sfr

Hat mir sehr geholfen.. Das Script, dass ich anfangs gepostet habe, wäre so in Ordnung?

Wenn ja, dann fasse ich nochmal zusammen:

1. Neue OUs anlegen in der Active Directory (Meine Computer, Meine Benutzer), in der AD die Computer und User in die neuen OUs verschieben

2. Im GPO Verwaltungseditor die neuen GPOs mit den neuen OUs verlinken

3. In der neuen GPO in der OU "Meine Computer" folgendes ändern: -- Computerkonfiguration/ Richtlinien/ Administrative Vorlagen/ Drucker. Der relevante Punkt ist: “Point-and-Print-Einschränkungen”. wie beschrieben

4. Ich binde in die neue GPO der OU "Meine Computer" das Druckerscript im Punkt "anmelden" wieder ein.

5. Neustart des Rechners und läuft

Ich habe das bisher mit einer GPO in oberste Instanz geregelt. Wenn ich diese jetzt entferne, dann muss ich die Einstellungen, die ich dort vorgenommen habe in neue GPOs schreiben, die auf die entsprechenden OUs verlinkt werden. Aber in welche? Bisher hatte ich nur ein Anmeldescript für Netzlaufwerke. In welcher OU bzw. welchem zweig stelle ich diese jetzt in meiner neuen OU/GPO ein.

Ich würde dies jetzt in der OU "Meine Benutzer", im GPO Zweig "Beutzerkonfiguration" einstellen.

Passiert denn jetzt irgend etwas oder besser gefragt muss ich etwas beachten, wenn ich die Benutzer und Computer aus den Standardcontainern in meine neuen OUs stecke oder kann ich das bedenkenlos tun?

Wenn ich das jetzt richtig verstanden habe, dann dürfte nichts passieren, selbst die Einstellungen, die ich über die GPO erzeugt habe sollte auch für meine neuen OUs gelten, da sie für alle OUs gelten. Nur wenn ich die GPO in oberste Instanz lösche, dann würde ich die Einstellungen in meine neuen OU bezogenen GPOs schreiben.

Wir haben ja darüber geschrieben, dass ich die Einstellung des Druckerscript auf den Computercontainer anwenden soll. In meinem Fall also die OU "Meine Computer". Innerhalb dieser GPO gibt es aber weitere Möglichkeiten, einmal Computerkonfiguration, Benutzerkonfiguration. In welchem Zweig sollte ich diese Konfiguration mit dem Druckerscript vornehmen?

Generelle Frage meinerseits:

Welche Konfiguration ändere in welcher OU? (Meine Computer, Meine Benutzer) Woher weiß ich welche Konfiguration ich in welcher OU ändern muss? Weitergehend stellt sich mir die Frage nachdem ich dann herausgefunden habe, dass ich eine bestimmte Einstellung in der OU "Meine Computer" vornehme, in welchen Zweig gehe ich dann? Computerkonfiguration, Benutzerkonfiguration?

Ich gehe mal ganz stark davon aus, dass dies damit zu tun hat, ob ich es Benutzer- oder Computerspezifisch erstellen möchte. Benutzer haben einen Bildschirmschoner mit Kennwortschutz nach 1min Lerrlauf. Also Unter Benutzerkonfiguration in der OU Meine Benutzer. Wenn ich das jetzt in der Computerkonfiguration vornehmen würde, dann würde es generell für jeden gelten, der an diesem Computer arbeitet. Ist das nicht genau das Gleiche?

Anders herum habe ich doch schon 2 OUs. Computer, Benutzer und innerhalb der GPO nochmal in Benutzer und Computer unterteilt. Ist das nicht doppelt gemoppelt?

Doch, würde auch funktionieren. Damit würdest Du alle W7 Clients erwischen, die in der Domain sind. Das kann man so machen, ist aber IMHO schlechter Stil. Erstell die GPO und verlink sie auf die OU, in der die W7 Clients abgelegt sind.

