emeriks

Ja, schon. Aber doch nur, ob eine ACE vererbt wurde oder explizit vergeben? Ich müsste ja jetzt jedesmal mit dem übergeorneten Ordner vergleichen um zu schlussfolgern, ob die Vererbung an ist oder aus. Das kann aber u.U. sehr komplex werden. Das muss irgendwo als Eigenschaft der ACL drin stehen. Danke trotzdem.

Ich frage unter VB.NET die Access Control List von Ordern und Dateien ab. Ich kann die einzelnen Rules auslesen, geerbte und nicht geerbte, den Besitzer. Alles kein Problem. Was ich noch nicht hinbekommen habe, ist abzufragen, ob an dem betreffenden Objekt die Rechtevererbung aktiviert ist oder nicht. Ich finde da einfach nix im Namespace. Kann mir einer sagen, wie ich da rankomme?

Also erstens, ich denke Du meinst: \\domain.local\NOCSC$\public\Profiles\USERNAME.V2\Favorites Zeitens ist das ein DFS-Namespace. Da solltest Du mal Deinen Admin fragen, der das eingerichtet hat. ;) Irgendwo auf euren Servern muss die DFS-Verwaltung installiert sein. Oder auf einem Admin-Client. Über diese kann man den DFS-Namespace bearbeiten. Wenn Du aber bloß WISSEN willst: Öffne einfach direkt \\domain.local\NOCSC$\public Eigenschaften des Ordners "Profiles". Dort sollte es einen Reiter "DFS" geben. Und dort solltest Du sehen, mit welchem Share Du aktuell arbeitest.

Woher komt diese Datei? Orignal aus dem Netz? Es könnte sein, dass dieses mit einer Vorlage aus dem Netz erstellt wurde. Im Dokument wir diese Vorlage dann "für immer" verlinkt. Wenn diese Vorlage beim Öffnen nicht oder nur sehr langsam im Zugiff ist, dann kann das Deien beschriebenes Problem bewirken. Und, dass es schneller geht, wenn das Kabel ab ist, ist auch klar: Word nutzt den Standard-Datei-Öffnen-Dialog von Windows. Dieser basiert auf den Explorer. Und dieser ist nun mal die größte Fehlentwicklung von Microsoft. Wenn der Explorer - wie auch immer - "beauftragt" wird etwas im Netz aufzulisten, dann schaltet Windows "Intelligenz" ein. "Intelligenz" versucht dann ganz lange und ganz viel, um für den "dummen" Benutzer im Netz etwas zu öffnen. Wenn das Netz aber nicht liefert, was es soll, dann wird "Intelligenz" böse und versucht das noch länger und noch öfter. Bis "Intelligenz" dann erschöpft aufgibt und aussageschlappe Fehlermeldungen ausgibt. Wenn das Kabel aber ab ist, dann merkt Windows, dass das Netzwerk ja gar nicht da ist und läßt "Intelligenz" im Käfig.

Das ist eines DER Grundsatzthemen schlechthin. Aber ich will das mal pragmatisch angehen ... Wenn es Dir rein auf einfaches Desaster Recovery ankommt, also Server tot, Server neu herrichten, dann reichen theoretisch sogar schon 2 HDD's. Bei 5 wäre mir aber echt wohler. Wenn es jedoch auch auf die Versionierung ankommt, also dass man ausgewählte Datenbestände "beliebig" wiederherstellen kann, dann musst Du mit mehreren Medien arbeiten. Üblich ist da täglich, wöchentlich, monatlich, jährlich. Also z.B.: 4 Tagesmedien + 5 Wochenmedien + 12 Monatsmedien + x Jahresmedien. 1 Wochensicherung 4 Zuwachssicherungen (oder auch jeden Tag eine Vollsicherung) Die Tagesbänder am besten doppelt, wöchentlich abwechselnd, also 8 Medien. Die letzte erfolgreiche(!) Wochensicherung eines Monats wird zur Monatssicherung und weggelegt (ersetzt durch freies Medium). Die letzte Monatssicherung eines Jahres wird zur Jahressicherung und weggelegt (ersetzt durch freies Medium). Bei letzterem Modell wird die Kostenrechnung schon ganz anders. Mal abgesehen davon, dass Bänder deutlich länger haltbar sind (ohne zwischenzeitliche Auffrischung). Was man auch beachten muss, dass man HDD's sanfter behandeln muss als Bänder. Wieviel Stürze verkraftet eine HDD und wieviel ein Band? Externe HDD's kann man einfach mal so entfernen, wenn physischer Zugriff besteht. Für ein eingelegtes Band kann man den Auswurf sperren (mit Software), sodass niemand "im Vorbeigehen" das band mal schnell mitnimmt. Zum Lesen eines Bandes muss man zudem wissen, mit welcher Software es beschrieben wurde. Oder man ist bein BND, FBI o.ä. Externe HDD's sollte man also in jedem Fall verschlüsseln. Und und und ...

