bugblatterbeast

Sorry, damit meine ich eine Netzwerk-Freigabe, die zum Datei-Austausch dient und daher in unserem Fall, Unterverzeichnisse mit unterschiedlichen Schreib- und Besitzrechten für verschiedene Benutzer bzw. Gruppen hat. Der Begriff Exchangeverzeichnis war zugegebener Maßen unnötig und hat eigentlich nichts mit der Fragestellung zu tun. Mein genereller Wunsch war, eine Freigabe mit einen Durcheinander an unterschiedlichen Rechten neu zu organisieren und dabei so wenig Definitionen wie möglich zu verwenden. Ich habe es jetzt glaube ich irgendwie hingekriegt, indem ich zunächst alle Rechte des Hauptordners mit der Option "auf alle Unterordner anwenden" gelöscht habe. Dann konnte ich eine einfache und klare Rechtestruktur vergeben. Ich hoffe zumindest, dass keine alten Rechte-Definitionen übrig geblieben sind und finde, dass das Hilfsmittel "Eigenschaften > Sicherheit" ziemlich dürftig ist. Ich würde mir ein Tool wünschen, dass einen besseren Überblick über die Rechte in ganzen Verzeichnisstrukturen und etwas mehr Klarheit bezüglich Vererbung bietet. Gruß, bbb

Hallo zusammen, in unserem alten Exchange-Verzeichnis ist leider ein einziges Durcheinander, was die Zugriffsrechte der Dateien und Ordner betrifft. Ich habe mir jetzt ein vernünftiges Konzept überlegt und die Basisordner für alle Benutzer mit der gewünschten Rechtestruktur versehen. Dabei ist jedes Mal der Gültigkeitsbereich für Unterordner und Dateien gesetzt. Jetzt möchte ich bei allen Unterordnern und Dateien die Rechte entfernen und den Haken bei "Vererbbare Berechtigungen des übergeordneten Objektes einschließen" setzen. Wie gehe ich da am besten vor, um mir unnötige Arbeit zu sparen? Vielen Dank und Gruß, bbb

Hallo Daniel, der von Dir verlinkte Artikel http://support.microsoft.com/kb/942091/de beschreibt exakt das Problem, das ich im Moment habe. Es funktioniert aber leider keiner der Lösungsvorschläge. "Kannst Du nicht erst einmal testen, den UNC-Pfad zur Ablage im IE am Client zu der Intranet-Zone hinzuzufügen?" Leider nein! Das Feld "Diese Website zur Zone hinzufügen" ist inaktiv, wenn ich in der Domäne arbeite (egal ob Admin oder User) und Einstellungen, die ich als lokaler Administrator vornehme verschwinden, sobald ich mich an der Domäne anmelde. "Hattest Du auf dem Testclient und dem Server einen Virenscanner oder eine 3rd Party Firewall installiert?" Auf meiner Arbeitsstation läuft Avira Professional und auf dem Testclient ist gar keine 3rd-Party-Software installiert. "Um was für eine Datei handelt es sich eigentlich, die Du da starten willst?" Ich habe alle möglichen ausprobiert... zum Testen habe ich meistens irgendetwas kleines, wie zum Beispiel den ssh-/telnet-client putty verwendet. Generell geht es aber darum, dass wir plattformunabhängige Software entwickeln und ich zum Testen der Windows-Version gerne die Möglichkeit hätte, mich an irgendeinen Domain-Client anzumelden und die zuletzt kompilierte Testversionen direkt von einem Netzlaufwerk auszuführen (das geht ja jetzt zum Glück schon mal - halt nur nicht von meinem Home-Verzeichnis).

Ich habe jetzt endlich die Zeit gefunden, ein Testgerät einzurichten. Wie zu erwarten, war der unerwünschte Wert auf dem neuen System nicht gesetzt, da er ja nicht mehr in der GPO ist und der Computer frisch aufgetzt wurde. Ich habe mir gar nicht erst die Mühe gemacht zu überprüfen, ob ich einen Weg finde, die Richtlinie auf den alten Computern zu löschen, ohne die gespeicherten Daten zu gefährden. Das eigentliche Problem scheint nämlich nichts damit zu tun zu haben. Ich kann nach wie vor keine Ausführbaren Dateien von meinem Home-Verzeichnis ausführen. "Auf das angegebene Gerät, bzw. den Pfad oder die Datei kann nicht zugegriffen werden. Sie verfügen eventuell nicht über ausreichende Berechtigungen, um auf das Element zugreifen zu können." Ich kann jedoch alle ausführbaren Dateien mit einem Hex-Editor lesen - es betrifft also nur die Ausführbarkeit. Ich habe am 31. März mein vollständiges gpresult als zip-Datei hochgeladen. Diese Datei wurde nie heruntergeladen... was wäre der einfachste Weg, Euch meine gesamte Konfiguration zur Verfügung zu stellen?

