NilsK

Moin,

wenn du Domäne B in Domäne A migrierst, brauchst du keinen zusätzlichen DC.

Der Rest ist natürlich berechtigt - eine Vertrauensbeziehung ist in Minuten eingerichtet, eine Migration wird geringfügig länger brauchen.

Gruß, Nils

Moin,

du bist lokaler Admin auf der Maschine? Dann grätscht vermutlich UAC dazwischen.

faq-o-matic.net » Benutzerkontensteuerung (UAC) richtig einsetzen

Der dort geschilderte Fall ist zwar etwas anders gelagert, könnte hier aber auch zutreffen: In Wirklichkeit wird dein Home sehr wohl gemappt, allerdings zu einem frühen Zeitpunkt im Anmeldeprozess, in dem dein Admin-Token noch vollständig ist. Durch UAC hast du beim Aufbau des Desktops aber nur noch das reduzierte Token. Und mit dem darfst du nicht auf das Laufwerk zugreifen, dem das volle Tolen zugewiesen ist.

Abhilfe: Die normale Arbeit mit einem normalen Benutzerkonto durchführen.

Gruß, Nils

Moin,

der Schutzmechanismus nennt sich UAC.

faq-o-matic.net » Benutzerkontensteuerung (UAC) richtig einsetzen

Remote dürfte der sich eigentlich nicht dazwischenstellen. Da du aber psexec nutzt, arbeitest du ja quasi lokal. Welche Fehlermeldung erhältst du denn?

Deine Methode ist allerdings auch nicht besonders elegant. Warum nutzt du z.B. keine Gruppenrichtlinien, um Registry-Einträge zu setzen?

Gruß, Nils

Moin,

sofern ihr im Moment des vermuteten Zugriffs keine Überwachung ausdrücklich definiert hattet, gibt es darüber keine Daten.

Gruß, Nils

Moin,

so:

faq-o-matic.net » Kleines Update für José

Gruß, Nils

Moin,

hm ... seltsam. Genau dieses Kommando funktioniert in meiner Testumgebung problemlos und macht, was es soll: Die Berechtigungen der angegebenen Domäne sind hintherher weg.

Kann der Domänenname während der Ausführung aufgelöst werden, d.h. ist ein DC der Domäne erreichbar? In der Referenz heißt es ja:

For every SID in the ACEs of the ACL(s), the name of the domain and user/group of the corresponding account is looked up. If the domain name is equal to the domain name 'n1' specified, the ACE is deleted in the case of 'remdom'.

Gruß, Nils

Moin,

das kannst du gar nicht lösen, weil ein normaler User nun mal keine Schreibrechte in HKLM hat ...

Lösung: Ausführen als Startskript oder Setzen der Werte per GPO.

Gruß, Nils

Moin,

ja, besonders an dem Ergebnis für setACL bin ich interessiert. Das hat in mehreren Situationen funktioniert, aber in einer großen Umgebung aus unbekanntem Grund leider nicht.

Gruß, Nils

Moin,

ein gesperrter Bildschirmschoner?

Gruß, Nils

Moin,

das Umbenennen verändert nur den Eintrag im Verzeichnis, aber nicht die Datei selbst. Daher wird das Datum nicht geändert. Das halte ich auch durchaus für richtig, weil es in den meisten Situationen so gewünscht sein dürfte.

Es wird beim Umbenennen allerdings das Archivattribut gesetzt - wenn du deinen Job also nicht auf die Zeit, sondern auf das Archivattribut orientierst, sichert er die Datei. In den meisten Fällen ist fürs Backup das Archivattribut die bessere Wahl als das Datum.

Gruß, Nils

Moin,

also braucht man standardmäßig, wenn ich es richtig lese, Adminrechte sowohl auf der lokalen als auch auf der entfernten Maschine, wenn man WMI remote ausführen möchte? Das war mir so gar nicht bewusst.

Gruß, Nils

Moin,

sind die Zugriffsrechte auf der Dateifreigabe irgendwie eingeschränkt? Office macht auch beim Öffnen so einiges und kommt u.U. nicht klar, wenn zu wenige Berechgigungen da sind.

Gruß, Nils

Moin,

SIDhistory. Nutzt man sowas denn wirklich noch? Bei der Migration, na ja, okay. Aber danach?

in der Migration nutzt es praktisch jeder. Mit dem "danach" sprichst du ein ernsthaftes Problem an, denn (wie auch in den meisten anderen Fällen) aufräumen tut dann praktisch keiner mehr. Es ist aber dringend zu empfehlen, völlig korrekt.

Wo wir dabei sind: Was der TO erwähnt, ist ja eigentlich nicht (bzw. nicht nur) SIDHistory, denn dabei würde es nur einen einzigen Berehchtigungseintrag geben. Zusätzlich ist hier offenbar mit ADMT auch Dual-SID ausgeführt worden: Die ACL wurde um die Einträge für die migrierten Objekte ergänzt. Man muss also zum Aufräumen zweierlei ausführen:

1. ACLs bereinigen (wie im Thread dargestellt)
   
2. SIDHistory entfernen (siehe das verlinkte Skript bei Stephan)
   

Dazu gehört aber auch das Bereinigen anderer Objekte - SIDs werden ja nicht nur im Dateisystem verwendet, sondern auch in Exchange, SQL, ... (und da liegt dann ein wesentlicher Grund, überhaupt SIDhistory zu verwenden).

