sfr

Genau das was du auch schon geschrieben hast. Das es einfach genauso unsinnig ist wie die User über die GPO als lokale Admins anzulegen. Ist ja im Prinzig genau das Gleiche. Teste zwischendurch natürlich immer wieder. Mich würde noch interessieren wie ich es hinbekomme, dass User in den Ordner auf dem Server die Berechtigungen nicht lesen können. Ist das der Punkt erweiterete Attribute lesen? Habe jetzt einfach den Usern die lokalen Adminrechte entzogen. Bei Installationen muss ich mich eben als Administrator anmelden. Die Änderungen der Dateien werde ich jetzt ebenfalls über den Administratoraccount regeln. Habe jetzt mittlerweile viel von euch erfahren was mir weitergeholfen hat auch, wenn es manchmal nicht einfach für mich war. Aber wer lesen kann ist klar im Vorteil, da habt ihr Recht. Danke an euch!

Ich habe es gelesen auch wenn einer behauptet, dass ich es nicht gemacht habe. habe es einfach noch nicht verstanden und muss es erstmal erarbeiten. Sollten dabei Probleme auftreten, dann melde ich mich gerne nochmal. Ausserdem kann ich wahrscheinlich darauf verzeichten, da ich den Usern die lokalen Adminrechte entzeihen werde. Dann tritt das Problem ja nicht mehr auf.

Also der Unterschied zwischen Freigabeberechtigung und NTFS berechtigung verstehe ich wie folgt: Freigabeberechtigung: Wer kann überhaupt auf diese Freigabe zugreifen NTFS Berechtigung sind Berechtigungen auf Dateisystemebene. Dort kann ich Gruppen bzw. Usern spezielle Berechtigungen geben bzw. Berechtigungen weiter verschachteln. Ich würde als erstes in den Freigabeberechtigungen für jeder den Vollzugriff rausnehmen. Jeder Vollzugriff würde ich nur bei Serverseitigen Profilordner vergeben, da an dieser Stelle das System die Berechtigungen (NTFS) sowieso selber schreibt. Des weiteren gibt es einen riesen Unterschied zwischen expliziert und implizierte Zugriffsverweigerung. Lies dir das mal genau durch, Google hat dazu jede Menge Antworten. Ich habe so einen ähnlichen Thread hier im Forum eröffnet, da wurde mir geschrieben, dass man nicht mit Verweeigerung arbeiten sollte, warum habe ich noch nicht herausgefunden. Im schlimmsten Fall gehst du so wie ich vor und machst folgendes: Hauptordner: Freigabeberechtigung: Jeder -> lesen/ändern NTFS Berechtigung: Jeder -> lesen (nur, wenn auf der Ebene nicht geschrieben werden brauch!) Unterordner A: NTFS Berechtigung: UserA (z.B. lesen/ändern), UserB (Zugriff verweigern) Unterordner B: NTFS Berechtigung: UserB (z.B. lesen/ändern), UserA (Zugriff verweigern) Und so weiter! Soll wohl laut dem Forum Spezialisten NorbertFE keine gute Lösung sein, bei mir läuft sie aber und eine bessere habe ich bis jetzt nicht gefunden. Solltest du das Prinzip von Norbert vor mir verstanden haben, dann würde ich mich über eine Info freuen. Ansonsten gibts eine von mir! Des weiteren würde ich folgendes machen damit UserA der auf OrdnerB keinen Zugriff hat, diesen auch nicht im Hauptordner zu sehen bekommt gibt es eine tolle Funktion namens ABE (Access Based Enumeration) Mit dieser Funktioon werden Ordner für User die keinen Zugriff auf diese haben versteckt. Dazu würde ich im Explorer unter Ordneroptionen Ansicht das Häkchen bei Freigabeassistenten verwenden (empfohlen) herausnehmen. Dann Unter Verwaltung Freigabe und Speicherverwaltung für deine Freigaben (rechte Maustaste, Eigenschaften) unter Extras die ABE (in deutsch hat diese Funktion einen anderen Namen, ich glaube Zugriffsorientierte Aufzählung) aktivieren.