 

 

 

So richtig viel Erfahrung hast Du mit einem AD noch nicht gemacht, richtig? Du solltest dich sehr intensiv damit beschäftigen und notfalls eine Schulung besuchen.

 

 

 

Nicht unter W2008, sondern nur beim SBS gibts diese OUs. Aber genau dort kannst und sollst Du beim SBS die Computerkonten liegen haben und auch auf diese OU verlinkst Du die neue GPO.

 

 

 

OK. Denn Du kannst auf dem Server mit der GPMC und auf einem aktuellen Client mit dessen GPMC GPOs erstellen und verlinken. Deshalb meine Frage.

Ersteinmal vielen Dank. Ich hatte gerade auch nur die Möglichkeit auf einen SBS zu schauen. In der Realität ist es ein Enterprise.

Muss ich beim Enterprise neue Organisationseinheiten erstellen oder befinden die sich dort auch und heißen nur anders? Bisher habe ich da noch nichts erstellt und alles befindet sich an seinem "standard-Ort". habe gelesen, dass das nicht sinnvoll ist.

Die neuen OUs erstelle ich in der AD. Z.B Meine Computer und Meine benutzer, verschiebe die Computer und Benutzer dann in meine neuen OUs und die policys verlinke ich auf diese OUs. Wenn ich die neuen OUs in der AD erstellt habe werden sie dann auch im Gruppenrichtlinienverwaltungseditor angezeigt damit ich dort die neuen Policys drauf verlinken kann?

Dann könnte ich bei den OUs noch Unterscheiden zu: Win 7 Computer, Win XP Computer und kann die Policys dann nunr auf die OUs verlinken für die sie gelten sollen. Also die Geschichte mit dem Druckerscript soll die Policy nur für die OU Win 7 Computer gelten nicht für die anderen.. Wenn ich es in oberster Instanz machen sprich in der Domain Policy dann gilt diese für alle OUs, richtig?

Srry bin echt noch ein purer Anfänger.. :(

Ich weiß nicht was Du mit Server meinst? Du erstellst die GPO und verlinkst sie auf die Computerkonten der Windows 7 Clients.

 

Erste Schritte zum Erstellen einer Gruppenrichtlinie In der OU MeineComputer sind die Computerkonten der W7 Clients. Und auf diese OU mußt die GPO mit der Druckereinstellung verlinken.

OK, vielen dank dafür! Ich habe natürlich nur eine Policy unter Domänen, an der Stelle wo auch die default Domain Policy ist. Ich habe dort eine neue erstellt: Meine neue policy. In dieser Policy wollte ich unter der Computerkonfiguration die Einstellungen ändern! Würde wahrscheinlich nicht funktionieren?

Jetzt muss ich unter Meine Computer eine neue Policy erstellen, in der ich die beschriebenen Einstellungen vornehme. Liege ich da richtig?

Unter dem Windows Server 2008 liegen die doch unter dem Punkt: My Business - Computers

Mit Server meinte ich natürlich den Server auf denen sich die User mit ihren Clients anmelden.

Steht doch ganz eindeutig dabei:

das bedeutet für mich ich sollte es lediglich in der GPO auf dem Server unter der Computerkonfiguration erstellen. Bin mir aber nicht sicher, deshalb frage ich lieber vorher bevor das wieder in einem Chaos endet.

Lies doch mal das rot markierte Wort. ;) Es ist eine Computereinstellung und die kann auch nur auf Computerobjekte wirken.

ich habe mir die Frage gestellt, ob ich das auf dem Server in der GPO unter der Computerkonfiguration machen kann. Oder, ob ich das wirklich am Client in der GPO unter Computerkonfiguration machen muss.

Habt ihr die in diesem Artikel gen. Einstellung aktiviert? faq-o-matic.net Drucken unter Windows 7 in der Domne

Hört sich genau danach an was ich suche.