Vielen Dank, das habe ich verstanden. Dazu habe ich noch folgende Bedenken: Die Einstellung, dass ein Ordner "\\glados.domain.local\home\Benutzername" angelegt werden soll, würde ich tatsächlich gerne loswerden. Schließlich wird diese Anforderung ja nun auch dadurch realisiert, dass ich beim Netzlaufwerk U: die Option "für jeden Benutzer einen Ordner anlegen" (o.ä.) ausgewählt habe. Ich möchte aber auf keinen Fall, dass die erstellten Verzeichnisse gelöscht werden, sondern nur die unnötige und redundante Einstellung, die außerdem den falschen Servernamen verwendet. Wenn ich jetzt die unerwünschte Einstellung von "erstellen" auf "löschen" ändere, kann ich dann sicher sein, dass die Daten erhalten bleiben? Gruß, bbb

"Du wirst den Teil aber noch mittels GPP auf dem Client löschen lassen müssen." ????? Entschuldige, ich verstehe das nicht mal im Ansatz. Technisches Allgemeinwissen oder alles was generell mit Netzwerken zu tun hat, kannst Du gerne voraussetzen. Die Besonderheiten des Windows-Betriebssystems, müsstest Du mir aber bitte zumindest in Stichworten oder mit einem direkten Link auf das Thema erklären.

Hallo nocheinmal, es tut mir Leid, wenn meine Antworten nicht so schnell kommen, aber ich habe im Moment leider zu viel zu tun. "gpresult /?" hatte ich schon ausprobiert. Da werden nur die Optionen /H für html und /X für xml erklärt. Ich hätte zwar gerne plaintext, weil ich das so gewohnt bin aber das ist total nebensächlich. > "Zeig uns doch was genau Du gelöscht hast." Es geht um einen Eintrag unter "Benutzerkonfiguration" > "Einstellungen" > "Windows-Einstellungen" > "Ordner" > "Kannst Du einen kleinen Screenshot vom GPRESULT uploaden?" Ich habe schon vor ein paar Posts das gesamte Ergebnis als Zip-Datei angefügt... (html durfte ich nicht hochladen). Ich hänge jetzt einen Screenshot von dem Teil an, den ich eigentlich gelöscht habe, aber der immer noch im Bericht erscheint. Es ist aber nur ein Verdacht von mir, dass dies mit dem eigentlichen Problem zu tun hat. ----- Das eigentliche Problem hat sich wie gesagt schon etwas gebessert. Die Warnmeldungen sind weg und das Zugriffsproblem tritt jetzt nur noch beim Benutzerverzeichnis auf. Wenn ich Euch noch irgendwelche Informationen zukommen lassen kann, sagt mir bitte Bescheid. Danke und Gruß, bbb

Hallo nocheinmal, ich habe leider generell sehr viel zu tun und kann mich nicht mit voller Hingabe diesem Problem widmen. @Martin: vielen Dank schon einmal, für den Link zur Ordnerumleitung. Ich habe damit die Probleme mit den Ordnern "Eigene Bilder" usw. in den Griff bekommen. Zu meiner Frage bezüglich der Verzögerungen bei der Übernahme der Werte schriebst Du: "Ja, kann bis zu 30 Minuten dauern." Das wäre ja kein Problem. Ich warte jetzt seit drei Tagen darauf, dass ein Wert verschwindet, den ich aus den Gruppenrichtlinien gelöscht habe. Als ich dabei war herumzuprobieren, wie ich die Ordnerumleitung eingerichtet kriege, hatte ich unnötiger Weise unter "Benutzerkonfiguration" > "Einstellungen" > "Windows-Einstellungen" > "Ordner" eine Regel angelegt (oder es versucht), die für jeden Benutzer automatisch einen Home-Ordner anlegt. Ich wußte zu dem Zeitpunkt nicht, dass man das auch mit der Ordnerumleitung machen kann. Dabei hatte ich den Servernamen als "glados.domain.local" ausgeschrieben. Dieser spezielle Eintrag verschwindet einfach nicht aus den GPRESULT-Ergebnissen, obwohl er schon lange gelöscht wurde und nicht mehr in den Gruppenrichtlinien zu finden ist. Das eigentlich Hauptproblem hat sich (wie schon beschrieben) etwas gebessert. Es betrifft jetzt nur noch den Home-Ordner und nicht mehr die anderen Freigaben. Die Warnmeldung wird auch nicht mehr angezeigt, sondern nur noch der Zugriffsfehler. Gibt es für GPRESULT eigentlich auch eine ganz einfache Textausgabe??? Gruß, bbb