Bin zwar selber noch Anfänger aber ich versuche es einfach mal. Wie sieht denn die Struktur genau aus? In welchen Gruppen ist der UserA?

Doch natürlich wurde mir hier geholfen, ich habe auch nicht das Gegenteil behhauptet. Verstehe mich jetzt bitte nicht falsch es ist für mich als Anfänger schon nicht einfach und jeder macht sich hier lächerlich über das was ich schreibe. Es mag ja auch lächerlich sein aber als gebildeter Mann macht man sich doch darüber in so einem Thread nicht auch noch lustig sondern denkt sich sein Teil oder schreibt erst gar nichts. Du warst damit ja auch nicht gemeint, bin sehr froh, dass du mir geholfen hast. Bye

Ich habe mir das Thema mal angeschaut. Bedeutet, dass ich eigentlich nur unter dem beschriebenem Punkt in der GPO den Pfad des Ordners angebe und zugleich die User, die auch Schreibrechte darauf bekommen. Ist es empfehlenswert dafür die Gruppe Domänen-Benutzer und Administratoren zu nehmen? ich würde jetzt die Rechte "ändern" vergeben auf den folgenden Pfad: c:\programme\Eigene Software Ordner Das ist soweit ok nehme ich an? Wenn ein User ein neues Programm braucht, dann kann ich das ja als Administrator auf seiner Kiste installieren. Oder reicht es einen User bei den lokalen Gruppen und Benutzern in die Gruppe der Administratoren zu stecken? Wahrscheinlich genauso **** wie das Ganze per GPO zu steuern.!? Wie sieht es mit USB Sticks aus?

Na ich fange eben gerade an mit Ausbildung und wollte mir vorab schonmal ein paar Dinge aneignen. Wenn das hier eben nur ein Forum für Profis ist, dann muss ich mich eben ausklinken und ein Forum suchen, die auch Anfängern helfen. Danke trotzdem!

Es ist eine Testumgebung. Ich meine aber die Ordner Programme usw. auf der lokalen Maschine, nicht die auf dem Server. Nicht, dass ich da falsch verstanden wurde. Gut, dann nehme in der GPO die berechtigung für die Adminrechte auf der lokalen Maschine heraus. Bedeutet doch aber dann, dass jeder einzelne User noch nicht einmal mehr Software installieren kann, oder kann man dies wiederrum über die GPO steuern, dass die eingeschränkte Gruppe an den lokalen Maschinen bestimmte Dinge dürfen? Ich habe mir die NTFS Berechtigungen von Programme angeschaut und die User hatten tatsächlich nicht die Berechtigungen. Kann ich einfach die AD user eintragen, die Schreibrechte auf diese Ordner haben sollen?

Es handelt sich hier um das Client Betriebssystem WIndows 7 Pro. Die User haben lokale Adminrechte (per GPO), funktioniert auch. Ich habe ebenfalls eine Folder Redirection eingerichtet (Desktop, Eigene Dateien) Wenn ich einen neuen Ordner auf dem Desktop anlege oder auf eigene Dateien, dann sind die Berechtigungen in Ordnung. Die User müssen im Programmverzeichnis in einer eigen entwickelten Software bestimmte Dateien von Hand bearbeiten. Dies geht z.Z. nur, wenn sie diese Dateien aus dem Programmverzeichnis herausnehmen, bearbeiten und wieder einfügen. Bisher habe ich dieses Verhalten nur in diesem Ordner feststellen können. Ist dieses Verhalten normal im Programmverzeichnis? Wenn ja, dann möchte ich daran auch nichts ändern, denn die User können diese Dateien auch wie oben beschrieben bearbeiten.

