entfernen und nur noch die spezifischen Sicherheitsgruppen anlegen. So, die Frage ist dann folgende: Wo genau breche ich die Vererbung auf und setze Domänen-Benutzer auf Lesen und zwar 'This Folder Only'? Ich habe einen Share auf dem ALLE Domänen-Benutzer lesend reinkommen. Darunter habei ch unterschiedliche Ebenen bei denen die Domänen-Benutzer nach und nach entfernt werden sollen. Also 1. Ebene: - Share (Domänen-Benutzer -> lesen) 2. Ebene: - Share\Austauschordner (Domänen-Benutzer -> ändern) - Share\Projekte (Domänen-Benutzer -> Lesen) - Share\Team1 (Domänen-Benutzer -> entfernt) - Share\Team2 (Domänen-Benutzer -> entfernt) 3. Ebene - Share\Projekte\Projekt1 (Domänen-Benutzer -> entfernt) - Share\Projekte\Projekt2 (Domänen-Benutzer -> entfernt) Meine Vorgehensweise wäre eben immer an der Stelle, an der Domänen-Benutzer -> entfernt werden, die Vererbunf aufzubrechen und Domänen-Benutzer eben rauslöschen. Wie ich dieses 'This Folder only' verstanden habe mache ich das dann so: 1. Ebene: - Share (Verebung abbrechen & Domänen-Benutzer -> lesen + "This Folder Only" 2. Ebene: - Share\Austauschordner (Domänen-Benutzer -> ändern) - Share\Projekte (Domänen-Benutzer -> Lesen + "This Folder only") - Share\Team1 (Domänen-Benutzer -> entfernt) - Share\Team2 (Domänen-Benutzer -> entfernt) Somit spare ich mir das immer wiederkehrende "aufbrechen" und setze nur dort, wo die Domänen-Benutzer reinschauen dürfen (auch wenn sie dann eventuell keine Inhalte mehr bekommen falls die ABE keine Inhalte findet in welchem sie berechtigt wären), "This Folder Only" mit lesen-Berechtigung. Ich werde dies in meiner Testumgebung mal umsetzen und schauen wie sich alles verhält. Aber Grundsätzlich an alle die Frage: Ist das dann die 'Lehrbuch'-Vorgehensweise? Ist das so okey und macht ihr das auch so oder so ähnlich? Nachtrag: ich merke gerade daß wenn ich auf 'Nur diesen Ordner' das Recht vergebe, ich dann natürlich nicht mehr in der Lage bin in diesem Ordner die Unterordner differenziert zu behandeln. Im Share haben alle Domänen-User Lesen. Sind sie einmal drinnen, sehen sie alle Teamordner (Team1, Team2, Team3 usw..) obwohl ich nur Team1 anziegen lassen möchte. Mit dem aufbrechen der Vererbung kann ich das so erreichen, mit der mir neuen Vorgehensweise ("This folder only") geht das leider nicht. Somit bleibt mir nur die Vorgehensweise mit dem aufbrechen der Vererbung an der Stelle wo ich diese benötige. Ich könnte natürlich die Teamordner in ein Sammelordner packen, nur an der 2. Ebene (gleich unter dem Share) die Verebung aufbrechen und dann die Unterordner mit "This Folder Only" bestücken. Aber irgendwie weiß ich nicht ob ich doch lieber die Vererbung aufbrechen will statt diese Vorgehensweise zu nutzen... Oder übersehe ich gerade irgendwas wichtiges dabei? 2. Nachtrag: Es scheint meinen Fileserver relativ wenig zu beeindrucken dieses 'Nur für diesen Ordner' bzw. 'This folder only'. Jeglicher Unterordner ist auch sichtbar in dieser gleichen Ebene und somit entfällt dieses Vorgehensweise für mich komplett. Somit bleibe ich bei der 'Vererbung aufbrechen'-Taktik... (sofern niemand hier widerspricht -> Eure Meinung ist mir am wichtigsten ;))