Hallo nochmal, ich bin jetzt wieder im Büro. "Welche Zone wird im Explorer unten Rechts angezeigt, wenn Du das LW und das Verzeichnis offen ist?" Unten rechts wird gar nichts angezeigt. Muss ich dazu etwas aktivieren? Wir haben Windows 7 auf den Clients. ___ Vielen Dank für den Tip mit gpresult. Das ist schon mal eine große Hilfe. Die gesetzten Einstellungen scheinen richtig bei den Clients anzukommen. Automatische Erkennung des Intranets ist aktiviert Liste der Site zu Zonenzuweisungen ist korrekt <--- keine Ahnung, warum das jetzt als Link dargestellt wird Gruß, bbb Also, die Warnung ist jetzt weg, aber die Dateien lassen sich trotzdem nicht ausführen, obwohl sie sich mit einem Hex-Editor öffnen lassen. Lesen, Schreiben, Anlegen, Löschen geht aber Ausführen nicht. Obwohl ich alle Servernamen, in denen Punkte enthalten waren, ersetzt habe, wird in der Zusammenfassung von GPRESULT trotzdem noch ein falscher Wert angezeigt (der eigentlich nicht da sein dürfte). Kann es da Verzögerungen in der Übernahme der Werte geben? Das mit der Ordnerumleitung funktioniert leider eh nicht so, wie man sich das vorstellen würde.... "Eigene Bilder" uws. ist jetzt in bestimmten Ansichten plötzlich doppelt da, und wenn ich ein Bild mit GIMP unter "Eigene Bilder" speicher und es dann hier hochladen möchte, dann funktioniert das nicht, weil der Ordner "Eigene Bilder", den ich beim DateiUpload auswählen kann ein anderer ist, als der, den ich beim Speicher in GIMP sehe...?????? Tut mir Leid, dass das jetzt so unübersichtlich aussieht, aber ich kann irgendwie nicht verhindern, dass die Beiträge die ich verfasse an meine vorigen Beiträge angefügt werden... gpresult.zip

Vielen Dank schon mal Euch beiden. "Kommt die Einstellung denn auch auf den Clients an?" Ich habe mich schon gefragt, wie ich das am besten kontrollieren kann. Ich hätte sowieso gerne die Möglichkeit, eine Auflistung aller gesetzten Werte (einschließlich der Defaults) auf den Clients abzufragen. Servername und Pfad enthalten keinen Punkt nur "glados" bzw. "\\glados\home\nils\Daten" (als Beispiel). Was von beiden würde ich bei den Site zu Zonenzuweisungen eintragen? Wenn es der Pfad wäre, müßte ich da ja eine Benutzer-Variable setzen oder so etwas. Gruß, bbb "Intranet automatisch ermitteln kannst Du ruhig anpassen." ist das defaultmäßig deaktiviert? Ich habe da eigentlich nichts dran geändert.

Hallo Sunny, vielen Dank für Deine Antwort. Ich bin schon zu Hause und eigentlich erst am Montag wieder im Büro, daher kann ich Deine Frage jetzt nicht genau beantworten. Vielleicht gehe ich morgen mal kurz vorbei und überprüfe das. Ich habe aber schon folgende erfolglosen Versuche unternommen, das Problem zu lösen: GPC -> Administrative Vorlagen -> Windows-Komponenten -> Internet Explorer -> Internetsystemsteuerung -> Sicherheitsseite -> Liste der Site zu Zonenzuweisungen aktiviert und IP des AD-FileServers mit dem Wert 1 für Intranet eingetragen Bei der Laufwerkzuordnung die Option "Im Sicherheitskontext des angemeldeten Benutzers ausführen..." aktiviert. Gruß, Nils

