kaineanung

Das verstehe ich leider nicht ganz. Worauf soll ich da genau achten? Ist es vielleicht das was du meinst: Die Templates sind Teil vom Server-OS. Dieses wird aktualisiert und eventuell landen neuere Templates in dem lokalen PolicyDefinitions-Ordner (durch den MS-Update) vom W2K16-Server. Um diese nutzten zu können sollte ich nach jedem Update den lokalen PolicyDefinitions-Ornder auf den SYSVOL kopieren damit dieser ebenfalls aktuell bleibt?

Ok, habe den kompletten Ordner \Windows\PolicyDefinitions nach SYSVOL kopiert und siehe da, es klappt! Danke!

Hallo Leute, da wir am letzten WE von W2K3 auf W2K16 migriert sind, möchte ich nun GPOs für unser Netzwerk nutzen (bisher waren wir mit LOGON.BAT unterwegs). Wie gewohnt öffne ich den GPEdit und kann mich durchklicken und alles Wünschenswerte einstellen. Jetzt möchte ich ein GPO-Template in Form von ADMX-Datei nutzen, und, nach kurzer Recherche, habe ich das Template auf der SYSVOL des DCs abgelegt, GPEdit neu geöffnet und siehe da, meine Templates sind unter den Administrativen Vorlagen gelistet. Was ja erst einmal super wäre WENN nicht dafür alle anderen Vorlagen verschwunden wären! Benne ich den Ordner 'policyDefinitions' nach z.B. 'policyDefinitionsORG' um, so verschwinden die neuen Vorlagen und die alten sind wieder da. Gibt es einen Weg damit ich beide habe? Ich habe auch Office-Templates die ich nutze, diese liegen aber in ADM-Format vor und kann diese in die Administratove Vorlagen 'hinzufügen'. Ich würde gerne beides haben und nicht immer mit dem Ordner umbenennen hin und her springen müssen (einmal erstellte GPOs brauchen den Vorlageordner nämlich nicht mehr und daher wäre das eine Notlösung. Aber das muss doch auch anders gehen, oder?). Gibt es also die Möglichkeit in der zentralen SysVol die benötigten ADMX-Dateien abzulegen und von dort aus zu nutzen UND die Standard-Vorlagen mit nutzen zu können?

Haha, ich habe es mir schon gedacht.. aber bei so einem sc*** gehe ich lieber auf Nummer sicher...;) Das Computerkonto ist nicht deaktiviert. Der Server war anno 2004 als DC UND Fileserver installiert. Jetzt ist es noch ein Fileserver bis ich in den nächsten Wochen auch diesen auf einen W2K16 migriere. Somit bleibt das Konto des ehemaligen DCs ja noch in der AD. Und wenn es anders wäre: Computer-Objekte in der AD darf man ja auch manuell löschen wenn man sicher ist daß diese nicht mehr benötigt werden (nach einem Crash eines Gerätes was die saubere Entfernung aus der AD nicht mehr möglich macht).

Echt jetzt?

Gut das du das ansprichst. Bei Gott, ich möchte hier keinen BER-Flughafen später haben... daher ist VORSICHT angesagt... Ich mach das jetzt mit dem Löschen... ja?

Und zu dem Thema mit dem Löschen des alten Servers in den Standorten? Einfach markieren und löschen? Ich mach da nichts kaputt? Es bleiben nirgends weitere Datenleichen übrig? Ich meine es hätte ja sein können man darf das auf gar keinen Fall und mann muss unbedingt Tool XY verwenden weil dieses alles richtig und sauber macht und der Gleichen.... Aber so gefällt mir das natürlich noch mehr: ich darf also einfach markieren und löschen? DNS ist so was von sauber. GC hat sich ausgetragen und der alte Server dürfte nirgends mehr berücksichtigt werden ausser das er noch eine Zeitlang ein Fileserver bleibt. Ich warte noch eine Antwort ab und dann löschei ch das Ding aus der Liste...

Also an dieserStelle einfach markeiren und löschen? Und das war es? Es bleiben nirgends irgendwelcher Müll zurück oder der Gleichen? Die meisten bei denen es nicht funktioniert haben in der Tat schnelle Festplatten... Ich werde wohl eine GPO erstellen die das Anmelden vor der Konnektivität verhindern soll aber nur bei Desktop-PCs. Kannst du mir zufällig gleich sagen wo ich diesen Eintrag finde? Andernfalls suche ich selber geschwind danach.. Danke für den Hinweis.