Das landet doch in den Anwendungsdaten, oder nicht? Diese kann man per GPO auf ein Share umleiten. Läuft unter "Ordnerumleitung". Weiterhin kann man per GPO einstellen, welche Ordner explizit aus dem Roamingprofile ausgeschlossen sind, und genau so, welche explizit eingeschlossen sind. Wenn Euch diese 100 MB beim An- und Abmelden am TS nicht stören (An- und Abmeldezeit), dann kann man es auch so machen.

Also wenn Du den Client-PCschon neu installiert hast, dann verpass ihm mal zum test ne andere IP. TCP/IP-Konfig ist sonst aber in Ordnung?

Also erstens ist es nicht überall gewünscht, dass Administratoren eines Servers deswegen auch gleich ungehinderten Zugrifgf auf alle Daten haben. Zweitens ist es eine Option in der GPO für die Ordnerumleitung, wo standardmäßig drinsteht, dass der Benutzer allein Zugriffsrechte für diese Ordner erhält. Wenn Du diesen Haken rausnimmst, dann werden beim Erstellen der Ordner die übergeordneten Berechtigungen vererbt und zusätzlich der betreffende Benutzer eingetragen. Das klappt dann aber nur mit neue(!) Orden die nach der Änderung der GPO erstellt werden. Also i.A. bei neuen Benutzern. Für die vorhandenen musst Du dir über den Besitzer das Recht holen. Pass aber auf und trage anschließend den Benutzer wieder als berechtigt ein! Teste doch einfach mal während der Benutzer angemeldet ist, ob Du auf das entsprechende Share zugreifen kannst. Ähm ... Du hast doch auf ein Share umgeleitet und nicht etwa auf "C:\Benutzer\....." ?!

Mails vom Typ "Absage" oder "Absage" im Betreff oder so ähnlich weiterleiten an diese Mitarbeiter?

Unsere Umgebung: Windows 2003 R2, 2008, 2008 R2 1 Forest, 3 Trees,14 Domains, viele, viele Sites 12 Domains in 2008 R2, 2 in mixed 2003 & 2008 ca. 300 Server Kürzlich haben wir unser Administrationsmodell umgestellt. Bisher war es üblich, dass unsere Admins mit Ihren Konten keine Admin-Rechte in den Domänen und auf den Servern hatten. Wenn was administriert werden musste, dann wurden dazu immer DIE Administrator-Konten verwendet. Jetzt hat jeder Admin sein personenbezogenes Admin-Konto (genau eins) in der Stammdomäne. DIE Administrator-Konten sind mit langen, kryptischen Passwörtern versehen und diese sind niemanden bekannt, liegen im Safe der GF. Damit diese Admin-Konten in allen Domänen arbeiten können, sind diese in entsprechende Gruppen. Diesen Gruppen wurden per GPO in den Domänen und auf den Membern die notwendigen Rechte erteilt. Soweit alles gut. 2 Admin (einer davon bin ich), sind in allen Domänen BuiltIn-Administratoren und zusätzlich Enterprise-Admins. Weiterhin per GPO lokale Administratoren auf den Member-Servern. Soweit auch alles gut. Wir können alles administrieren. Heute ist etwas aufgefallen: Wir sind auf einem Member-Server einer untergeordneten Domain. Ein Fileserver. Wir betrachten die NTFS-Berechtigungen eines "normalen" Users dieser Domain. Der User ist Mitglied in Gruppen dieser Domain. Wir können mit unseren Admin-Konten auf diesem Member-Server alles machen. Haben volle lokale Adminrechte. Auch in dieser untergeordneten Domain können wir alles machen. Wenn wir versuchen, die effektiven NTFS-Berechtigungen eines Users für einen Ordner auf dem o.g. Fileserver anzeigen zu lassen, dann hat dieser Benutzer angeblich keine Rechte, alles grau. Ich habe in dieser Domain zum Test ein neues Konto erstellt, dieses zum Domain-Admin dieser untergeordneten Domain gemacht. Wenn ich mich mit diesem Konto auf dem Fileserver anmelde und dann die effektiven Berechtigungen des selben o.g. User für den selben o.g. Ordner mir anzeigen lasse, dann werden da die korrekten, über Gruppenmitgliedschaften geerbten Rechte angezeigt. Meine Frage nun: Welches Recht fehlt meinem Admin-Konto, da es doch nicht die effektiven NTFS-Berechtigungen anzeigen kann? Hinweis: Ich kann mein Admin-Konto nicht direkt in die Domain-Admins packen, weil das eine Globale Gruppe ist und eine solche keine Konten einer anderen Domain aufnehmen kann.