dkdenz

vielen dank für die Antwort, funktioniert wunderbar mit ner .bat :)

Hi ich bin jetzt schon länger auf der Suche (und am rumprobieren), komme allerdings nicht weiter. ich bräuchte ein Script dass auf OUs bestimmte ACEs setzt, allerdings nicht die Standard Berechtigungen wie read/write sondern das was im AD "Properties" heisst, also zB: Read Street Write Steet (quasi Berechtigung auf das Feld "Street" auf dem AD Objekt) desweiteren, ist es möglich die Vererbung so zu setzen dass diese auf "Descendant User Objects" angewendet wird (also in der Properties der OU --> Security --> Advanced --> Permissions)? das Script unten setzt zwar auf der OU "Test" Berechtigungen für den User "Testuser" allerdings auf "reset password", hab bis jetzt nix gefunden um die einzelnen Properties zu setzen. und die Vererbung klappt auch noch nicht Const ADS_ACETYPE_ACCESS_ALLOWED_OBJECT = &H5 Const ADS_FLAG_OBJECT_TYPE_PRESENT = &H1 Const ADS_RIGHT_DS_CONTROL_ACCESS = &H100 Set objSdUtil = GetObject("LDAP://OU=TEST, OU=Finance, DC=fabrikam, DC=Com") Set objSD = objSdUtil.Get("ntSecurityDescriptor") Set objDACL = objSD.DiscretionaryACLSet Set objAce = CreateObject("AccessControlEntry") objAce.Trustee = "FABRIKAM\testuser" objAce.AceFlags = 0 objAce.AceType = ADS_ACETYPE_ACCESS_ALLOWED_OBJECT objAce.Flags = ADS_FLAG_OBJECT_TYPE_PRESENT objAce.ObjectType = "{00299570-246d-11d0-a768-00aa006e0529}" objAce.AccessMask = ADS_RIGHT_DS_CONTROL_ACCESS objDACL.AddAce objAce objSD.DiscretionaryAcl = objDACL objSDUtil.Put "ntSecurityDescriptor", Array(objSD) objSDUtil.SetInfo danke euch im vorraus

Hallo ich habe ein Problem mit Roamingprofiles, es werden die Changes an der HKCU nicht in der ntuser.ini gespeichert. also bei jedem Login auf der VM sind alle Änderungen in der HKEY_CURRENT_USER wieder weg. Die Profil Redirection findet mit 2 GPOs statt: Computer Configuration - Policies - Administrative Templates - System - User Profiles Add the Administrators security group to roaming user profiles Enabled Do not check for user ownership of Roaming Profile Folders Enabled Set roaming profile path for all users logging onto this computer Enabled Users logging onto this computer should use this roaming profile path: \\servername\ts-profiles$\%username% User Configuration - Policies - Windows Settings - Folder Redirection [b]AppData(Roaming)[/b] Setting: Basic (Redirect everyones folder to the same location) Path: \\servername\UserData$\%Username%\AppData\Roaming Grant user exclusive rights to AppData(Roaming): Disabled Move the contents of AppData(Roaming) to the new location Enabled Also apply redirection policy to Windows 2000, Windows 2000 server, Windows XP, and Windows Server 2003 operating systems Disabled [b]Contacts[/b] Setting: Basic (Redirect everyones folder to the same location) Path: \\servername\UserData$\%Username%\Contacts Grant user exclusive rights to Contacts: Disabled Move the contents of Contacts to the new location Enabled Also apply redirection policy to Windows 2000, Windows 2000 server, Windows XP, and Windows Server 2003 operating systems Disabled [b]Desktop[/b] Setting: Basic (Redirect everyones folder to the same location) Path: \\servername\UserData$\%Username%\Desktop Grant user exclusive rights to Desktop: Disabled Move the contents of Desktop to the new location Enabled Also apply redirection policy to Windows 2000, Windows 2000 server, Windows XP, and Windows Server 2003 operating systems Disabled [b]Documents[/b] Setting: Basic (Redirect everyones folder to the same location) Path: \\servername\UserData$\%Username%\My Documents Grant user exclusive rights to Documents: Disabled Move the contents of Documents to the new location Enabled Also apply redirection policy to Windows 2000, Windows 2000 server, Windows XP, and Windows Server 2003 operating systems Disabled [b]Downloads[/b] Setting: Basic (Redirect everyones folder to the same location) Path: \\servername\UserData$\%Username%\Downloads Grant user exclusive rights to Downloads: Disabled Move the contents of Downloads to the new location Enabled Also apply redirection policy to Windows 2000, Windows 2000 server, Windows XP, and Windows Server 2003 operating systems Disabled [b]Favorites[/b] Setting: Basic (Redirect everyones folder to the same location) Path: \\servername\UserData$\%Username%\Favorites Grant user exclusive rights to Favorites: Disabled Move the contents of Favorites to the new location Enabled Also apply redirection policy to Windows 2000, Windows 2000 server, Windows XP, and Windows Server 2003 operating systems Disabled [b]Links[/b] Setting: Basic (Redirect everyones folder to the same location) Path: \\servername\UserData$\%Username%\Links Grant user exclusive rights to Links: Disabled Move the contents of Links to the new location Enabled Also apply redirection policy to Windows 2000, Windows 2000 server, Windows XP, and Windows Server 2003 operating systems Disabled hab ich irgendwas vergessen? sorry ich komm echt nicht weiter. Danke für die Hilfe im vorraus!!!