Hallo Leute, wir haben die Migration am WE durchgezogen. Gott sei Dank hat alles gut geklappt. An der Stelle des Demoten des alten DC-Servers habe ich an einer Stelle geschwind geschwitzt da ich, anders als bei meinen unzähligen Testläufen, die Zugangsdaten eingeben musste weil der alte Server die neue Domäne nicht gefunden hat und der Gleichen. Aber danach hat alles wunderbar geklappt. Naja, fast alles. Da wir übergangsweise noch auf eine 'LOGON.BAT' setzen (GPO ist bereits erstellt. Muss diese nur noch einbinden und dann testen und Abteilungsweise umsteigen), bekomme ich bei einigen PCs nach der Anmeldung keine Netzlaufwerke (die diese LOGON.BAT u.a. erstellt) und andere Dinge. Sprich: die LOGON.BAT wird nicht immer ausgeführt. Meist löst sich das Problem auf indem man sich einmal neu anmeldet (ab- und anmeldet, NICHT Neustartet). Ich vermute das die Anmeldung zu schnell nach dem Start ausgeführt wird so die Netzwerkschnittstelle noch nicht initialisiert wurde. Aber ok, das ist ein Problem das sich bald sowieso mit dem Umstieg auf GPO erledigt haben müsste. Was mich mehr wurmt ist folgendes: In den 'AD-Standorte und Dienste' habe ich unter 'Sites->First-Site-Name->Servers' noch den alten DC aufgelistet OBWOHL ich diesen 'demotet' habe und obwohl ich davor darauf geachtet habe den Globalten Katalog zu entfernen! (Das war eigentlich der Grund warum ich in meiner Vorgehensweise vor dem Demoten den Globalen Katalog entferne da ich in meiner Testumgebung dies damit geschafft habe den alten DC aus dieser Liste weg zu bekommen!). In meinem DNS-Server (übrigens: nach wie vor Bind auf Linux und scheint alles sauber vonstatten gegangen zu sein) ist der alte DC wie gewünscht automatisch verschwunden. Also hat das mit dem GC entfernen ja auch gut geklappt. Die Frage ist: Wieso zum Teufel ist der Server hier noch gelistet ('Active Directory - Standorte und Dienste'->'Sites'->'Default-First-Site-Name'->'Servers')?? Und die noch wichtigere Frage: wie bekomme ich ihn von hier sauber wieder weg? Nur löschen wäre sicherlich nicht sauber, oder?

Haha, der war echt gut! ;) Ist ja nicht so das ich nur an diesem Projekt arbeite... und lernen kostet ja auch Zeit... ;) Das die FSMO-Rollen im laufenden Betrieb übertragen werden weiß ich ja. Habe es in der Testumgebung ja breits x-mal gemacht. ABER ich habe einfach ANGST das nicht doch irgendwas schief geht und dafür würde ich sehr sehr gerne eine Sicherung des Servers haben für den SUPER-GAU, das 'worst case scenario'. Und was meinst du mit 'Systemstates'? Was ist 'GC'?