Das woltle ich wissen. Danke! Ja, das habe ich mir schon mal überlegt gehabt. Ich bin aber kein Ernster Typ und stehe auf Parodie und mache auch gerne Spaß und daß nie auf kosten anderer (ausser die wollen das so) sondern auf meine Kosten. Ich sehe das als eine Art 'aufhellen' der Gemüter, Unersthaftigkeit in ernste Themen bringen und alles ein wenig 'aufzulockern'. Also nicht nur mich sondern auch die 'Gegenüber'... Und wenn es jemanden belustigt mir zu schreiben das mein Name Programm sei: wenn ich ihn damit glücklich gemacht habe dann freut es mich ;) Aber irgendwann mal werdei ch vielleicht auch Ernst und dann ändere ich den Namen... Und was sagen die Bücher was man dann machen soll? Irgendwo passt es ja nicht das man sagt: macht flache Ordnerstrukturen und bildet keine Firmen-Organigrame auf dem Fileserver ab, sondern macht das mit einem Einstiegspuinkt für alle und flache Ordnerstrukturen. Wenn ich den Einstiegspunkt (Share) für die ganzen Domänen-Benutzer einrichte (lesend) dann MUSS ich ja diese Berechtigung auf Unterordner wegbekommen auf die nur bestimmte Sicherheitsgruppen lesenden Zugriff haben sollen. Ich kann dann entweder die Vererbung deaktivieren und die Domänen-Benutzer herausnehmen oder ich arbete mit 'DEny'-Regeln die noch seltener sind wie es mir scheint. Daher: was sagen denn diese Bücher wie man da dann machen soll? ABE habe ich aktiviert: die User sollen nur die Ordner sehen auf die sie Berechtigungen haben. Aber wenn Domänen-Benutzer das Recht 'lesen' haben -> dann ist das ja schon eine Berechtigung die das den Domänen-Benutzer erlaubt den Ordner zu sehen... und das will ich wegbekommen. Im einstiegst-Share (für alle gleich) sollen nur die Ordner angezeigt werden die einen was angehen und der Rest unsichtbar...

Danke! Und wegen dem Zitieren: werde ich mir merken ;)

Damit wir uns nicht falsch verstehen: Die User werden gar keine Berechtigungen auf dem Filserver haben sonder nur noch Sicherheitsgruppen in denen die User dann Mitglieder sind oder eben nicht. Wolltest du darauf hinaus? Ich will nur wissen ob das Unterbrechen der Vererbung ein Workaround / Hack ist oder ob das zum legitimen Arbeiten und dem korrekten Design der Filestruktur dazugehört? Ich werde niemals unterhalb der von mir verwalteten Ebenen irgendwleche Verebungen unterbrechen oder Sonstiges. Ich habe 2 Ebenen nach dem Einstiegspunkt 'Fimenname': \Firmenname\Markplatz \Firmenname\TeamX\TL \Firmenname\TeamX\TXK1 \Firmenname\TeamX\TXK2 \Firmenname\TeamX\TXXX \Firmenname\TeamX\TXXXGL \Firmenname\Projekte\ProjektX (X -> bestimmte Zahlen) So, alles was darunter ist geht mich nichts an und werde keine Administrativen Dinge machen. Ich will eben nur wissen ob ich an den Stellen wie z.B. ProjektX oder TXXXGL die Verebung unterbrechen darf und die 'nur lesen'-Domänen-Benutzer rausschmeissen darf damit nur noch der Berechtigte auf ProjektX zugriff hat und es da, dank ABE, auch nur sehen kann? Ist das eine normale Vorgehensweise? Ich bin noch relativ am Anfang der 'richtigen Administration' hier im Laden. Vor eineger Zeit, als ich hier reingekommen bin, hat man noch Novell genutzt ohen windows-Domäne oder der Gleichen. Ich arbeite immer noch mit einem W2K3 Fileserver den ich jetzt abschaffen will. Ich habe erst vor kurzem den einzigen DC von genau diesem Server getrennt und habe jetzt 2x DCs als W2K16 in der Domäne. Will damit sagen: langsam aber sicher arbeitei ch mich zu einer 'richtigen' und 'sauberen' Domäne heran. Batch-Programmierung dieser Art vielleicht irgendwann mal in 5 Jahren wenn die wichtigsten Systeme hier sauber und ohne Fehler laufen.... Dann kann ich dich ja immer noch fragen. Gruß an deine Mutter und ich drück ihr die Daumen noch viele weitere Geburtstage in Gesundheit zu erleben! Und allen anderen natürlich auch ;)

Mit AD-Gruppe habe ich Sicherheitsgruooe gemeint. Sorry für meine oftmals ungenauen Begriffe. Also ist das nicht Abwegig mit Unterbrechung der Vererbung zu arbeiten? Ich sehe da eigentlich auch keine andere Lösung und scheint ja relativ sauber zu sein. Wenn dem jetzt niemand mehr widerspricht, dann habe ich mich auf das Konzept festgelegt und so wird es gemacht. Und übrigens herzlichen Glückwunsch zum erreichen deiner Renten in bester Verfassung! Ist in unserem Beruf nicht selbstverständlich... ?