Hi damit in der RDS-Farm (3 Server) die Profile nicht überall extra angelegt werden müssen, habe ich über die TS-Profile auf ein zentrales Filecluster umgeleitet, Konfig über GPO wie folgt: Computerkonfiguration - Richtlinien - Administrative Vorlagen - System/User Profiles Add the Administrators security group to roaming user profiles: Aktiviert Delete user profiles older than a specified number of days on system restart: Aktiviert Delete user profiles older than (days): 120 Do not check for user ownership of Roaming Profile Folders: Aktiviert Do not log users on with temporary profiles: Aktiviert Set roaming profile path for all users logging onto this computer: Aktiviert Users logging onto this computer should use this roaming profile path: \\FILESERVER01\profile$\%username% wenn ich mich jetzt jedoch auf einen der RDS-Server einlogge und gpresult /r ausführe sehe ich folgendes: Roaming Profile: \\FILESERVER01\profile$\halbers.Domain.V2 Local Profile: C:\Users\halbers.Domain es wird zwar ein Roaming Profil korrekt angelegt, jedoch immer auch eine lokale Kopie. Das ist schlecht da zum Beispiel die Systemvariable %Userprofile% den lokalen Pfad zurück gibt. Es wird zwar beim Logoff das lokale Profil mit dem Roaming Profile synchronisiert, jedoch bleibt das lokale weiterhin bestehen. Meine Frage: ist das lokale Profil notwendig und wenn nein, wo kann ich es deaktivieren? die Anbindung an den Fileserver ist 1Gbit/s, also schnell genug um das lokale Profil nicht zu benötigen :) Vielen dank euch schonmal im vorraus

verdammt, da war ich etwas zu schnell, grad die lösung gefunden :) Set objSdUtil = GetObject("LDAP://OU=TEST,DC=TEST,DC=Com") Set objSD = objSdUtil.Get("ntSecurityDescriptor") Set objDACL = objSD.DiscretionaryACL For Each objACE in objDACL If objACE.Trustee = "TEST\testuser" Then objDACL.RemoveAce objACE End If Next objSD.DiscretionaryAcl = objDacl objSDUtil.Put "ntSecurityDescriptor", Array(objSD) objSDUtil.SetInfo

Hi ich komm gerade nicht weiter.... ich versuche eine bestimmte Gruppe aus den SACLs aller Gruppen einer OU zu entfernen, jedoch finde ich nirgends einen Ansatz wie man das machen könnte. Eine Group einer SACL hinzuzufügen ist kein Problem, genauso wie Berechtigungen zu ändern, jedoch eine Gruppe zu entfernen klappt nicht. hat jemand einen Tip/Script wie das erledigt werden könnte? vielen Dank