Hallo Leute, gutes neues Jahr wünsche ich euch erst einmal. Ich möchte meine DC-Migration an einem der folgenden WE angehen. Ich bin mir mittlerweile sicher daß wenn alle DCs heruntergefahren sind es keine Probleme mit USN-Rollback oder der Gleichen geben kann wenn ich den alten Server (der mit allen FSMO-Rollen) mit einem offline-Tool wie Acronis oder Ghost sichere (imagen). Da kann es ja keine Datenabweichungen in der Datenbank geben da kein DC online ist. Daher mache ich das am WE wenn das ganze Netzwerk nicht benutzt wird und die DCs heruntergefahren werden können (ich habe seit neustem einen neuen DC und eben den alten als Rolleninhaber -> der neue wird nur heruntergefahren, der alte heruntergefahren und gesichert). Was ich mir noch Bestätigen lassen wollte ist die Reihenfolge die ich mir so vorgenommen habe: 1. 2. DC herunterfahren (neuer DC mit W2K16) 2. 1. DC herunterfahren (alter DC mit W2K3) 3. Von beiden BIND9-DNS-Server (UBUTNU) Snapshot erstellen (Master & Slave DNS Server) und sicherheitshalber die Zonendateien sichern 4. 1. DC sichern mit Acronis oder Ghost (Image erstellen auf externen Datenträger) 5. 2. DC Sichern mit Snapshot (läuft auf VMWare als vrituelle Maschine) 5. beide DCs wieder starten 6. FSMO-Rollen übertragen (NTDSUTIL -> Roles -> Connection -> Connect to Server 2.DC -> zurück zu Roles -> transfer der Rollen (Domain Naming Master (heisst bei W2K3 noch so statt nur Naming Master), Schema Master, RID Master, PDC und Infrastructure Master) 7. alten DC herunterfahren und prüfen ob Domain funktioniert (z.B. Client-PC in Domäne aufnehmen & entfernen UND/ODER neuen User anlegen und mit diesem anmelden) 8. alten DC wieder starten 9. Globalen Katalog auf dem alten DC deaktivieren 10. alten DC nun demoten (da bin ich mir nun nicht sicher ob man 'dcpromo.exe' eingeben soll (da ja noch alter W2K3-Server) oder man über 'Rolle deaktivieren' im Servermanager gehen muss?) 11. Testen ob Domäne noch funktioniert. 11.1 Domäne funktioniert: super! Ich muss dann nur noch die Domänen- und Gesamtstrukturfunktionsebene auf das höchst-mögliche heraufstufen (W2K16) und alles prima. 11.2 Nachtrag: SYSVOL-Migration bzw. FRS (File Replication Service) nach DFSR (Distributed File System Replication) migrieren 11.3 Domäne funktioniert nicht: 11.3.1 alten ehemaligen DC1 und DC2 herunterfahren 11.3.2 beide restoren (alter DC vom Image restoren, neuen DC per Snapshot wiederherstellen 11.3.3 DNS-Server restoren (ebenfalls vom Snapshot) Nochmals zu euren Bedenken: Wie ich das verstanden habe können USN-Rollback-Probleme mich doch gar nicht treffen wenn ich sicherstelle das meine Domäne komplett heruntergefahren wurde und ich die Dinger ausschliesslich offline sichere und zwar ohne zwischen drinnen einen der Server wieder zu starten. Beide Server heruntergefahren haben den gleichen Stand von dem gleichen Zeitpunkt. Wenn man das jetzt sichert gibt es keine Diskrepanzen... Ist meine ToDo-Liste so plausibel? Habe ich womöglich noch irgendwo was vergessen? Ich habe die Migration in meiner Testumgebung schon x-mal durchgespielt (nur das ich immer von W2K16 auf W2K16 migriert bin statt von W2K3 auf W2K16 (bis auf das erste mal vor paar Monaten)) und meine Testdomäne funktioniert nach wie vor.... Ich bin mir nur an einer stelle nicht mehr sicher ob dcprmo.exe oder über den Servermanager der W2K3-DC demotet wird.

Das ist aber immer nötig wenn die Leute unterhalb dem Share nur ihre Ordner sehen sollen. Da der Share mit 'Domänen-Admin' - > 'Lesen' ausgestattet ist, muss hier die Vererbung unterbrochen werden und 'Domänen-Admins' entfernt. Denn ab hier sind die einzelnen Unterordner in dieser Ebene nur explizit für die entsprechenden AD-Gruppen freigegeben was ändern aber auch lesen angeht. Also habe ich das hier schon richtig verstanden gehabt? Share (Dom-User 'lesen') -> T3 (Unterordner des Team 3 -> Dom-User entfernen & T3 (AD-Gruppe) hinzufügen und auf 'ändern' setzen) Share (Dom-User 'lesen') -> T301 (Unterordner des Team 301 -> Dom-User entfernen & T301 (AD-Gruppe) hinzufügen und auf 'ändern' setzen) usw..