Nochmal zu meinem verständnis:

1. Ich binde über die GPO das Script nochmal ein.

2. In der GPO ändere ich in den Punkt unter:

-- Computerkonfiguration/ Richtlinien/ Administrative Vorlagen/ Drucker. Der relevante Punkt ist: “Point-and-Print-Einschränkungen”. wie beschrieben

3. ein GPUPDATE /Force

4. Die Sache läuft!?

Mit diesem Punkt:

"Und wichtig: Die Gruppenrichtlinie muss auf die Computerkonten der 7-Rechner wirken, nicht auf die Benutzerkonten!"

ist gemeint, dass ich es in der GPO des Server unter Computerkonfiguration erstelle und nicht bei der Benutzerkonfiguration oder direkt am Client in der GPO?? (wobei das ja das Gleiche wäre)

Schau mal hier:

 

Gruppenrichtlinien - Übersicht, FAQ und Tutorials

kann ich dann auch über den Zielgruppenadressierungseditor festlegen welcher Computer welchen freigegebenen Drcuker als Standarddrucker erhält?

Z.B. Drucker a wenn Computername = PC001, PC002 usw..

Wir haben im Netzwerk mehrere Drucker, die ich alle über GPP erstellen müsste aber mit einer Weiche, dass bestimmte Computer bestimmte Standarddrucker erhalten.

Schon Erfahrungen mit gesammelt? Klappt das gut?

Eventuell auch eine Idee warum das nicht mit meinem Script funktioniert?

Hast Du mal versucht, die Drucker via GPP bereitzustellen ? Das dürfte bei Deinen Windows-Versionen deutlich einfacher sein.

Wie kann ich das erstellen? Hast du ein TUT für mich?

Hallo ich habe einen Windows Server 2008, der über GPO bei der Anmeldung 2 Scripte verteilt. Ein Anmeldescript für Netzlaufwerke und ein Script zur Verteilung von Standarddruckern pro Maschine.

Die Clients haben ein Windows 7 Pro / 32bit.

Das Druckerscript funktioniert nicht. Zwar werden zum Teil die Drucker eingebunden aber ständig werden Fehlermeldungen am Client ausgegeben.

So sieht mein Script aus:

rundll32 printui.dll,PrintUIEntry /ga /y /c\\PC001 /n\\PC001\HL-2140_PC001 /j"LanMan-Druckdienste"
rundll32 printui.dll,PrintUIEntry /ga /y /c\\PC002 /n\\server\HL-2150N /j"LanMan-Druckdienste"
rundll32 printui.dll,PrintUIEntry /ga /y /c\\PC003 /n\\server\HL-2150N /j"LanMan-Druckdienste"
rundll32 printui.dll,PrintUIEntry /ga /y /c\\PC004 /n\\server\M3035 /j"LanMan-Druckdienste"
rundll32 printui.dll,PrintUIEntry /ga /y /c\\PC005 /n\\server\M3035 /j"LanMan-Druckdienste"
rundll32 printui.dll,PrintUIEntry /ga /y /c\\PC006 /n\\server\M3035 /j"LanMan-Druckdienste"
rundll32 printui.dll,PrintUIEntry /ga /y /c\\PC007 /n\\server\M3035 /j"LanMan-Druckdienste"
rundll32 printui.dll,PrintUIEntry /ga /y /c\\PC008 /n\\server\M3035 /j"LanMan-Druckdienste"
rundll32 printui.dll,PrintUIEntry /ga /y /c\\PC009 /n\\server\M3035 /j"LanMan-Druckdienste"
rundll32 printui.dll,PrintUIEntry /ga /y /c\\PC010 /n\\PC010\HL-2140_PC010 /j"LanMan-Druckdienste"
rundll32 printui.dll,PrintUIEntry /ga /y /c\\PC011 /n\\PC011\DCP-7030_PC011 /j"LanMan-Druckdienste"
rundll32 printui.dll,PrintUIEntry /ga /y /c\\PC012 /n\\PC012\HL-2140_PC012 /j"LanMan-Druckdienste"
rundll32 printui.dll,PrintUIEntry /ga /y /c\\PC013 /n\\PC013\HL-2140_PC013 /j"LanMan-Druckdienste"

Die folgende Fehlermeldung wird u.A. ausgegeben:

Pro Maschine Druckverbindungen können nicht hinzugefügt werden. Der serverseitige Druckspoolerdienst wird nicht ausgeführt. Starten sie den Spooler auf dem Server neu.