Gruß, Nils

Moin,

woher hast du diese info?

es ist tatsächlich so, dass viele Hersteller sowas in ihre Lizenzbestimmungen schreiben. Da das aber natürlich die Pressefreiheit tangiert, dürfte das schwer durchsetzbar sein.

Da greifen dann im Zweifel Sekundärmechanismen: Zeitschrift X oder Journalist Y hält sich nicht an unsere Regeln, dann bekommt er in Zukunft eben keine Exklusivinformationen mehr.

Gruß, Nils

Moin,

jetzt kommen wir der Sache näher. Binary-Werte kannst du nicht per GPO/ADM verteilen, also bleibt nur regedit oder reg.exe.

Das sollte dann ja nicht das Problem sein und sich über ein Logonskript regeln lassen.

Gruß, Nils

Moin,

also, leicht machst du es uns nicht.

Möchtest du nun bei allen denselben Wert eintragen oder bei jedem einen anderen, individuellen Wert? Und: Um wie viele Werte geht es? Musst du nur vorhandene Werte eintragen und neue hinzufügen, oder müssen auch zwingend Werte gelöscht werden?

Wenn es nur um wenige Werte geht, die du verändern oder einfügen (aber nicht entfernen) willst, kämen u.U. Gruppenrichtlinien in Frage. Vielleicht sind deine Einstellungen ja auch direkt über die von Microsoft verfügbaren Office-ADM-Dateien abzuhandeln.

Wenn es um mehr geht, kannst du mit regedit /s oder mit reg.exe arbeiten. Der jeweilige User hat natürlich in seinem User-Teilbereich der Registry Schreibrechte - schließlich kann er die Änderungen ja auch manuell im GUI vornehmen.

Gruß, Nils

Moin,

ja, gibt es nicht. Und das mit den Hauptbenutzern solltest du abstellen.

faq-o-matic.net » Wie Hauptbenutzer zu Admins werden

Gruß, Nils

Moin,

Benutzer können überhaupt keine Ordner freigeben. Das dürfen nur Hauptbenutzer und Administratoren (wobei Hauptbenutzer praktisch Administratoren sind).

Das regelt man also nicht per GPO, sondern per Gruppenmitgliedschaft.

Gruß, Nils

Starte die Server mal neu. Vielleicht löst das schon das Problem.

Wenn nicht, melde dich wieder, am besten mit möglichst strukturierten Angaben.

Gruß, Nils

Moin,

prüf doch noch mal, ob die Domänen-Admins wirklich noch in den lokalen Admingruppen der Server drinstehen. Vielleicht läuft bei dir ja auch eine Policy oder ein Skript, das die Mitgliedschaft neu setzt.

Und bitte: Führ doch mal lokal angemeldet als der Domänenbenutzer "whoami /groups" aus.

Kommst du denn mit dem Domänenaccount mit anderen Zugriffsarten ran? Zugriff auf die Admin-Shares, psexec oder sowas?

Gruß, Nils

Moin,

das Kommando entfernt verwaiste Einträge aus einer bestimmten Domäne. Es kann allerdings sein, dass eben wegen der SID History die Einträge gar nicht verwaist sind.

Versuch mal folgendes Verfahren. Das sollte klappen.

Tool: SetACL (SourceForge.net: Files)

Kommando:

SetACL.exe -on "C:\temp\Ordner" -ot file -dom "n1:DOMALT;da:remdom;w:sacl,dacl" -actn domain –rec cont_obj

Kurzübersetzung: -on ist der Objektname, -ot ist der Datentyp (hier: Dateien und Ordner; setACL kann auch Registry, Drucker usw.), -dom bezeichnet Aktivitäten mit domänenbezogenen Berechtigungen; da:remdom entfernt die Berechtigungen der bei n1 angegebenen Domäne; -actn führt die angegebene Aktion tatsächlich aus; -rec gibt die Rekursion an, damit alle untergeordneten Objekte bearbeitet werden.

Gruß, Nils

Moin,

hast du mir jetzt die whoami-Ausgabe des lokalen Accounts gepostet?! Die interessiert nicht. Ich will wissen, in welchen Gruppen dein Domänen-Account auf dem Server effektiv Mitglied ist. Dazu musst du dich mit dem Account lokal anmelden (RDP geht ja nicht).

Aber die Domäne hast du beim Anmeldeversuch mit dem Domänenkonto schon ausgewählt? Welche Fehlermeldung erscheint beim Anmeldeversuch?

Gruß, Nils

Moin,

Entschuldige bitte die dürftige Auskunft

naja, jetzt hast du meine Fragen auch noch nicht beantwortet ...

Also: Neben dem Hinweis von Cybquest könntest du den Ex- und Import auch mit reg.exe machen, auch damit geht das ohne Rückfrage. Wenn es dir eigentlich um was anderes geht, beschreibe es bitte.

Gruß, Nils

Moin,

hast du die Fehlerbehandlung im Skript mit "on error resume next" abgeschaltet? Falls ja, kommentier das mal aus oder frag an den passenden Stellen das err-Objekt ab, damit du eine Fehlermeldung sehen kannst.

Läuft das Skript, wenn du die Remoteverbindung rausnimmst und es als der betreffende User lokal ausführst?

Gruß, Nils

Moin,

noch mal langsam, bitte: Es geht dir darum, eine ganze Struktur von Schlüsseln und Werten zu löschen und eine solche Struktur zu importieren? Oder geht es jeweils um einzelne Werte?

Ist es jeweils derselbe Wert bzw. dieselbe Struktur für alle? Oder geht es um individuelle Daten?

Um welches Betriebssystem geht es auf den Clients?

Gruß, Nils