@MurdocX Habe ich das dann so richtig verstanden: 1. Erweiterte Freigabe sollen 'Authentifizierte Benutzer' das Recht 'Ändern' bekommen. 2. NTFS sollen 'Authentifizierte Benutzer' das Recht 'Lesen' bekommen. 3. In allen Unterordnern soll dann 'Authentifizierter Benutzer' entfernt werden und hier greifen dann nur noch die explizit gesetzten Berechtigungen. Somit können alle User in die Share erst mal lesend 'reinspringen' und in jeglichen Unterordnern dann je nachdem was gesetzt wurde explizit für die Gruppen. ABER: das heisst jedoch daß ich tatsächlich die Vererbung an dieser Stelle für jegliche Unterordner (also direkt in der Share-Ebene) deaktivieren müsste (Kopieren der Berechtigungen statt zu löschen und dann 'Authentifizierte Benutzer' entfernen). Ist das richtig so? Denn genauso habei ch es verstanden und auch in meiner Testumgebung umgesetzt. Scheint gut zu funktionieren. Ich war mir lediglich nicht sicher weil ich die Vererbung da unterbrechen musste und Berechtigung entfernen musste für jeden Einzelnen Ordner in dieser Ebene.

Naja, Projekte kommen wohl auch bei uns öfters. Ich meinte nur die Firmenstruktur und die daraus resultierende Gruppen ändern sich nicht allzuoft. Ich habe aber 2 Ordner für diese jeweiligen Belange: Gruppen-Ordner und Projekte-Ordner (so ist zumindest der Plan). Projekte werden definitiv Flach angelegt im Root des 'Projekte-Ordner' - Projekte -- Projekt1 -- Projekt2 usw.. AD-Gruppe Projekt1 wird angelegt und hat in \Projekte\Projekt1 Vollzugriff. AD-Gruppe Projekt1 werden Mitglieder die Gruppen, aber auch die einzelnen User der betreffenden Projektzugehörigen. Die Gruppen-Struktur der Firma möchte ich aber nach wie vor beibehalten da es viele Daten gibt die eben keinem Projekt zugeordnet sind sondern den Teams und den Gruppen. Daher das oben genannte mit - T2 -- T2 Mgmt -- T201 --- T201 Mgmt --- T201 Daten usw.. Hat ganz am Anfang der @Dukel so vorgeschlagen. Ich überlege mir da nur noch ob ich den 'T2xx Daten'-Unterorder so brauche oder der übergeordnete 'T201' Ordner als Datenordner fungieren kann und der Unterordner 'T201 Mgmt' bestehen bleibt nur mit Leseberechtigung für das Management (also Vererbung deaktivieren und nur das Management Vollzugriff geben).

Ich habe mir das so auch überlegt wie ich das mit den Projekten mache und dann beschlossen daß dies sicherlich nicht eine gängige Methode ist. Ich habe bei diesem Satz aufgehorcht weil es eventuell dann doch nicht so abwegig ist für ein Projekt eine AD-Gruppe zu erstellen und die User diesem dann angehören die damit zu tun haben statt auf NTFS-Ebene jede einzelne Gruppe aufzunehmen oder rauszuschmeissen. Dadurch wäre auch der Vorteil da einzelne USer in das Projekt aufzunehmen. Bei den Projektordnern kann man dann so vorgehen, richtig? AD-Gruppe 'Projekt1' erstellen und alle Gruppen ODER auch einzelne User als Mitglieder aufnehmen STATT auf Projekt1-Ordner hat Berechtiguung der Max Mustermann, TGL201 und T302 (als Beispiel). Neue Gruppen nur dann wenn sich die Firmenstruktur ändert. Also alle Jahre mal wieder... Lass das mit dem 'verunsichert sein' nur mal mein Problem sein. Verglichen was wir bisher hier geführt haben ist jeder Schritt eine Innovation... Notfalls behalten wir einfach die Struktur bei die wir jetzt haben. Läuft schon mindestens 15 Jahre so. Und mein Wissen ist ja jetzt auch nicht 'gar nicht vorhanden' und ich lasse mir mein Wissen lieber bestätigen als davon auszugehen das es so stimmt wie ich denke. Daher sind meine Fragen auch 'tiefgreifender'...