Hallo Leute, ich habe hier eine RDS-Farm (auch dank euch) die aus 4 Servern besteht: 2x SessionHost 1x ConnectionBroker, RD WebAccess und Lizenzierungsserver 1x Filseserver für die UserDesktopProfiles-Dateien Wenn ich das OS updaten möchte, kommt mir das zu Gute das die Sessionhosts redundant sind und ich auf dem ConnectionBroker festlegen kann das ein SessionHost nicht mehr verbunden werden darf. Ist dieser unbenutzt, kann ich updaten und eventuell auch neu starten sofern benötigt. Das kann ich allerdings bei den anderen beiden Servern so nicht tun und ich muss Nachts updaten in der Hoffnung das keiner drauf ist. Meine Frage ist nun: kann ich irgendwie alle Server Redundant gestalten so daß immer einer ausfallen darf ohne das der Betrieb aufgehalten wird dadurch? Kann ich einen 2. Connectionbroker, 2. Lizenzierungsserver (vielleicht nicht notwendig da die Welt nicht untergeht wenn einer gerade seine Lizenz nicht verlängern kann) und 2. RD-WebAccess aufstellen und so konfigurieren das alles Redundant ist? Kann man den Filserver redundant machen? Oder gibt es einen einfacheren Weg das alles zu aktualisieren ohne den Betrieb lange anzuhalten? ConnectionBroker, Lizenzierungsserver und RD-WebAccess könnten theoretisch ja auch kurz ausfallen -> niemand kann sich in der Zeit neu anmelden (die die angemeldet sind merken gar nichts davon). Aber spätestens beim Fileserver für die UDPs habei ch ein Problem mit dem Neustart des Fileservers. Am liebsten wäre mir natürlich alles Redundant zu halten. Wie macht ihr das so? Was ist zu empfehlen? Ist es bei ca. 70 RD-Usern überhaupt sinnvoll da groß was zu machen (ich kann es nicht einschätzen ob das bereits viel oder immern och wenig User sind für euch)?

Egal, ich bin schon bei UDP 33 von ca. 65... geht schon schnell... Danke dir auf jeden Fall sehr sehr! ;)

Hi, vielen Dank. Es hat geklappt. Ich hatte allerdings keine bak-Dateien zum löschen in der ProfileList aber ansonsten super. b***d ist jetzt nur das ich alle UDPs manuell mounten und die Berechtigung auf den Papierkorb vergeben muss. Alel UDPs in Benutzung darf ich nicht mounten (gehe ich von aus) und da muss ich eine Liste führen wer schon erledigt wurde und wer noch nicht... :( Aber egal, die Lösung ist da und auch sicherlich relativ schnell umsetzbar für ca. 70 UDP... DANKE!

Wenn ich Domänen-Benutzer in die AD-Gruppe 'p_Projekte_ro' aufnehme und an dieser Stelle (D:\Firmenname\Projekte) dieser Gruppe Leseberechtigung vergebe, so wird das ja ab da auch weiter runter vererbt und jeder Domänen-Benutzer hat wieder leserechte in allen Projekten. Das will ich auf gar keinen Fall. Auch will ich nicht das jeder User der auf bestimmte Projekte Zugriff hat, andere Projekte sehen kann. Was ich will ist das alle Domänen-Benutzer den Ordner 'Projekte' stehen und darunter nur noch die Ordner auf die sie irgendwelche Berechtigung haben und ansonsten soll es für die leer sein. Das schaffe ich nur wenn ich die Vererbung an der Stelle 'Projekte' unterbreche, richtig? Genau. Es geht nur um den 'Projekte-Einstieg'. Ich habe eine Freigabe die ich allen Usern mappe. Dies ist D:\Firmenname. Darunter habe ich mehrere Teamordner, ein Projekteordner und ein 'Austauschordner' (sozusagen wie ein Markplatz). Wenn die Leute auf ihr gemapptes Laufwerk gehen so sehen sie nur deren Teamordner (in welchem deren Gruppenordner sind und auch nur sichtbar wenn sie berechtigt sind), den Tauschordner (Domänen-Benutzer -> Änderungsberechtigung) und Projekte-Ordner (nur lesend zugriff). Unter 'Projekte' dann leer sofern sie keine Berechtigungen haben oder eben nur die Ordner sichtbar wo sie irgendwleche Berechtigungen habem. Das klappt auch wunderbar. Nur ist meine Frage ob das so korrekt umgesetzt wird wenn ich ein Projekt-Ornder anlege das ich dort die Vererbung unterbreche um die Lese-Berechtigung der Domänen-Benutzer zu entziehen? Ich will nicht auf was falschem aufbauen das mir später eventuell ein Strick um den Hals drehen könnte... Sorry, da verstehe ich nur Bahnhof. @all Ich wollte lediglich wissen ob diese Vorgehensweise, die Vererbung an der Stelle zu unterbrechen ab welcher eben nur noch bestimmte User Zugriff haben sollen, so durchaus praktiziert wird oder ob das nicht normal ist? \Share (Domänen-Benutzer -> lesen) \Share\Projekte (Domänen-Benutzer -> lesen) \Share\Projekte\Projekt1 (Domänen-Benutzer -> keine Berechtigung, p_Projekt1 -> ändern, p_Projekt1_ro -> lesen) Also muss ich bei '\Share\Projekte\Projekt1' die Vererbung unterbrechen, die nun in Kopie vorhandene 'Domänen-Benutzer' rauschschmeissen und entsprechend andere Berechtigungen anderer AD-Gruppen zuweisen, richtig?