Die Fehlermeldung kann wohl nicht ernst gemeint sein, denn der betroffene Client kann über den Server drucken. Nur taucht diese Meldung im Zyklus von ca. 30 Sek immer wieder auf.

Bin mir auch sicher, dass es sehr lange dauert bis die Drucker wirklich eingebunden werden. Habe schonmal sämtliche Foren durchschaut, konnte aber leider keine passende Antwort finden.

Habe ich etwas falsch im Script? Wäre über eure Tipps sehr dankbar.

Gruß

Moin,

 

mit intern und extern ist nicht das Ziel, sondern die Quelle gemeint. Bei intern kümmert sich der HT darum, bei extern der ET. Intern ist also ok.

dachte ich mir auch, sonst würde es bei den anderen 3 Usern auch nicht funktionieren. Ziehe mittlerweile alle Register, da ich wirklich keine Idee mehr habe.

Wo könnte man noch nachschauen? Irgendeine Idee?

Ich habe jetzt nochmal nachgeschaut:

Also unter

Organisationskonfiguration

- Hub-Transport

-- Akzeptierte Domain

--- Domain Eigenschaften

---- Interne Relaydomain

Sollte hier nicht schon Extern Relaydomain stehen?

Ich habe im Sendeconnector unter SMTP stehen, dass Mails immer über Smarthost gehen!

Hallo.

 

Es hilft aber trotzdem nichts. Wenn die externen User die gleiche Maildomäne haben, wie die User auf dem Exchange, dann musst du mit der Shared Namespace Konfiguration arbeiten.

 

LG Günther

Ja das haben wir doch getan sonst würden die 3 ja keine Emails bekommen!

Die drei User bei denen es funktioniert sind ja gar nicht im Exchange genau wie der user bei dem es nicht funktioniert. Die 3 senden ihre Mails direkt über den Providerserver, genau wie der eine user bei dem es nicht funktioniert. Empfangen werden die Mails von den 4 usern direkt über POP3 vom Providerserver.

Problem ist jetzt, dass die drei user bei denen es funktioniert von internen usern also über den Exchange Server Mails erhalten. Nicht bei dem bei dem es nicht funktioniert. Da bekommt der sendene user, der über den Exchange sendet o.g. Fehlermeldung.

An dem Konto des betroffenen Users kann es nicht liegen, da er sonst Mails erhält. Nur eben nicht von diesem Exchange Server, der wiederrum nur über smarthost sendet.

ich habe eigentlich nur unter Exchange Verwaltungskonsole einen SMTP Connector angelegt, einen Namen verpasst, SMTP Adressraum -> Adresse = *, Häkchen gestzt bei Alle Unterdomänen einschließen, unter netzwerk, Mails immer über den Smart Host senden mit Standardauthentifizierung, Benutzernamen und passwort angegeben, sonst nichts.

Der einzige Unterschied ist wohl, dass der user bei dem es nicht funktioniert auch nicht in der AD eingetragen ist, da er sich auch nicht am Server anmelden muss. Das ist der einzige Unterschied, der mir bekannt ist. Aber daran kann es doch wohl nicht liegen oder? Denn die User, die ihre Mails direkt vom Provider abholen haben ja auch kein Exchange Postfach und somit ist bei diesen auch nichtsim AD Profil gestempelt worden. Also sollte man doch dafür auch kein User in der AD brauchern oder etwa doch?