Wer hat geschrieben, dass sie ohne Strom läuft?? ;) Ich habe geschrieben erst Strom, dann USB! 2,5" Platten z.B. :) Und vollkommen Wurst ist es sicher nicht sonst würde ich es nicht schreiben! Erst USB, dann Strom führt in der Regel dazu, dass die HD über USB nicht erkannt wird! Habe es des öfteren gerade mit diesen günstigen Adaptern in Erfahrung gebracht!

Ich habe die Themen gelesen, die ich über die Links von Sunny erreiche. Ich befürchte nur, dass ich vom Regen in die Traufe komme, denn selbst in dieser Lösung wird darüber geschrieben, dass es eine unschöne Lösung sei. Da dachte ich doch, dass es doch einfach besser wäre den Scriptaufruf bei der Anmeldung zu verzögern bis der Desktop erstellt wurde. Habe etwas dazu gefunden: Manipulation der "Zeit", wann das Script aufgerufen wird. Definiere alle(!) Scripte generell als "synchron", dann ist das Profil bereit, wenn das Script aufgerufen wird. "Anmeldeskripts gleichzeitig ausführen" Computerkonfiguration/Administrative Vorlagen/System/Skripts | Wartet bis die Anmeldeskripts zu Ende ausgeführt wurden, bevor das | Windows Explorer-Schnittstellenprogramm gestartet und der Desktop | erstellt wird. Wäre das eine brauchbarer Lösungsansatz?

Wieso kannst du das nicht nachvollziehen? Sinn und Zweck der Aktion ist es einen Server aufzusetzen, der so funktioniert wie er funktionieren soll. Und entschuldige bitte, dass ich nicht gleich auf die Welt gekommen bin und so viel Ahrnung habe wie ihr. Denk mal bitte ein paar Jahre/Jahrzehnte zurück... Ich vermute jeder von ecuh hat mal klein angefangen. Und solche Foren sind doch da, um technische Probleme zu klären. Die Einen haben technisch schwierige Fragen und Andere kommen mit kleinen eventuell in euren Augen dummen Fragen. Aber dennoch sind es Probleme, die ich alleine nicht lösen kann und deshalb um Hilfe bitte. Und ein Server hat nunmal lokale Gruppen und Benutzer, die wie ich mitlerweile gelernt habe nichts mit zentralen Benutzern oder Gruppen zu tun haben. Was kannst du bitte mit "Rechner in der Domäne" nicht nachvollziehen?? Der Rechner ist nunmal in der Domäne sonst wäre er in einer Arbeitsgruppe. Standalone ja auch nicht sonst wäre es nur ein Server. Es sind aber mehrere, die Datenbanken untereinander replizieren und ja es sind sogar einige sehr große Datenbanken. Ja und freuen tut es mich auch, dass es dir schon im ABE Thread so erging. Ich hoffe du nhast dich amüsiert. Vielleicht lachen wir beide mal in ein paar Jahren zusammen darüber... BTB: Ist es nicht empfehlenswert den Usern lokale Adminrechte zu geben? Die brauchen sie aus verschiedenen Gründen. Habe mir gerade ein paar Themen zu Workarounds für dieses Problem durchgelesen. Die Laufwerksverbindungen werden in Wirklichkeit korrekt ausgeführt, aber das Ganze bevor UAC das Access Token reduziert hat und der Desktop erzeugt wurde, anschließend verfügt der Benutzer bereits über das eingeschränkte Access Token. Nun darf der Explorer aufgrund interner Einschränkungen nicht mehr auf die Netzlaufwerke zugreifen, weil diese mit einem anderen Token versehen sind. Kann man mit dem anmeldescript eine Zeit vorgeben, dass die Netzlaufwerke erst gemappt werden, nachdem der Desktop erzeugt wurde oder ist das eine schlechte Lösung bzw. mal wieder nicht möglich?