Darum habe ich euch hier gefragt: wie macht ihr das (zumindest die die Fileserver nutzen und kein DMS) damit es wartbar ist? Ich will ja keine Super-Sonderlösung sondern bin offen für Vorschläge die BESSER und WARTBARER sind als das Firmenorganigramm welches wir momentan haben. Und das auch nur deswegen weil man mir dies hier in der Vergangenheit 'nahegelegt' hatte weil das ja verphöhnt ist das Firmenorganigramm star im Fileserver abzubilden (-> ist schwer wartbar). Jetzt habe ich mir erkären lassen wie es besser wre, und jetzt kommst du und sagst: nicht wartbar. Ok, wie ist es wartbar? Was hält ihr (insbesondere @magheinz) von einer absolut flachen Organisation der Daten fast wie Projektordner nur eben Gruppen- und Team-Ordner nebeneinander? T2 TGL201 TGL202 T201 T3 TGL301 TGL302 T301 T302 usw.? Ich habe ja jetzt 3 mögliche Strukturen. 1. Diese gerade angesprochene absolut Flache 2. Die die ich die ganze Zeit bespreche und abgebildet habe - T2 -- T2 Mgmt -- T201 --- T201 Mgmt --- T201 Daten usw. 3. Die bisher genutzte Struktur welche das Firmen Organigramm abbildet. IRGENDWAS wird ja wartbar sein! Denn hier sind sicherlich die meisten OHNE DMS unterwegs. Daher: was nutzt ihr, was ist wartbar und was schlägt ihr vor? Schade das es hier kein Votingsystem gibt denn jetzt hat mich @magheinz echt verunsichert...

Ich habe es so langsam so hingebogen damit es für mich passt. Die Fragen aus meinem letzten Post hätte ich aber schon noch gerne beantwortet bekommen: (@lefg Sorry, deine Antwort hat es mir nicht konkret beantwortet) Und noch eine Verständnisfrage: Gruppen - T3 <-- LESEN T3 (+ Vollzugriff), TGL301, TGL 302, T301, T302, usw. (Eben alle T3xx) -- T3 Mgmt <-- VERERBUNG DEAKTIVIEREN, Alle ausser T3 rausschmeissen -- T301 <-- VERERBUNG DEAKTIVIEREN. Nur T301 und TGL301 lesen belassen + TGL301 ändern hinzufügen --- T301 Mgmt --- T301 Daten <-- T301 mit ändern erweitern Ich muss ja in so einer Struktur viel mit 'Vererbung deaktivieren' arbeiten. Ist das korrekt so? Von oben herab müssen alle Gruppen im T3-Strang lesend zugreifen können damit sie sich ja bis zu ihrem Ordner durchnavigieren können. Das was dann die einzelnen Gruppen nicht sehen sollen, muss Berechtigungs-technisch entzogen werden (z.B. Bei 'T3 Mgmt' hat nur der Teamleiter T3 was zu suchen -> nur er soll es auch sehen können -> Verebung deaktivieren & alle rausschmeissen ausser T3). So muss ich dann auch bei den Gruppenordnern T301 usw. verfahren (T301 -> Vererbung deaktivieren -> alle Rausschmeissen ausser T301 und TGL301). Ist das so die richtige Vorgehensweise?