Warum funktioniert es aber nur bei einem nicht und bei den anderen 3 schon? Kann ja daran nicht liegen oder? Vlt stehe ich auch grad aufm Schlauch..

rundll32 printui.dll,PrintUIEntry /ga /y /c\\Computer /n\\Computer\Drucker /j"LanMan-Druckdienste"

ist die Antwort.

Hallo

ich habe einen Microsoft Exchange 2007. Auf diesem sind ein paar wenige Mailkonten eingerichtet zum Zustellen in die AD Userprofile. Nun gibt es 4 Mailaccounts um die sich der MS Exchange nicht kümmern brauch. Damit der Mailverkehr nun auch funktioniert (von AD Usern nach Usern, die nicht in der AD sind) habe ich die Option gewählt, dass der Exchange immer über den Smarthost senden soll. POPCON holt die Mails per POP3 vom Provider und übergibt sie an den Exchange.

Jetzt zu meinem Problem:

Bei einem dieser Konten, deren user nicht in der AD ist kommt beim Versenden folgende Fehlermeldung: #550 5.7.1 RESOLVER.RST.AuthRequired; authentication required ##

die Anderen funktionieren aber egal ob AD User oder nicht. Ich habe dem User auch schonmal von einem ganz anderem Konto eine Mail geschickt, die mit dem Exchange oder der Empfängerdomäne gar nichts zu tun hat, das funktiniert. Also muss es eben ein internes Problem sein. Weiß nicht wo ich noch suchen muss, Google schmeißt viele Antworten raus aber diese passen absolut nicht zu meinem Problem.

Noch mal kurz als Bsp.

AD User1 sendet nach Nicht AD User1 - o.g. Fehlermeldung

Nicht AD User2 sendet an Nicht AD User1 - funktioniert.

Die user, die sich nicht in der AD befinden holen ihre Mails direkt beim Provider ab und senden auch über diesen. (pop3, smtp)

In der Active Directory wird über SMTP Smarthost an Provider gesendet und Eingang über POPCON POP3.

Vielen Dank schonmal.

hallo

ich würde gerne in einer Active Directory Computerspeziefische Standarddrucker vergeben.

Bsp1. Computer1, Netzwerkdrucker1(192.168.2.22)

Bsp2. Computer2, lokaler Drucker(USB)

Das Ganze wollte ich per anmeldescript über GPO erzwingen.

Mit dem folgenden Scriptcode:

für bsp1

rundll32 printui.dll,PrintUIEntry /in /c /n /y \\192.168.2.22

bzw

für bsp2

rundll32 printui.dll,PrintUIEntry /in /c /n /y \\Computer1\Druckerfreigabe1

Meine Frage ist wie schreibe ich den Syntax für /c (Computername) /n (Druckername), muss ich den /in verwenden, wenn es lokale drucker über TCPIP oder USB sind oder brauche ich den nur, wenn ich über eine Netzwerkfreigabe drucken möchte?

Danke schonmal für eure Hilfe!

Danke schonmal für deine Antwort. Ich habe schon die richtige Lösung gefunden, diese mir auf eine VM gepackt und getestet, funktioniert genau so wie ich es brauche. Die Lösung heißt tatsächlich USB Wächter von tinity. Nur der Admin ist in der Lage irgendwelche USB Geräte zu installieren oder welche vorzudefinieren, die aktzeptiert werden.

Hallo

ich habe eine Active Directory mit mehreren Benutzern. Ich möchte, dass die Benutzer aus Datenschutzgründen keine USB Geräte installieren können. DIe Benutzer haben keine lokalen Adminrechte also können sie sich auch nichts installieren.

Ich stelle mir die Frage, ob es eine Möglichkeit gibt allen Usern die Installation von sämtlich USB Storages zu verbieten aber dies einen Administrator zu erlauben. Fernerhin stelle ich mir die frage, ob ich das Ganze per GPO, USB Wächte o.ä. realisiere. Habt ihr schon Erfahrungen gemacht mit 3rd Party Software oder per GPO, was wäre Best Practice?