Hallo, wir sind ein kleines Büro mit AD-Server und einer GPO, die automatisch Netzlaufwerke zuweist und die persönlichen Verzeichnisse der Benutzer umleitet. Somit ist fast alles Serverseitig gespeichert und jeder Mitarbeiter kann an jedem Arbeitsplatz arbeiten. Leider lassen sich keine unsignierten ausführbaren Dateien von diesen Netzlaufwerken starten. Es kommt jedes Mal diese Fehlermeldung: "Es kann nicht überprüft werden, wer die Datei erstellt hat. Möchten Sie diese Datei wirklich ausführen ?" Das alleine wäre ja schon schlimm genug, aber das war noch nicht alles. Wenn man nun auf die Schaltfäche ausführen klickt, kommt folgendes: "Auf das angegebene Gerät, bzw. den Pfad oder die Datei kann nicht zugegriffen werden." Wir entwickeln Software und müssen ständig irgendwelche selbst kompilierten und unsignierten Testprogramme ausführen. Dieser Zustand ist beim besten Willen nicht tragbar. Die Kernfrage ist nun: Wie kann ich es anstellen, dass die Netzlaufwerke oder die Freigaben auf einem bestimmten Server genauso behandelt werden, wie lokale Laufwerke? Gruß, bbb

Hallo Daniel, kann das mit der Einstellung, die ich gesetzt habe, zu anderen Problemen führen? Gäbe es noch einen eleganteren und systemkonformeren Weg, ein Netzlaufwerk oder einen ganzen Server in der Domäne als vertrauensvoll zu deklarieren? Gruß, bbb Ich verstehe Deinen berechtigten Einwand. Mit den anfangs gegebenen Informationen wäre es wohl kaum möglich gewesen, auf die Lösung meines Hauptproblems zu kommen... Allerdings habe ich auf diese Art gleich sehr viel gelernt, was mir mit Sicherheit noch hilft, da ich mit meiner Kenntnis über AD-Domänen und Gruppenrichtlinien noch nicht so weit bin. Ich hoffe ja schließlich, mit etwas Hilfe von Leuten wie Euch, die auf dem Gebiet einfach mehr Erfahrung haben, zu lernen, wie ich mir in Zukunft selbst helfen kann. Bevor ich mit Installationen über Gruppenrichtlinien anfange, müsste ich erstmal mehr Erfahrung über den AD-Betrieb sammeln. Ich hätte Angst, sonst den laufenden Betrieb zu stören. Wir haben sehr viel Spezialsoftware und verschiedene Konfigurationen. Es wäre zwar schon sehr schön, da einiges über automatische Software-Installationen per Gruppenrichtlinie zu regeln. Ich dachte aber, dass das nur mit .msi Dateien geht und nicht mit den so oft ausschließlich zur Verfügung gestellten ausführbaren Installern.

Hallo Daniel, vielen Dank für den Hinweis. Was mir besonders geholfen hat, war die Information, dass im Fenstertitel der CMD-Shell auf die Administratorrechte hingewiesen wird. Das hatte ich bisher gar nicht bemerkt. Meine Vermutung war falsch. Es gibt kein Problem mit der Berechtigungsstufe... es ist wohl normal, dass man heutzutage auch mit Administrator-Berechtigungen bestimmte Einträge in der Registry nicht bearbeiten/löschen kann. Das eigentliche Problem war, dass ich ganz selbstverständlich davon ausging, dass ich die Installation von einem Netzlaufwerk aus starten könnte... nach einem kurzen Test mit einer auf ein Netzlaufwerk kopierten cmd.exe musste ich jedoch feststellen, dass dort einfach keine Admin-Rechte zugeteilt wurden. Ich habe diesen unbequemen Umstand jetzt dadurch in den Griff bekommen, dass ich bei der Laufwerkzuordnung die Option "Im Sicherheitskontext des angemeldeten Benutzers ausführen..." gewählt habe. Da die Installation mehrere Stunden dauert, kann ich erst morgen sagen, ob es auch das Problem mit der AutoCAD-Installation behoben hat. Danke an alle und Gruß, bbb