Ich habe mich ein wenig durchgelesen und durch-'gewurstelt' und habe es so in der NTFS-Berechtigung so hinbekommen wie ich es haben möchte. Wenn ich per '\\srv-daten\Gruppen' (Gruppen = Freigabename) hinein 'navigiere', so bekomme ich auch nur das angezeigt worauf ich Berechtigung habe. Alles andere (dank des ABE würde ich sagen) wird ausgeblendet und dies zieht sich hinunter bis zur letzten Ebene die ich definiert habe (z.B. T301 -> \\srv-daten\Gruppen\T3\T301\T301 Daten). Problem ist: wenn ich per Laufwerksbuchstabe G:\ hinein navigiere, sehe ich nichts mehr WENN 'Im Sicherheitskontext des angemeldeten Benutzers ausführen' der Haken gesetzt ist! Wenn der Haken NICHT gesetzt ist dann sehe ich wieder das gewünschte Ergebnis. Ist das normal? Soll das so sein? Ich dachte das Mapping soll im Sicherheitskontext des angemeldeten Users sein? Als T3xx sehe ich über '\\srv-daten\Gruppe' -> T3 (sonst nichts. Also wie gewünscht) Als T3xx sehe ich über 'G:\' -> T3 (Wenn der Haken beim GPP Laufwerksmapping NICHT gesetzt ist 'Im Sicherheitskontext als Benutzer') Als T3xx sehe ich über 'G:\' -> nichts (Wenn der Haken beim GPP Laufwerksmapping gesetzt ist 'Im Sicherheitskontext als Benutzer') Beide sind ja Einstiegspunkte über die Freigabe und somit sollte das doch gleich sein, oder nicht? Ist das normal? Kann mir jemand das Erklären? Soll das so sein? GPO/GPP -> Beutzerkonfiguration -> Einstellungen -> Windows-Einstellungen -> Laufwerkszuordnung -> G:\ -> \\srv-daten\Gruppen (Gemeinsame Optionen -> KEIN Haken bei 'Im Sicherheitskontext des angemeldeten Benutzers ausführen (Benutzerrichtlinienoption)) Ich frage nur weil mich das etwas irritiert weil ich bisher davon ausgegangen bin das gerade hier im 'Sicherheitskontext des Benutzers' aktiviert werden sollte. Da dies nicht der Fall ist, ist mir jetzt klar. Aber ich wütrde es mir gerne nochmal von einem Profi bestätigen lassen daß es so korrekt ist. Ansonsten hätte ich es ja so wie ich haben wollte. Nur nochmals zu erwähnen daß ich gelesen habe daß die Freigabe auf 'Jeder' - > 'Vollzugriff' (alternativ eben 'Domänen-Benutzer' -> 'Vollzugriff') stehen sollte und die NTFS-Sicherheit die 'Arbeit' überlassen soll. Das habe ich gemacht und es klappt wohl auch. Aber hier hat jemand erwähnt gehabt daß die Freigabenberechtigungen über den der NTFS stehen. Ist das dann doch andersherum oder verstehe ich hier irgendwas falsch?

Ich glaube ich habe mich nicht verständlich mitgeteilt und daher vielleicht lieber visuell zeigen wohin ich will: Vorab Erklärung zu den AD-Gruppenbezeichnungen T3xxx: T3 -> Teamleiter) T3K1 oder T3K2 oder T3Kx -> Koordinator welcher eine oder mehrere untergebenen Gruppen leitet TGL301 oder TGL302 oder TGL30x -> Gruppenleiter T301 oder T302 oder T30x -> Gruppen Root | Gruppenordner <-- Freigabe für alle Domänmen-User- Dies ist auch der Einstiegspunkt für das Laufwerkmapping (g:) aller User | T0 <-- Alle T0xx sehen diesen Ordner und dürfen sich durch diesen durchnavigieren. ALLE ANDEREN sehen diesen Ornder nichteinmal. | T1 <-- Siehe T0, nur eben für T1xx | T2 <-- Siehe T0, nur eben für T2xx | T3 <-- Alle T3xx sehen diesen Ornder und dürfen sich durchnavigieren. |--- | |--- T3 Mgmt <-- dieser Ordner wird nur von T3 gesehen (Teamleiter) und dieser darf alles ändern | |--- | | |--- T301 <-- dieser Ordner wird von T3, T3K1, TGL301 und T301 gesehen. Jedoch nicht von anderen Team-Leitern & Mitgliedern neben T301 (z.B. T302) | | | | | |--- T301 Mgmt <-- wird von T3, T3K1 und TGL301 gesehen und bearbeitet | | |--- T301 Daten <-- wie T301 Mgmt + normale Gruppenmitglieder | |--- T302 <-- Reverse-Beispiel: wird NICHT von TGL301 und T301 gesehen! | |--- T303 | |--- usw. | T4 | usw. Beispiel Mitglied der TGL301 (alles was dieser sehen kann): G: | T3 |--- | |--- T301 | | | |--- T301 Mgmt <-- hier darf auch geändert werden | |--- T301 Daten <-- hier darf auch geändert werden Beispiel T301 (alles was dieser sehen kann): G: | T3 |--- | |--- T301 | | | |--- T301 Daten <-- hier darf auch geändert werden Beispiel T3 (alles was dieser sehen kann): G: | T3 |--- | |--- T3 Mgmt <-- hier darf auch geändert werden | |--- | |--- T301 | | | | | |--- T301 Mgmt <-- hier darf auch geändert werden | | |--- T301 Daten <-- hier darf auch geändert werden | |--- T302 | | | |--- T302 Mgmt <-- hier darf auch geändert werden | |--- T302 Daten <-- hier darf auch geändert werden usw. Ich möchte, weil mir das hier als 'richtig' erklärt wurde, das alle in G:, also im Root-Ordner, also der Freigabe einsteigen. Jegliche T3xx-Mirglieder sehen nur den T3-Ordner und alle anderen sind ausgeblendet. Unter dem T3-Ordner (also in der nächsten Ebene) sieht T3 (Teamleiter) die Ordner 'T3 Mgmt' und alle Untergruppen T3xx. Alle anderen T3xx-Mitglieder sehen nur DEREN Teamordner (z.B. T301). Unter dem Teamordner (z.B. T301) sieht der TGL301 (Gruppenleiter) den Ordner 'T3 Mgmt' und 'T3 Daten'. Die anderen nur 'T3 Daten'. So, wie weise ich den Fileserver an das er dies so umsetzt? Alle steigen im Root ein und sehen aber nur ihren 'Strang'. T3xx sieht keine T0, T1, T2, T4, usw. Ordner in der obersten Ebene.