Danke schon mal!

Naja, was du dir so vorstellst. Wenn ich in einer großen Firma arbeiten, ist mir klar, dass ich andere Rechte habe, als bspw. die Leute der Personalabteilung. Und im Idealfall sehe ich diese Ordner nicht mal, dann muß ich mir keine Gedanken darüber mache, warum ich eventuell andere Rechte habe. Dein Weg ist jedenfalls der falsche Weg (meiner Meinung nach), und du solltest das eher über einfachere Berechtigungen zu erschlagen. Das was du vorhast, ist sicher machbar, aber meist nicht administrierbar.

 

Bye

Norbert

Wenn User auf dem Ordner Leserechte haben, dann werden sie diesen auch sehen, es sei denn sie werden gemappt, dann wären sie direkt mit diesen verbunden und könnten die Berechtigungen auch nicht einsehen.

Ich stelle mir hierbei die Frage warum in einem anderen Beitrag (ähnlicher Fall wie bei mir) geraten wurde auf die Freigabeberechtigung für jeder Vollzugriff zu vergeben.

Es wurde auch davon geschrieben, dass das genau Best Practice wäre.

Wenn ich mit jeder Vollzugriff auf Freigabeebene arbeite, dann habe ich genau das Problem, dass die User Berechtigung haben die NTFS Berechtigungen zu ändern.

Was ist denn genau Best Practice für die Freigabeberechtigungen?

Also ich habe auf die Freigabeberechtigung Jeder nur lesen/ändern gegeben und mit den NTFS Berechtigungen die Unterordner eingestellt. Mit der ABE Funktion werden Unterordner ausgeblendet (das war von dir gemeint Norbert) auf denen User keinen Zugriff haben.

Warum willst Du einem Benutzer verweigern Dateiberechtigungen einzusehen?

Wenn der Benutzer eine Aktion durchführen möchte die nicht erlaubt ist,

kann er zumindest sehen woran es liegt.

Wenn ein Benutzer keine Berechtigung hat, hat das doch sicher

seine organisatorischen Gründe und die kann er doch auch nachvollziehen oder?

 

 

Light

Ich stelle mir jetzt vor in einer großen Datenstruktur einer Firma dies zu erlauben, dann würde es nicht lange dauern bis der eine User sieht, dass ein anderer User auf ein Verzeichnis mehr Rechte hat als er selbst.

Das führt, so denke ich, sicher zu ungewünschten Handlungen oder Problemen. Als Bsp: UserA geht dann zu UserB und sagt, lass mich mal darein schauen :)

Daher versuche ich das auszuschließen.

Meiner Meinung nach beinhaltet die NTFS Berechtigung Vollzugriff auch das ändern der Dateiberechtigungen.

 

Freundliche Grüße Light

Der Vollzugriff ist ja zunächst nur auf die Freigabeberechtigung gesetzt wurden.

Nachdem ich den Vollzugriff entfernt habe, konnte der UserA die Berechtigungen selbst nicht mehr ändern. Aber wie kann man die NTFS Berechtigung komplett ändern damit User erst gar nicht sehen welche NTFS Berechtigungen an welche User vergeben wurden?

Geht das überhaupt?

Ich habe folgende Ordnerstruktur:

Testfreigabe (freigabeberechtigung: Jeder: Vollzugriff)

-UnterordnerA (NTFS Berechtigung: Administratoren, System: Vollzugriff; UserA: ??)