Vielen Dank für Eure Antworten. @lefg: Es handelt sich um die "Building Design Suite Premium" und das Problem tritt bei der Installation von AutoCAD auf. Das Problem besteht nur bei einem Client Wir haben einen Support-Vertrag und das Problem ist unter der Adresse http://upandready.typepad.com/up_and_ready/2011/07/error-2738-installation-could-not-access-vbscript-run-time-for-custom-action.html dokumentiert. Jedoch funktioniert die dort beschriebene Lösung nicht. @Sunny61: Vielen Dank für den Link und die Antwort auf die generelle Frage, das ist schon mal gut zu wissen. super-ausführliche Beschreibung: In der oben genannten Lösung wird beschrieben, wie ich die betreffende dll mit Admin-Rechten registriere und ggF. die bereits unter falschen Rechten ausgeführte Registrierung der dll aufhebe. Ich habe also zuerst mit dem Befehl "regsvr32 /u vbscript.dll" die bestehende Registrierung aufgehoben und dann mit "regsvr32 vbscript.dll" wieder eingerichtet. Das habe ich in beiden relevanten Verzeichnissen gemacht. Kam mir zwar komisch vor, dass der Befehlsname explizit auf eine 32Bit-version hinweist und auch für die 64Bit-dll verwendet werden soll aber das scheint schon seine Richtigkeit zu haben - ist ja auch nur eine Registrierung... Die Installation funktionierte trotzdem nicht. Also habe ich, die Registry manuell bearbeitet. Dabei fiel mir auf, dass ich, obwohl ich regedit mit dem Kontextmenu-Eintrag "als Administrator ausführen" gestartet habe, nur in der Lage war, meinen eigenen LOCAL_USER-Bereich der Registry zu verändern, was für mich darauf hinwies, dass das mit dem "als Administrator ausführen" nicht richtig geklappt hat - es kam auch nicht die gewohnte Bestätigungsabfrage. Daher habe ich mir eine Verknüpfung zur Kommandozeile cmd auf dem Desktop angelegt und versucht im Eigenschafts-Menu unter Kompatibilität einzustellen, dass der Befehl immer im Administrator-Modus ausgeführt werden soll aber die Checkbox war inaktiv und konnte nicht gesetzt werden. Unsere Clients sind in einer Active-Directory-Domäne verbunden und ich weiß, dass man über die Gruppenrichtlinien steuern kann, ob es möglich ist, Administratorrechte anzufordern. Der Punkt Richtlinien – Windows-Einstellungen – Sicherheitseinstellungen – Lokale Richtlinien – Sicherheitsoptionen war aber in unseren Gruppenrichtlinien nicht aktiviert. Um sicherzugehen, dass es nicht am Default-Wert liegt, habe ich testweise mal die Richtlinie aktiviert und den Wert so eingestellt, dass eine Anforderung von Administratorrechten im sicheren Desktop-Modus möglich sein sollte (ich weiss den genauen Wortlaut nicht mehr). Der Zustand blieb jedoch unverändert. Daher habe ich den oberen Beitrag geschrieben. Ich glaube, dass es in unserer Domäne ein Problem mit der Anforderung von Administratorrechten bzw. mit der Festlegung der Berechtigungsstufe gibt. Das könnte ja durchaus noch weitere Probleme bereiten als nur diese Schwierigkeiten bei der Installation von AutoCAD. Gruß, bbb

Hallo, beim Versuch Autodesk zu installieren, ist es auf einer unser Arbeitsstationen zu einem bereits bekannten Fehler gekommen. Die Registrierung einer dll schlug wegen nicht ausreichender Rechte fehl (obwohl ich als Administrator angemeldet war). Anscheinend sind die Administrator-Accounts nicht mehr das, was sie mal waren, denn es wurde mir empfohlen, die Kommandozeile mit dem Kontext-Menu-Eintrag "als Administrator ausführen" zu starten und dann die Registrierung der dll manuell vorzunehmen. Das macht jedoch keinen Unterschied... Ich habe also eine Verknüpfung mit cmd erstellt und versucht die Berechtigungsstufe zu ändern und den Haken bei "Programm als Administrator ausführen" zu setzten - die Checkbox ist aber leider inaktiv, wie auch alle anderen Einstellungsmöglichkeiten unter Eigenschaften > Kompatibilität. Kann man das mit GPO-Einstellungen in den Griff bekommen? Macht es einen Unterschied, ob ich so eine Installation als lokal angemeldeter Administrator oder über die Domäne angemeldeter Domänenadministrator ausführe? Ich arbeite seit beinahe zwei Jahrzehnten mit UNIX-basierten Systemen und habe leider nur wenig Erfahrung mit dem komplizierten Rechtesystem von Windows. Gruß Nachtrag: auf dem Client läuft Windows 7 (64 Bit) + SP1