d:\Firma\Gruppe -> Berechtigung 'Domänen-Benutzer -> Lesen' (Ändern sollen die ja nicht können bis in ihre Ebene in der sie Berechtigung haben. Und bis zu dieser Ebene eben nur Ornder lesen damit man sich 'durchanvigieren' kann). Dann habe ich im gleichen Ordner die NTFS-Berechtigungsvererbung deaktiviert. ABE ist aktiviert. Nutzt alles nichts... :(

Ich weiß das dies 2 verschiedene Dinge sind. Ich weiß das auf dem Share die Rechte vom Share höher sind als die von NTFS. Ich weiß nur nicht wie die Lösung meines Problems zu bewerkstelligen ist... Kann ich ein Share erstellen und die Vererbung der Berechtigung auf die Unterordner deaktivieren? In NTFS dann einstellen: T3xx darf nur lesen auf T3 und auf dem Rest nicht?

Ist es aber nicht andersherum was ich haben will? Ich will das die User 'nicht-lesen' sollen ausser 'ihren Strang'. T301 sieht folgendes wenn er auf sein gemapptes g: im Windows-Explorer sieht: G:\ T3 <- nur das, nicht mehr. Kein T0 oder T2 oder sonstiges sehen - T301 <- nur das, kein T3 Mgmt sehen -- T301 Daten <- nur das, kein T301 Mgmt sehen Der User TGL301 sieht folgendes: G:\T3 - T301 -- T301 Mgmt -- T301 Daten T3xx sieht im G: (Root) NUR sein T3 T2xx sieht in G: nur sein T2 usw.. Soll ich da die Vererbung von der Freigabe deaktivieren und manuell im ersten Unterordner Rechte vergeben? Die werden ja ab da weiter herunter vererbt. Das muss ich für jeden Team-Root-Ordner machen (T0- Tx).