•Ordner durchsuchen/Datei ausführen:

•Ordner auflisten/Daten lesen:

•Attribute lesen:

•Erweiterte Attribute lesen:

•Dateien erstellen/Daten schreiben:

•Ordner erstellen/Daten anhängen:

•Attribute schreiben:

•Erweiterte Attribute schreiben:

•Löschen:

•Lesen:

•Ändern:

•Besitz übernehmen:

Ziel ist es, dass UserA im UnterordnerA Ordner & Dateien schreiben, durchsuchen verändern, lesen kann. Gebe ich den UserA die Berechtigung: lesen, schreiben usw., dann hat er automatisch die Möglichkeit auch die NTFS Berechtigungen des Ordners zu ändern, das ist natürlich unerwünscht. Gehe ich in die erweiterten Berechtigungen und erteile dem UserA spezielle Berechtigungen, dann erhalte ich nie den Effekt, den ich gerne hätte.

UserA soll natürlich nicht in den Eigenschaften des UnterordnerA die NTFS Berechtigungen lesen und schon gar nicht ändern können.

Welche Berechtigungen vergebe ich jetzt an UserA?

Liegt es eventuell an den Freigabeberechtigung: Jeder: Vollzugriff?

Würde mich sehr über eine Hilfestellung freuen.

PS:

Ich habe in den Freigabeberechtigungen den Vollzugriff für Jeder verändert und nur auf lesen/ändern gesetzt.

Nun kann UserA die Berechtigungen nicht mehr verändern nur noch lesen aber dieser kann immer noch den Besitz übernehmen.

Habe jetzt folgende NTFS Berechtigungen angewendet:

Ordner durchsuchen/Datei ausführen:

Ordner auflisten/Daten lesen:

Dateien erstellen/Daten schreiben:

Ordner erstellen/Daten anhängen:

Unterordner und Dateien löschen

löschen

o.g Berechtigungen werden erlaubt, der Rest wird verweigert.

Gibt es eine Möglichkeit die NTFS Berechtigungen für UserA auszublenden und sind meine Berechtigungseinstellungen im Sinne des Erfinders?

OK, ich glaube ich habe es nun.

 

Umgesetzt wie folgt :

 

Folgende Freigabe erstellt :

 

Testfreigabe

( Freigabe Berechtigung Jeder Vollzugriff )

Somit kann jeder mit Vollen Rechten auf die Freigabe zugreifen.

 

NTFS Berechtigungen auf den Freigegebenen Ordner abgeändert wie folgt :

 

Servername\Benutzer aus den Berechtigungen entfernt.

( Bleiben Sie drin greifen die NTFS Einschränkungen nicht. )

Vererbung deaktiviert und die Standard Berechtigungen als Kopie belassen ( Ohne Server\Benuter )

 

Ergebniss :

 

Niemand außer den Standard Benutzer welche vom NTFS Vergeben werden kann auf die Daten zugreifen.

 

Bestimmte Benutzer oder Gruppen zulassen :

Benutzer oder Gruppe der NTFS Berechtigung hinzugefügt mit den Rechten welche Sie auch später haben sollen.

 

Ergebniss :

 

Berechtigungen werden wie gewünscht angewendet.

 

Endergebniss :

 

Für meinen Fall funktioniert nun alles so wie ich es will, doch bin ich mir immer noch nicht sicher ob das alles so wie ich es gemacht habe im Sinne von MS ist.

Falls noch jemand einen Tipp oder Kritik zu diesem Vorgehen hat, so möchte er mit bitte hier schreiben.

Würde mich sehr über weitere Tipps, Kritiken und Verbesserungsvorschläge freuen.

 

Eure Lampe

Freut mich das du es geschafft hast und jemand auch noch bestätigt, dass das richtig ist. Da mich das auch interessiert frage ich nochmals nach, ob ich das auch verstanden habe:

Stammordner (Freigabeberechtigung: Jeder: Vollzugriff)

(NTFS Berechtigung: System, Administrator: Vollzugriff)

UnterordnerA (Vererbung deaktivieren, NTFS Berechtigung: UserA, lesen/ändern)

UserB wird nicht in die NTFS Berechtigung mit aufgenommen und hat somit auch keinen Zugriff auf UnterordnerA.

So in Ordnung?