Hallo Leute, ich habe da ein kleines Problem bei dem ihr mir vielleicht behilflich sein könntet? Ich habe eine Remote-Desktop-Farm aufgebaut Am Anfang der ganzen Corona-Pandemie so daß unsere User größtenteils auch von zu Hause arbeiten können. Das funktioniert auch prima und ist wie folgt aufgebaut: - srv-rds (RDS-Connection-Broker, RDS-WebAccess und RDS-Lizenzierungsserver) - srv-rdsh01 + srv-rdsh02 (Sessionhost-Server auf welchen die Benutzer dann umgeleitet werden beim Verbinden und dort dann auch arbeiten) - srv-profiles (Fileserver für die User-Profile-Disk der User) Habe eine Sammlung erstellt, beide SessionHost-Server hinzugefügt und angegeben das die User ihr Profil vom User-Profile-Disk-Fileserver beziehen. RDS-Lizenzen hinzugefügt und aktiviert und alles klappt wunderbar. Jetzt erst bemerke ich ein kleines Problem das ich gerne beheben wollen würde: Wenn ein User von seinem Desktop, oder aus anderen Bereichen die in der User Profile Disk gespeichert sind, etwas löschen möchte, so bekommt er die Fehlermeldung das er Administratoren-Berechtigung angeben muss um diese Datei zu löschen ("Sie müssen Administratorberechtigung angeben, um diese Datei zu löschen"). Dabei konnte der Benutzer genau diese Datei selber erstellen. Nur löschen geht nicht. Nach einigem Hin- und Her-Probieren ist mir aufgefallen das wenn ich am Papierkorb vorbei lösche, dies wie gewohnt klappt. Somit hat der User keien Berechtigung auf den Papierkorb! Dieser ist aber leer und ich habe zu keinem Zeitpunkt irgendetwas angegeben was dieses Verhalten erklären könnte! Kurz zusammengefsst: Der Remotedesktop-User hat keine Berechtigung Daten in seinen Papierkorb zu verschieben sobald die Daten aus seinem 'User Profile Disk' kommen (Desktop, Musik, Videos usw.. -> alles was in User Profile Disk gespeichert wird). Kann mir jemand sagen a) warum das so ist und noch interessanter b) wie ich das Problem beseitigen kann? Ich danke schon einmal im Voraus für eure Mühe und sei es nur das Lesen bis hierhin.

Ich war eine zeitlang nicht mehr im Forum und sehe das es aktivitäten gab in diesem Thread. Vielen Dank für eure Informationen. Bei uns zieht es sich gerade ein wenig (Kurzarbeit, Urlaub usw..) und das Thema wurde noch nicht von der Geschäftführung vorgetragen und somit noch kein OK geholt. Ich habe aber in der Testumgebung alles so eingerichtet wie ich es hier verstanden habe und werde auch zu jedem Projekt-Ordner 2 AD-Gruppen erstellen (p_Projektname und p_Projektname_ro). und diese entsprechend dem Ordner vergeben. Im Test sieht das schon alles gut aus. Ich habe nur noch nicht ganz verstanden ob meine Vorgehensweise des Anlegens eines neuen Ordners die Richtige ist: Ich habe ein neues Projekt und gehe auf dem Fileserver auf die Freigabe\Projekte und erstelle dort den Ordner (sozusagen Root-ordner des Projektes). Wir nennen den Ordner dann mal 'ProjektX'. Meine Freigabe ist auf der D-Partition und sieht folgenderma0ßen dann aus: 'd:\Firmenname\Projekte\ProjektX'. So, der Ordner 'Projekte' hat die Berechtigung 'Domänen-Benutzer' dürfen 'auflisten/lesen' so daß dieser Ordner bei allen angezeigt wird. Da nun die Berechtigungs-Vererbung das Recht an den Unterordner 'ProjektX' vererbt, deaktiviere ich auf dem Ordner 'ProjektX' die Vererbung, wandle dabei alle Berechtigungen in Kopien um und lösche dann 'TESTDOM\Domänen-Benutzer' heraus (ich habe noch TESTDOM\Domänen-Administratoren, SRV-FILE\Administratoren, Administrator, SYSTEM und ERSTELLER-BESITZER). Dann gehe ich hin und füge die AD-Gruppen 'p_ProjektX' und 'p_ProjektX_ro' hinzu und vergebe der 'p_ProjektX' das Schreiberecht und der 'p_ProjektX_ro' das Leserecht. Meine Frage ist ob diese Vorgehenseise dann so richtig ist? Ich muss ja die Vererbung an dieser Stelle unterbinden wenn ich nur den Benutzern den Ordner anzeigen lassen will welcher überhaupt auch irgendwelche Berchtigungen besitzen, richtig? Mir ist nur noch diese Stelle unklar und den Rest habe ich verstanden und soweit auch umgesetzt dank eurer hervorragenden Hilfe! Danke nochmals dafür!