Verstehe ich leider nicht. Also, die ganze Struktur sieht so aus: D: - Firma -- Gruppenordner <-- Freigabe 'Jeder -> lesen' --- T1 --- T2 --- T3 <-- T3 -> ändern, Rest T3xx soll nur Ordnernamen auflisten können (->'durchnavigieren'. Sonstige Inhalte sollen nicht gezeigt werden). Alle Anderen sollen den Ordner nicht sehen ---- T3 Mgmt <-- T3 -> ändern. Alle anderen sollen ihn nicht einmal sehen ---- T301 <-- T3, TGL301 und der entsprechende Koordinator (z.B. T3K1) ändern, T301 Ordnername auflisten (-> durchklicken im Explorer zum T301 Daten-Ordner). Fü alle anderen nicht sichtbar. ----- T301 Mgmt <-- T3, TGL301 und T3K1 ändern, für alle anderen unsichtbar ----- T301 Daten <-- T3, TGL301, T3K1 und T301 ändern. Alle anderen unsichtbar ---- T302 ----- T302 Mgmt ----- T302 Daten ----- T304 usw. --- T4 usw. So, ich habe auf den Ordner 'Gruppenordner' eine Freigabe damit den User deren 'G:'-Laufwerk da hingemappt werden kann. Ich möchte das es wie folgt aussieht wenn der User sein G:-Laufwerk öffnet: Ebene 1 ist T1, T2, T3, usw.. Ebene 2 ist T3 Mgmt, T301, T302, usw. Ebene 3 ist T301 Mgmt, T301 Daten, T302 Mgmt, T302 Daten, usw.. User | Ebene 1 | Ebene 2 | Ebene 3 T3 | T3 sichtbar | alles änderbar | alles änderbar T3K1 | T3 sichtbar | T301 sichtbar | alles änderbar TGL301 | T3 sichtbar | T301 sichtbar | alles änderbar T301 | T3 sichtbar | T301 sichtbar | T3 Daten änderbar Was kann ich tun um die Berechtigung so zu legen damit die User nur Ihren Strang durchklicken können ohne Inhalte zu sehen bis sie an Ihrer Berechtigungsebene angelangt sind? T301 sieht also nur das und kann auch nur das ändern: T3->T301 -> T301 Daten TGL301 sieht folgendes und darf dort ändern: T3 -> T301 -> T301 Mgmt -> T301 Daten T3 sieht folgendes und kann dort ändern: T3 -> T3 Mgmt -> T301 -> T301 Mgmt -> T301 Daten usw.

Ach so, ich habe nicht richtig aufgepasst gehabt beim lesen und achte das wäre wieder ein Kürzel irgendeiner Technologie wie ABE oder ACL o.ä. Sorry dafür. @all So, ich habe auf meinem Testserver nun ein Ordner mit einer Freigabe angelegt. Jeder 'lesen' in der Freigabe selber. Das ist natürlich b***d denn da kann auch das ABE nichts machen ausser jedem die Ordner und die Inhalte anzeigen. Dann habe ich auf Fileebene (ACL) die entsprechenden Berechtigungen angelegt: T3 - T3 Mgmt - T301 -- T301 Mgmt -- T301 Daten - T302 -- T302 Mgmt -- T302 Daten usw. Auf der AD habe ich genau die gleichen Sicherheitsgruppen (T3, T3K1, TGL301, T301, TGL302, T302, usw.) Wenn sich nun ein Mitglied von T3 anmeldet, soll er ALLES ab T3 sehen und ändern können, Der T3K1 alle T301 und T302 (Beispielsweise. Eben die Gruppen die er Koordiniert), der TGL 301 ab T301 alles und der T301 nur ab 'T301 Daten'. Alles andere soll nicht nur nicht-zugreifbar sein sondern ausgeblendet werden. Ich habe die 'Zugriffsbasierte Aufzählung aktivieren' aktiviert, hat nichts gebracht. Aber ist ja auch klar: Die Freigabe besagt Jeder - > lesen und daswird nach unten vererbt. Daher habe ich ziemlich am Angfang auch gefragt gehabt wie man das so einstellt daß die Subordner das nicht erben, ODER ich muss bei jedem Subordner der 1. Unterebene (und dann nur dort weil der Rest ja vererbt wird) daran denken Das vererbte 'Jeder - Lesen' rauszuschmeissen. Daher müsste iach auch auf dieser Ebene Die Vererbung von darüberliegenden Ordnern abschalten. Richtig? Oder wie mache ich das richtig? Bis jetzt war es so daß die User direkt in Ihre Ordner gemappt wurden bzw. ab da wo sie Berechtigung haben und somit hat sich diese Frage ja erübrigt gehabt. Wenn jetzt alle in der Freigabe einsteigen, muss ich alles ausbelnden und Berechtigung entziehen allen anderen Strängen ausser beim eigenen...

Ja, sind sie natürlich auch bei mir hier. Ich habe jetzt allgemein sagen wollen daß keine User Berechtigungen haben sondern nur Gruppen und diese User sind dann eben Gruppenmitglieder. Und somit ist das ja so ungefähr das was du beschrieben hast. JAW ist was genau? Das sagt mir nämlich nichts...