Ich habe eine Frage bezüglich der Berechtigungen auf dem lokalen Rechner in einer AD. - Server 2008 R2 Enterprise - ServerA ist DC - UserA ist in der AD des ServersA - UserA ist in der AD Gruppe Domänen-Benutzer - ClientA ist in der AD angemeldet mit UserA - ClientA Lokale Gruppen und Benutzer Mitglied von Administratoren ist u.A. Domänen-Benutzer - Per GPO User Adminrechte auf den lokalen Maschinen erteilt (brauchen sie wegen Installationen) Die Clients waren vorher nicht in einer AD und somit sind sämtliche Installationen bereits vorgenommen. Wenn ich jetzt mit dem UserA auf dem ClientA in den Verzeichnissen z.B. Programme bestimmte Dateien verändern möchte, dann wird mir der Zugriff verweigert. Z.B. ich öffne einen Ordner und versuche dort eine Date zu bearbeiten und abzuspeichern, dann erscheint eine Meldung: Zugriff verweigert. Lösche ich diese datei, dann funktioniert das. Ich kann sie auch ausschneiden, auf dem Desktop einfügen, bearbeiten und wieder auf den Ursprungsplatz zurückkopieren. Nur nicht in dem Verzeichnis ändern. Dieses Verhalten beobachte ich auch bei Neuinstallationen von Programmen. Die Berechtigung für den Ordner Programme sieht wie folgt aus: Ersteller/Besitzer: spezielle Berechtigung alterHostname/alter User: lesen alterHostname/lokaler Administrator: Voll System: (ich glaube): voll Sollte ich für solche Verzeichnisse die Berechtigung von Hand vergeben, ist dieses Verhalten normal und gewünscht oder ist hier irgend etwas nicht richtig konfiguriert?

Ich habe nochmal eine Frage zu diesem Thema. Das Problem war ja gelöst aber nur unter Windows XP. Bei einem Windows 7 Client greift das script nicht. Ich habe mir dabei gedacht, dass es an der Benutzerkontensteuerung liegt. Habe dann auch im Netz gelesen, dass es wohl tatsächlich so ist. 2. Lösungen, die mir einfallen aber nicht gefallen: 1. Administratorrechte an der lokalen Maschine entziehen 2. Benutzerkontensteuerung deaktivieren Danach wird es wohl wieder laufen. Gibt es noch eine andere Lösung als die o.g.? Z.B. per GPO oder Scriptanpassung? Hat dort jemand schon praktische Erfahrungen mit gesammelt?

Hi Norbert nachdem ich heute nochmal Gelegenheit hatte auf den Server zu schauen, habe ich jetzt mit deiner Hilfe herausgefunden wo das Problem liegt. Du hattest ein erneutes Mal Recht! Ich habe nach kurzer Zeit schnell gemerkt was du mit deinen Fragen gemeint hast. Ich beantworte dir hiermit deine Frage, obwohl das Problem gelöst ist. Domänen-Benutzer waren Mitglied der Gruppe Administratoren. So werde ich jetzt meine praktische Erfahrung nochmal kurz zusammen fassen: - Auf dem ServerB gibt es Lokale Gruppen und Benutzer - In dieser Gruppe (Administratoren) waren die Domänen-Benutzer Mitglied - UserA (AD User) ist Mitglied der Gruppe Domänen-Benutzer - Dadurch hatte UserA auf ServerB Administratorrechte Eigentlich Simple. Ich war gestern nur ein wenig neben der Spur... ;) Das Problem ist somit gelöst, ABE greift, UserA sieht keine Ordner mehr, auf denen er kein Zugriff hat. Mir ist heute eine weitere Sache aufgefallen. Ich habe über GPO jeden User auf der lokalen Maschine Administratorrechte gegeben. Unter einem Client sieht man unter lokale Gruppen und Benutzer, dass in der Gruppe Administratoren die Gruppe Domänen-Benutzer steckt. UserA ist in der Gruppe (AD) Domänen-Benutzer. Der ClientA lief früher in keiner AD. Programmverzeichnisse wurde alle demnach vorher schon angelegt. Wenn ich mich jetzt als USERA an ClientA anmelde, dann kann ich Dateien im Programmverzeichniss zwar löschen und in diesem Ordner auch Daten erstellen aber nicht verändern. Ist das so gewollt?