Gute Idee mit dem regelmäßigem Löschen. Werde ich mal vorschlagen. Und wenn es nicht jeden Tag ist dann jedes WE oder im schlimmsten Fall an jedem Monatsanfang. Was das mit der DFS statt Laufwerksbuchstaben oder Shares angeht: wie sieht das dann aus? Wo findet man im Windows-Explorer dann seine Daten? Wo sind die gespeichert und wie wird das gesichert? (Zur Sicherung: da alles auf VMware läuft, ist es bei uns Veeam mit wem wir unsere Daten sichern werden.)

Ich bin mir nicht sicher ob ich das Alles jetzt auch komplett 'erfasst' habe. Wenn ja: ich denke ich weiß was zu tun ist. Wenn nein, kann ich die Frage erst stellen wenn es klar wird das ich noch irgendwas nicht bedacht hatte oder neue Probleme auftauchen. Momentan werde ich in unserer Testumgebung die 'fast finale' Sturktur erstellen und der Geschäftführung vorführen damit die dann entscheiden wohin wir wollen. Ich würde es wie im Eingagpost umsetzen: root | -- Ungesichert | -- T2 (das ist bei uns der Verkauf) | -- Mgmt (Der 'Arbeitsordner des Teamleiters T2) | -- T2K1 ('Arbeitsordner' der Koorinators 1 des Teams 2) | -- T2K2 ('Arbeitsordner' der Koorinators 2 des Teams 2) | -- T201GL (Gruppenleiterordner der Gruppe 201 | -- T201 (Gruppenordner der Gruppe 201) | -- T202GL | -- T202 | -- usw. | -- T3 | -- usw. | -- Projekte | -- 3D Druck | -- Projekt X | -- Gesundheitskreis | -- usw. Auf den Gruppen und Teamorndern gibt es lediglich eine AD-Sicherheitgruppe und die ist mit Änderungrechte ausgestattet. (Die Gruppenordner haben keine 'Read Only User). Auf dem 'ungesichert'-Ordner kann man Daten austauschen die in keine andere Kategorie fallen. Wird nicht gesichert und jeder Domänen-User hat Änderungs-Berechtigung. Der Ordner 'Projekte' hat erstmal 'nur Ordner-Auflisten' Berechtigung für alle Domänen-User. Darunter dann die einzelnen Projekte auf die 2 AD-Sicherheitsgruppen vergeben werden. Ein 'rw-acces' und ein 'ro-access'. Jenachdem wer was machen darf landet in der entsprechenden Gruppe. Ist man in keiner der Gruppe, so wird das Projekt gar nicht aufgelistet. Ist ein Benutzer also in keinem einzigen Projekt enthalten, so bleibt für ihn der Ordner 'Projekte' leer. Und die allergrößte Änderung die ich im Vergleich zu heute hätte: Nicht jeder User bekommt aufgrund seiner Gruppenzugehörigkeit ein Laufwerk gemappt direkt in sein Gruppenordner, sondern jeder bekommt ein Laufwerksmapping direkt in root rein und darf sich dann durchklicken bis zu seinen Ordnern. Da es ja nicht mehr 7 Ebenen gibt sondern 2 ist das vertretbar. Momentan hätten wir ein I-Laufwerk das in das 'ungesichert'-Ordner verknüpft für alle Domänen-User. Dann haben wir ein F-Laufwerk welches in die einzelnen Gruppen mappt. Somit steht dann hinter F: -> \\fileserver\root$\T2\T2K1\T201GL\T201 (oder auch \\fileserver\T201$ da wir Shares auf die einzelnen Gruppenordnern haben -> sehr viele Shares da viele Gruppen). Bei neuer Struktur würde f: dann wie folgt aussehen: \\fileserver\root$ und zwar für jeden. (root$ heisst es nicht wirklich, will es aber damit nur verdeutlichen. Heissen tut es Firmenname$) So, ist heir irgendwas unlogisches dabei? Habe ich das auch mit dem Laufwerksmapping so richtig verstanden und richtig umgesetzt? ich weiß das 'richtig' relativ ist unv von Anforderung zu Anforderung anders ist und von Vorlibe zu Vorliebe anders. Aber so grob in etwa ist es so wie ihr das meistens auch umgesetzt habt?