Hi hab das Forum durchsucht doch keine Antwort auf meine Frage gefunden, sorry falls ich was übersehen habe. Es geht um die generelle Gruppenstruktur (nach dem Prinzip User-Global-DomainLocal-Permission) habe auf dem Fileserver einige shares, nehmen wir als Beispiel \\FILESERVER01\Users$ in diesem werden die User-Homedirs gemapped. Damit auch Administratoren/Serviceaccounts darauf Zugriff haben habe ich folgende Gruppen erstellt: DLG-EMEA-DEXX-FILESERVER01-Users$-R DLG-EMEA-DEXX-FILESERVER01-Users$-RW diese Gruppen haben jeweils Lese ® oder Lese&Schreib (RW) Berechtigung auf dem Ordner. soweit sogut :) doch jetzt würde ich die Globalen Groups auch gerne richtig benennen und vernünftig einteilen und damit habe ich gerade ein Problem: Wie anfangen? Es muss zum Beispiel ein Scan-Service Account auf das Userverzeichnis zugreifen, somit muss ich diesen in eine Globale Gruppe aufnehmen. wenn ich zB GLG-EMEA-DEXX-SERVICEACCOUNT-SCAN nehme macht das nicht soviel Sinn da ich diese Gruppe nur für den einen Share verwenden kann und somit dem Serviceaccount direkt zugriff auf die DLG geben könnte. wie habt ihr das bei euch gelöst? oder gibts da ne BestPractise oder irgendetwas? wäre für jeden Input dankbar, stehe grad auf dem Schlauch :) Danke euch

Hi also das Problem war der "FTP User Isolation" Mode, ich musste "FTP home directory configured in Active Directory" wählen und einen gültigen AD Account angeben. Kanns mir nur damit erklären dass mit diesem account ne query auf die AD values des FTP Users abgesetzt wird um die richtigen Pfade zu erhalten Danke euch für eure Hilfe

Hey Jarazul danke für deine Antwort! die lokale Windows Firewall ist ausgeschalten und ich befinde mich im selben Subnetz, da ist also keine Hardware-Firewall dazwischen. das kann es also leider nicht sein

Hallo ich habe einen IIS FTP unter Server 2008 R2 x64 aufgesetzt und wollte dass die Benutzer übers Active Directory den Pfad zum Homedir mitbekommen. Die 2 Attribute sind im AD wie folgt gesetzt: msIIS-FTPDir Home msIIS-FTPRoot \\Fileserver\Userdata$\Username der Pfad \\Fileserver\Userdata$\Username\Home existiert und ich habe zum Test jedem Full Controll gegeben, jedoch ohne Erfolg: Antwort: 331 Password required for Username. Befehl: PASS *********** Antwort: 530 User cannot log in, home directory inaccessible. Fehler: Kritischer Fehler Fehler: Herstellen der Verbindung zum Server fehlgeschlagen im FTP Log steht folgendes: 2011-08-29 06:25:49 172.19.x.xxx - 172.19.x.xxy 21 ControlChannelOpened - - 0 0 7ec8aec6-a34c-4f4a-b2be-e0b606c8494c - 2011-08-29 06:25:49 172.19.x.xxx - 172.19.x.xxy 21 USER Username 331 0 0 7ec8aec6-a34c-4f4a-b2be-e0b606c8494c - 2011-08-29 06:25:49 172.19.x.xxx domain\Username 172.19.x.xxy 21 PASS *** 530 58 33 7ec8aec6-a34c-4f4a-b2be-e0b606c8494c - 2011-08-29 06:25:49 172.19.x.xxx - 172.19.x.xxy 21 ControlChannelClosed - - 0 0 7ec8aec6-a34c-4f4a-b2be-e0b606c8494c - hab ich irgendwas übersehen? ich bin echt ratlos... Vielen dank für eure Hilfe im vorraus!

hey samsam vielen Dank für den Tip, werd mich da durcharbeiten! danke

ich meinte die "Grundidee", nicht die Umsetzung ;) Testumgebung bin ich gerade dabei aufzubauen, hatte gehofft ich würde es evtl ohne diese, in der Theorie verstehen :) edit: ok nachdem das echt nicht ganz so trivial zu sein scheint werde ich mich mal weiterbilden/testen. Vielen Dank für eure Antworten!

Hi ich brauche das gar nicht beruflich, bin gerade dabei mich durch das Galileo Openbook Server 2008 zu arbeiten Server 2008 und mir sind die Replikationswege nicht klar, bzw ich hab mir eben folgende Situation ausgedacht und versuche das eben nachzustellen und zu verstehen :) ich bin dir eh sehr dankbar für deine Hilfe und anscheinend ist das doch komplexer als gedacht. War der Meinung dass ich nen Denk/Logik-Fehler in meinem Konzept hatte, deswegen hab ich hier mal gepostet. Ich denke mein Konzept würde schon Sinn machen, allerdings ist mir nicht klar wie das Konzept reagiert wenn eben eine Site wegbricht... danke dir