Ein IDE - SATA Adapter gibt es. Es wirkt sich nicht negativ auf das System aus ausser das du die volle Geschwindigkeit von SATA nicht hast. Ich kenne diese Adapter selbst. Versuche mal als erstes der HD Strom zu geben, sodass sie läuft und dann per USB an den Rechner zu verbinden. Oft gibt es Probleme dabei, wenn man erst das USB Kabel reinsteckt und dann den Strom. gruß

Gut dann werde ich morgen erstmal genau nachschauen und mich dann nochmal melden. Verstehe mich jetzt nich falsch aber ich bin eben Anfänger wärend du genau weiß worüber du schreibst. werde mir das alles nochmal genau durchlesen was du geschrieben hast und eventuell fällt morgen der Groschen, wenn ich davor stehe.. Kann ja jetzt gerade nicht reinschauen. Schönen Abend noch Norbert

Redest du von der Gruppe Administratoren in der AD ServerA, oder ServerA lokal, oder ServerB lokal? Ich weiß sonst nicht was ich noch für Informationen geben soll. Welche Gruppe meinst du?

Langsam zweifle ich an mir selbst... Ich versuche es nochmal, bitte nicht böse sein, wenn ich wieder faile. Auf ServerB gibt es gar keine User. Nur den lokalen Administrator und der ist in der Gruppe der Administratoren. Weitere User gibt es einfach nicht. ^^ Ich hoffe du bist ein geduldiger Mensch aber wahrscheinlich bist du das sonst wärst du schon längst aus dem thread ausgestiegen.

Ich werde mich drum bemühen. ;) Ich werde auch jedes Fazit oder jedes Ergebnis hier reinstellen damit Andere, die es auch nicht besser wissen, erlesen können wie es geht. BTB: Ich meine zu wissen wo der Unterschied zwischen zentralen und lokalen Benutzern liegt. ;) Du fragst was das mit deiner Frage zu tun bezüglich des UsersA. Ich dachte ich hätte sie damit beantwortet, in dem ich dir schreibe, dass dieser User gar nicht lokal existiert. Es ist nur ein zentraler User auf dem DC. Er ist nur in der Gruppe Domänen-Benutzer. In der Gruppe Administratoren auf ServerA ist nur der Administrator, UserB und UserC, die wiederrum auch in der Gruppe Domänen-Benutzer sind. Alles auf ServerA. Auf ServerB gibt es natürlich auch einen Administrator. Mehr User gibt es nicht. Das ist der einzige lokale User. Ich hoffe ich habe deine Fragen nun besser beantwortet. ;)

OK! Jetzt merke ich meinen Fehler. Den ganzen UNC Pfad in "" setzen.. Ich habe natürlich nur "Daten GF" in " " gesetzt. Also Fazit v2 1. Version: \\server\Daten" "GF 2. Version: "\\Server\Daten GF" Ich hoffe ihr verzeiht mir, dass ich eure Nerven strapaziere. :)

Hi lokal gibts den UserA nicht. Also UserA ist ein AD User auf dem ServerA. Auf ServerB gibts den UserA nicht lokal. Sondern eben nur auf dem ServerA in der AD. Der UserA ist nur in der Gruppe Domänen-Benutzer. Die Gruppe Domänen-Benutzer hat keine Adminrechte auf die Verzeichnisse.