Ich weiß das. Leider weiß das der Chef nicht... und solange es 'nur' in einem Unterordner so ist bleibt es ja verwaltbar und überschaubar. Es ist so daß eine Userin irgendwas für die Chefs machen muss wo sie Informationen aus dem Unterordner benötigt wo nur die Chefs zugreifen können sollen. Dies aber eben nur auf diesen Unterordner und nur lesend. Ich werde versuchen eine andere Lösung für das Problem zu finden, aber falls ich es nicht schaffe, wollte ich lediglich wissen ob es eine systematische Lösung für das Problem gibt. Ich habe vor einigen Monaten von ABEs nichts gewusst. Ich hatte aber dieses Problem und die entsprechende Frage hier gestellt welches das aktivieren der ABE gelöst hat. Also gab es eine systematische Lösung damals für mein Problem. Ich dachte vielleicht gibt es ja wieder so eine Lösung für mein aktuelles Problem. Aber Recht habt ihr: sollte man vermeiden und 'keep it simple'. Wenn ich es schaffe es zu vermeiden: gut, wenn ich es nicht schaffe: dann bleibt mir eben in diesem Falle nichts übrig als manuell dafür zu sorgen daß die entsprechende Userin da lesend zugreifen können soll. Zu meiner Struktur die ich aufgezeigt habe: da ist nichts großes anzumahnen? Ich gehe davon aus daß dies gemeint ist mit 'nicht Firmenorganigram abbilden sondern flache Strukturen, am Besten Projektorierentier anzubieten? Ich habe jetzt Gruppenordner die flach sind und Projekt-Ordner denen man Firmenweit Mitgliedschaft vergeben kann. Das ist in etwa so wie bei euch? Wenn das so für uns passt und umsetzbar ist, dann sind wir auch in einer modernen Struktur angekommen? Nur noch zurück zum Thema 'Poweruser die die Gruppen selber verwalten': Das die Tools an Board sind (was ich so nicht wusste) ist eine Sache. Das diese Poweruser IT-Tools nutzen dürfen ist eine ganz andere Sache. Die sehen ja Domänenweit alle AD-Objekte (User, Sicherheitsgruppen, Computer) und können 'schindluder' damit treiben. Dies kann unabsichtlich sein, aber auch absichtlich. Ihr seid sicher das ihr ausserhalb der IT jemanden solch ein Werkzeug anvertraut? Ich bin mir immer noch nicht sicher ob wir vom gleichen reden? . . . Ok, ich habe es mir mal angeschaut und sehe das es nur eine Light-Version ist von der Verwaltung der AD. Kann das eigentlich JEDER so sehen oder braucht er entsprechende Berechtigung? Welche wäre das? Kann man da auch eingrenzen das ein Verantwortlicher nur in seinem Verantwortungsbereich, sprich nur in 'seinen AD-Sicherheitsgruppen' jegliche AD-User hinzufügen oder löschen kann?

Das will ich ja gerade wissen: wie ihr das macht. Damit kann ich mich ja orientieren und schauen was es so alles gibt. Wir waren uns vor einiger Zeit aber alle hier einig daß es so, wie wir das nun machen, niemand machen sollte. Damit meine ich das Firmen-Organigram abbilden auf dem Fileserver. Das kommt ja dann in etwa hin wie ich mir das vorgestellt hatte. Ich hätte eben nur statt einem Odernder "Department" gleich die paar 'Departements' (sind bei uns 5 Teams) unter Root nebeneinander aber den Rest dann doch noch einmal Gruppiert mit 'Projekt' und dann die einzelnen Projekte darunter (die sprechende Namen haben). Also in etwa so: - Team 1 - Gruppe 1-1 - Gruppe 1-2 - Gruppe 1-3 - Team 2 - Gruppe 2-1 - Gruppe 2-2 - Gruppe 2-3 - Team 3 - Gruppe 3-1 usw. - Projekte - Projekt 1 - Projekt 2 usw. - Ungesichert Ok, DAS wollte ich jetzt sehen. So ähnlich ist es mir schon durch den Kopf geschwirrt nur das ich eine AD-Sicherheitsgruppe habe die alles darf (wie eim EP beschrieben) und eine die nur lesen darf. Dann hätte jede Projekt-Gruppe 2 AD-Sicherheitsgruppen. Eine normale und eine 'nur lesen'-Gruppe. ABER: dann kann ich das zwar managen wer im dem Projekt alles darf und wer nur lesen darf indem ich die entsprechende Mitgliedschaft vergebe. Das Problem mit meiner 'Ausnahme' das jemand erst im Unterordner lesen darf, kann ich so auch nicht 'mit System' lösen sondern muss manuell auf dem Projektordner 'nur Ordner auflisten' vergeben und dann auf den Unterordner 'lesen' vergeben. Mit diesem Ansatz kann ich 'nur' (was ja trotzdem ein Fortschritt wäre) auf gleicher Ordnerebene bestimmen ob wer nur lesen oder auch schreiben und ändern kann. Das mit dem Verantwortlichen der Gruppe und vor allem des selber Pflegens verstehe ich nicht ganz. Oder vielleicht verstehe ich es und kann es nur nicht glauben: hat da dann der Verantwortliche Nicht-ITler die Active Direcotory Tools (RSAT) installiert und kann Benutzer und Gruppen managen? Nee, das muss ich komplett falsch verstanden haben... Wir haben hier hochqualifizierte Leute die wirklich gut in ihrem Job sind, aber den Knopf am Monitor zum PC-Ausmachen drücken... denen gebe ich sicherlich kein Management-Tool der IT in die Hand... Also, wie meinst du daß das die das Pflegen? Zu den ABEs auf den Shares: würden wir dann auch haben. Das bedeutet aber lediglich das die Ordner ausgeblendet werden auf die man keine Berechtigung hat, richtig? Oder war das auch noch für was anderes? Das kommt mir sooo bekannt vor. Ich glaube das dies eine allgemeine Vorgehensweise weltweit ist