Hi erstmal vielen Dank für eure Antworten!!! um mein Anliegen etwas zu verdeutlichen hab ich ne pdf mit dem groben Konzept erstellt. Vielleicht gibt es auch einen besseren Weg als den meinen, Ziel soll es sein dass die Sites auf den Kontinenten untereinander replizieren und nur eine EURO Site mit einer USA Site kommuniziert um den Trans-Atlantik-Traffic gering zu halten NilsK.: ich dachte daran den DEFAULTIPSITELINK bestehen zu lassen und die Kosten evtl zu erhöhen da dieser alle Sites beinhaltet und beim Ausfall einer "zentralen" Site (in meinem Konzept EURO1 oder USA1) würde ein alternativer Weg erstellt. Die Bridgeheadserver werden vom AD festgelegt. Die Kosten dienen also nur zur Replikationspfadermittlung und nicht darüber hinaus? Super, dann ist das schonmal klar :) Dukel: Die Standorte sind alle miteinander verbunden, es soll jedoch nur eine Trans-Atlantikleitung für den Europa-USA Replikationsweg verwendet werden. Versucht KCC immer alle DCs auf möglichst billigem (Kosten) Weg miteinander zu verknüpfen? also ist es zwingend erforderlich dass jeder DC indirekt mit jedem kommunizieren kann? Wenn jetzt zB in meinem Beispiel der komplette Standort USA1 ausfallen würde, wäre die Kommunikation zwischen den Kontinenten gestört. wenn zB eine Standortverknüpfung EURO2 <-> USA2 bestehen würde mit Kosten 1000, dann würde diese solange inaktiv bleiben bis die Standortverknüpfung EURO1 <-> USA1 ausfällt richtig?

Hallo irgendwie steh ich gerade auf dem Schlauch, vielleicht kann mir jemand weiterhelfen :) theoretische Ausgangssituation ist folgende: ->mehrere Standorte in den USA (Standort USA1,USA2,USA3,USA4) mit jeweils mindestens einem DC. ->mehrere Standorte in Europa (Standort EURO1,EURO2,EURO3) mit jeweils mindestens einem DC. angenommen die Verbingungen innerhalb der Kontinente wäre gut (>10mbit), die trans-Kontinentanverbindung ist allerdings nicht so super (ca 1mbit). um Bandbreite zu sparen wäre jetzt mein Ansatz die Replikation zwischen den Standorten zu minimieren indem ich mehrere Standortverknüofungen erstelle Europa (beinhaltet EURO1,EURO2,EURO3), Kosten 50 USA (beinhaltet USA1,USA2,USA3,USA4), Kosten 50 Europa-USA (beinhaltet EURO1,USA1), Kosten 50 somit müsste die Replikation bei einer Änderung auf EURO2 wie folgt aussehen: Änderung auf EURO2 --> Replikation auf EURO1 --> Replilkation auf USA1 --> Replikation auf USA* jetzt zu den Fragen :) Frage1: Funtkioniert das überhaupt so? ;) Frage2: Klar, der Schwachpunkt ist die Standortverknüpfung Europa-USA, wenn ein DC ausfällt wird nicht mehr repliziert, wie kann ich dem entgegenwirken? Einfach noch jeweils einen DC in die Verknüpfung mitaufnehmen? Frage3: Soll ich noch den DEFAULTIPSITELINK, der alle Sites beinhaltet, bestehen lassen mit Kosten 100? und wenn ja, wann würde die DEFAULTSITELINK verwendet werden? Wenn der DC des Standortes EURO1 ausfällt, wäre ja die Replikation zwischen den Konitinenten gestört, jedoch nicht die Replikation auf den Kontinenten. Würde dann über den DEFAULTIPSITELINK nur eine neue Replikation zwischen EURO* und USA* hergestellt werden, die restlichen Replikationen bleiben bestehen? Frage4: ich lese immer wieder über addierende Kosten, also zB EURO1 --> EURO2 --> EURO3, die einzelnen Replikationen sind ja über die Standortverknüpfungen mit Kosten 50 festgelegt. In diesem Fall "kostet" die Replikation EURO1 --> EURO3 100, aber warum ist das wichtig? die Standorte kennen doch nur den Replikationspartner (in dem Fall EURO1 --> EURO2 (Kosten 50)). Es werden doch keine Daten direkt von EURO3 abgerufen oder? das ist jetzt doch ganz schön viel geworden, wär echt super wenn mir jemand helfen könnte!!! vielen Dank im Vorraus