Ich arbeite auch lieber mit Gruppen, da das Setzen der Berechtigungen nicht so großen administrativen Aufwand erfordert. Bin dem Ganzen ein wenig auf die Spur gekommen. Du hattest mal wieder Recht Norbert. Ich konnte folgendes rausfinden: 1. Ich habe einen neuen Ordner angelegt. 2. Keine NTFS Berechtigungen gesetzt 3. Unter effektive Berechtigungen des neu angelegten Ordners überprüft wer welche Rechte hat 4. Festgestellt, dass UserA Vollzugriff auf den Ordner hat Somit ist auch klar warum, auch unter Verwendung der Funktion ABE, die Ordner noch sichtbar waren oder sind. Mir ist jetzt nicht ganz klar woher der UserA die Rechte bekommt. Nochmal zur IST-Situation: 1. Ich habe 2 Server (ServerA DC, ServerB in die Domäne eingebunden) 2. Einen freigegebenen OrdnerA auf ServerA erstellt. Berechtigungen gesetzt, ABE aktiviert, funktioniert tadellos (unter effektive Berechtigung hat jeder User die Rechte, die er haben soll) 3. ServerB in die AD eingebunden, als Administrator angemeldet und einen freigegebenen OrdnerB auf ServerB erstellt. Berechtigungen gesetzt genau wie bei OrdnerA auf ServerA. (Berechtigung überprüft, Fazit: Alle User haben Vollzugriff) Mein Fazit oder meine Überlegung ist weiterhin, dass es was mit der AD Anmeldung zu tun hat. Kann es sein, da ich mich mit ServerB an ServerA in der AD als Administrator anmelde, dass beim erstellen der Berechtigungen, die User die Administratorberechtigung vererbt bekommen? Denn sobald ich in der Active Directory mit ServerB bin und bei der Vergabe der NTFS Berechtigung User hinzufüge, dann muss ich mich an ServerA an der AD mit einem Benutzer anmelden. Ist hierbei egal, ob ich mich dann mit dem Administrator Account oder einem User Account anmelde, die Berechtigungen werden immer falsch gesetzt. (Alle User haben Vollzugriff) Wenn ich mich jetzt auf ServerB lokal anmelde, die Benutzerkonten lokal anlege und die NTFS Berechtigungen vergebe, dann funktioniert es sofort. Nur nicht, wenn ich die User aus der AD des DC hole. Meine angedachten Lösungsansätze: Muss ich ServerB in die Active Directory bringen, mich dann wieder lokal anmelden und dann die Berechtigungen vergeben? Muss ich ServerB in die AD bringen, mich als Administrator in der AD anmelden und den lokalen OrdnerB unter bestimmten Berücksichtigungen mit NTFS Berechtigungen versehen? Würde mich tierisch freuen, wenn ihr mir einen kleinen Denkanstoß geben würdet damit ich diese Hürde gemeistert kriege. habe schon so viel gelesen und probiert, komme aber nicht weiter. Ich hoffe ich habe es verständlich erklärt.

Das hat nicht funktioniert. Ich habe es vorher so ausprobiert nach wie vor wurde nicht verbunden. Ich bin auch erst darauf gekommen weil mir in diesem Threa geschrieben wurde, dass ich ein Error.log mal in ein bestimmtes Verzeichnis schreiben soll. Dabei ist mir aufgefallen, dass der Syntax nicht richtig war. Fazit: ein Leerzeichen immer in " " setzen, dann läufts. Bei mir lief der Versuch "Daten GF" nicht.

Bsp: 2MA (MA1, MA2) Ordner1 -> Jeder lesen, nur für diesen Ordner Unterordner1 -> MA1 schreiben/ändern, diesen Ordner, Unterordner und Dateien Unterordner2 -> MA2 schreiben/ändern, diesen Ordner, Unterordner und Dateien Das bedeutet, wenn ich den MA2 gar nicht in den NTFS Berechtigungen für Unterordner1 stehen habe, dann hätte er auf diesen Ordnern gar kein Zugriff?