Hallo Leute, wir sind gerade dabei die Struktur unserer Fileserver-Architektur zu ändern im Zuge der Migration von W2K3 auf W2K16. Ich soll ein Konzept erarbeiten und dann sehen wir weiter. Die Ordnerstruktur auf dem Fileserver ist der Firmenhierarchie nachempfunden. Dies ist so historisch bedingt weil vor vielen Jahren es noch überschaubar war und man konnte es leichter 'handeln' als jetzt. Daher ist das dann immer mehr gewachsen und es ist ausgeartet. Nach langem Suchen und intensiver Informationsbeschaffung kam ich zum Schluß: das wird so nicht empfohlen und man sollte es lieber 'Projektbasierend' gestalten. Max. 2-3 Ebenen und nicht starr an Teams, Gruppen und der Gleichen orientieren wie so eine Firma aufgebaut ist. Ok, habe ich verstanden. Alles wird zu Projekten, die Projektordner haben eine Sicherheitsgruppe in der andere Gruppen oder Userobjekte enthalten sind und der 'Einstiegspunkt' ist eine Freigabe die für alle gilt (bisher hat jede Gruppe, jeder Teamleiter und jeder Koordinator seine eigene Freigabe gehabt welche dann als sein Netzlaufwerk gemappt wurde). Wenn dies NICHT das gängige Konzept ist dann bitte hier einschreiten. Ich habe vor einigen Monaten hier und einem anderne Forum diesbezüglich mich beraten lassen und das ist dabei herausgekommen. Ich gehe davon aus das dies so der durschschnittliche Standard darstellt wenn ich halbwegs alles richtig verstanden hatte. Auch bin ich weg von haufenweise Berechtigungen auf der NTFS-Ebene zu setzen sondern die 'wer darf und wer nicht' der AD zu überlassen (Verkettung der Sicherheitsgruppen -> Koordinatorgruppe ist Mitglied der Teamleitergruppe, Teamleitergruppe ist Mitglied der Teamgruppe und auf NTFS-Ebene gibt es dann eine Sicherheitsgruppe die auf ihrem Ordner berechtigt ist). In Projekten bzw. deren Projektordnern sowieso. Nochmals: wenn ich mit diesem Konzept auf dem Holzweg bin, dann bitte ich um neue und bessere Konzepte bzw. Meinungen. Ich weiß nur das eine Firmen-Orninagram auf der Fileserver nicht wünschenswert ist (so der Tenor hier und im anderen Forum). So, soweit so gut. Jetzt kommt aber die Frage die mich sozusagen als letzter 'möglicher Stolperstein' beschäftigt: Es gibt immer Leute oder Gruppen die in bestimmten Ordnern nur lesend zugreifen sollen. Somit kann ich diese Leute ja nicht der Projekt-Sicherheitsgruppe zuweisen denn die dürfen ja mehr. Wie macht ihr daß das es überschaubar und verwaltbar bleibt? Mir scheint das Konzept hier nicht ganz aufzugehen. Denn wir haben ein Projekt 'VERTRIEBSDATEN' und dort diverse Unterprojekte. Jetzt soll eine Person, die nicht Mitglied der Sicherheitsgruppe 'VERTRIEBSDATEN' ist, aber in einem der Unterordner (die als Unterprojekte bezeichnet werden können) lesend zugreifen können. Wie macht ihr das? Wie löst man das am Besten? IST-Zustand: Root - Team 1 - Teamleiter 1 - Koordinator 1 Team 1 - Gruppenleiter 1 Team 1 - Gruppe 1 Team 1 - Gruppenleiter 2 Team 1 - Gruppe 2 Team 1 - Koordinator 2 Team 1 - Gruppenleiter 3 Team 1 - Gruppe 3 Team 1 - Team 2 - Teamleiter 2 - Koordinator 1 Team 2 - Gruppenleiter 1 Team 2 - Gruppe 1 Team 2 - Team 3 - Teamleiter 3 - Koordinator 1 Team 3 - Gruppenleiter 1 Team 3 - Gruppe 1 Team 3 - Koordinator 2 Team 3 - Gruppenleiter 2 Team 3 - Gruppe 2 Team 3 usw.. Jeder dieser Order hat eine Freigabe und dient als Mappings-Einstiegpunkt der einzelnen User die in den entsprechenden Sicherheitsgruppen sind. Davon wollen wir, auf die Empfehlung diverser User von mcseboard.de und eines anderen Borads, wegkommen. Angedacht ist folgendes: - root - Team 1 - Teamleiter 1 - Koordinator 1 Team 1 - Koordinator 2 Team 1 - Gruppenleiter 1 Team 1 - Gruppenleiter 2 Team 1 - Gruppenleiter 3 Team 1 - Gruppe 1 Team 1 - Gruppe 2 Team 1 - Gruppe 3 Team 1 - Team 2 - Teamleiter 2 - Koordinator 1 Team 2 - Gruppenleiter 1 Team 2 - Gruppe 1 Team 2 - Team 3 - Teamleiter 3 - Koordinator 1 Team 3 - Koordinator 2 Team 3 - Gruppenleiter 1 Team 3 - Gruppenleiter 2 Team 3 - Gruppe 1 Team 3 - Gruppe 2 Team 3 - Projekte - Projekt 1 - Projekt 2 - Projekt 3 Somit wird alles fast ganz flach, jeder wird nach root gemappt und sieht nur die Ordner auf die er berechtigt ist und muss sich durchklicken (was ja bei max. 2 Unterordner kein Problem darstellen sollte). Auch der Schwenk hin zu Projekten statt zu Gruppenordnern sieht man hier. Klar soll jede Gruppe auch ein Ordner haben für Daten der Gruppenbelange, aber das wird relativ wenig und alles verlagert sich auf die Projekt-Ordner (z.B. Vertriebsdaten wird ein Projekt mit eigener Sicherheitsgruppe auf der AD in denen dann die Mitglieder bestimmt werden. Sei es einzelne User oder ganze Gruppen). So, das nochmals bildlich dargestellt wie ich das damals von Foristen aus mcseboard.de und einem anderen Board verstanden hatte. Wenn ich auf dem Holzweg bin dann bitte einschreiten... Ich habe nun in einer Testumgebung das alles so nachgebildet und es scheint echt gut zu funktionieren und es ist viel einfacher zu managen. Vor allem in den Projekten können die Leute aus verschiedenen Firmengruppen nun teilhaben was sich bisher als extrem schwierig gestaltet hat (Ausnahmen bilden und Leuten mühselig Rechte auf der NTFS-Ebene vergeben daß sie sich a) durchklicken können bis zum entsprechenden Ordner und b) dort separat Berechtigungen hatten -> wird mit der Zeit unübersichtlich und unhandlebar). Jetzt einfach Mitglied der entsprechenden Sicherheitsgruppe (= Projektgruppe) werden und plötzlich sieht man es und kann teilhaben. ABER, und das ist jetzt meine Frage, wie sieht es mit den Leuten aus die in Projekt 1 nichts sehen sollen, aber in einem Unterordner des Projektes (sozusagen das Unterprojekt 1) lesend zugreifen können sollen? Muss ich dann in "Projekt 1-Ordner" dem User 'nur auflisten'-Berechtigung geben und dann auf dem Unterordener 'Unterprojekt 1' lesen-Berechtigung? Das wird sich dann aber auch schnell als unüberschaubar heraustellen und schwer verwaltbar... Aber eine andere Idee habe ich nicht. Somit die Frage: ist das so ok? Ist das so normal? Wie macht ihr das? Ich hoffe das mir jemand nun kurz vor der Ziellinie hilft damit das Migrationsprojekt des Fileservers nun umgesetzt werden kann. Danke schon einmal im Voraus für eure Hilfe! Danke das ihr bisher überhaupt gelesen habt bei so viel Text!

@daabm Ok, werde ich im Hinterkopf behalten. Jetzt versuche ich es dann doch mal selber. Bei der Hauptfirma habe ich es ja auch geschafft und dort ist auch ein von mir eingeführter Ubuntu-DNS-Server und da hattei ch ja noch weniger Erfahrung. Ich setze demote morgen den neuen DC, vorher übertragei ch die Rollen zurück an den SBS. Dann transferiere ich nochmals die DNS-Zonen an den neuen DNS-Server. Dann richte ich einen neuen DC ein ein und promte mal... wenn es dann nicht klappt... dann weiß ich auch nciht..

server5 -> alter SBS-Server srv-g-dc0 -> neuer DC W2K16 Events sind vom neuen DC da der SBS ja momentan offline ist und ich hier zu Hause darauf warte das jemand den morgen bei der tochterfirma einschaltet. Kennst du da jemanden? Was ist so der Stundensatz? Das schlage ich morgen früh meinem Vorgesetzten so vor.