Freigabeberechtigung bei Benutzerprofilen

[schaedld 10]

Hallo zusammen

Da ich meine erste 70-290 versemmelt habe, bestellte ich mir dass MS-Press Buch in der zweiten Auflage. Umfang und Beschreibung sind besser als die Addison & Wesley. Was mich aber nicht losläst ist folgendes und zwar im Kapitel 3 für die Benutzerprofile:

 

Wenn Benutzer auf ihre Profile zugreifen wollen braucht die Gruppe Jeder Vollzugriff auf diesen Ordner

1. Es würde doch auch reichen Ändern als Berechtigung zu geben

2. Wieso den Jeder, wenn mans auf die Domänen-Benutzer beschränken kann?

3. Die NTFS Security würde ich so oder so auf Ändern /Schreiben setzen.

 

Kummulativ gesehen hatt der Benutzer ja jetzt das Recht Ändern /Schreiben. Meine Frage nun: Würdet ihr die Gruppe Jeder rausnehmen, sie mit Domain Users ersetzen und auf die Freigabe "nur" die Freigabe-Berechtigung Ändern geben?

 

Danke für euer Feedback.

[Jian 10]

Hi,

wenn es nur um die Freigabeberechtigung geht, kannst du die Gruppe "Jeder" lassen und ihr Vollzugriff geben. Es wird ja dann über die NTFS-Berechtigungen weiter eingeschränkt.

 

Aber ebensogut kannst du auch anstatt der Gruppe Jeder die Auth.Benutzer reinnehmen.

 

Gruß

 

Jian

[IThome 10]

Man muss nicht Jeder setzen und auch nicht Vollzugriff. In der Profilfreigabe wird vom Client ein neuer Ordner erzeugt, der die passenden Berechtigungen (je nach Einstellung auch für den Administrator) hat. Auf Freigabeebene benutze ich normalerweise Vollzugriff und definiere Einschränkungen nur auf NTFS-Ebene, da ich in diesem Fall nur in der NTFS-Ebene nach Berechtigungsfehlern suchen muss. Die Freigabe auf nur Ändern setzen könnte man machen (jetzt nicht auf das Profil bezogen) , wenn man verhindern möchte, dass Ersteller von Dateien oder Ordnern die Berechtigungen Ihrer Objekte verändern können (Administratoren können das trotzdem).

[699Punkte 10]

Hallo schaedld,

 

das Zusammenwirken von Freigaben und NTFS-Berechtigungen wird etwas weiter im 290er OMT-Buch ausgeführt:

- Kap. 6, S.230 und der anschließende graue Kasten;

ist genau der Nerv, in den Jian und IThome gebohrt haben.

Objekte werden mit den "gröberen" Freigabeberechtigungen mit Vollzugriff eingestellt, um dann durch Einschränkung mit den "feineren" NTFS-Berechtigungen den gewünschten Zugriff zu konfigurieren.

 

Dein Thread läßt auf eine gute Prüfungsvorbereitung schließen - das wird was.

Gutes Gelingen

[warbird001 10]

Man muss nicht Jeder setzen und auch nicht Vollzugriff.

 

Aehh, alle Versuche den Benutzern was anderes als Vollzugriff auf die Profilverzeichnisse zu geben sind hier immer gescheitert. Eine Zeitlang gehts, aber Irgendwann wird das Profil beim Abmelden nicht mehr Zurueckgeschrieben.

 

Egal ob w2k(Server und Client) oder w2k3 und XP

 

Vollzugriff fuer "Jeder" ist allerdings .....

 

Weiss jemand ob es funktionierende Moeglichkeiten gibt die NTFS Rechte auf

den Profilverzeichnissen der Nutzer Einzuschraenken?

 

ciao

Stefan:wq

[IThome 10]

Ich rede von dem Ordner, der freigegeben wird und da reicht Ändern, damit das Profilverzeichnis angelegt werden kann. Den Unterordner (der den Namen des Clients z.B. hat), in denen das eigentliche Profil liegt, erzeugt der Client selbst und das mit den richtigen Berechtigungen. Oder wovon sprichst Du ?

[warbird001 10]

Ich rede von dem Ordner, der freigegeben wird und da reicht Ändern, damit das Profilverzeichnis angelegt werden kann.

 

O.K , Missverstaendniss.

 

I

Den Unterordner (der den Namen des Clients z.B. hat), in denen das eigentliche Profil liegt, erzeugt der Client selbst und das mit den richtigen Berechtigungen. Oder wovon sprichst Du ?

 

Die meinte ich.

 

ciao

Stefan:wq

[IThome 10]

Der Benutzer muss Besitzer dieser Ordner sein oder das Prüfen des Besitztums muss via Gruppenrichtlinie ausgeschaltet werden. Anderenfalls wird der Client dieses Profil nicht laden. Aus welchem Grund sollte man dem Client in seinem Benutzerprofil nicht die vollen Berechtigungen geben ? Ist es nicht erwünscht, dass Änderungen vollzogen werden, benutzt man ein Mandatory Profile oder unterbindet via Gruppenrichtlinie, dass Änderungen am servergespeicherten Profil vorgenommen werden ...

[warbird001 10]

Der Benutzer muss Besitzer dieser Ordner sein oder das Prüfen des Besitztums muss via Gruppenrichtlinie ausgeschaltet werden. Anderenfalls wird der Client dieses Profil nicht laden. Aus welchem Grund sollte man dem Client in seinem Benutzerprofil nicht die vollen Berechtigungen geben ?

 

Es gibt hier immer wieder Probleme damit das in den Profilen Dateien auftauchen

die entweder keinen Besitzer haben oder deren Zugriffsrechte so verdreht sind

das Administratoren die Verzeichnisse/Dateien nicht mehr loeschen koennen

ohne erstmal den Besitz zu uebernehmen und Rechte Neuzusetzen.

 

Das sorgt fuer eine Unmenge Warnungen und Fehlermeldungen im Backup,

bis hin zum Abbruch. Ausserdem entsteht oft ein immenser Zeitaufwand wenn

Nutzer geloescht werden muessen.

 

Ich denke das das Problem kleiner wuerde wenn man den Nutzern "Berechtigungen Aendern" und "Besitz Uebernehmen" im Profilverzeichniss Verweigern koennte.

 

Hatt aber bisher immer dazu gefuehrt das die Profile nach einer gewissen

Nutzungszeit bei Abmeldung nicht mehr zurueckgeschrieben werden konnten.

 

ciao

Stefan:wq

[IThome 10]

Das würde überhaupt nichts bringen, da die Benutzer die Ersteller ihrer Dateien sind und demzufolge immer volle Berechtigung haben oder sich geben können. Die Benutzer arbeiten auch mit einer Kopie des servergespeicherten Profils, nicht mit dem Profil selbst. Wenn sie sich abmelden, wird das lokale Profil mit dem Serverprofil "verschmolzen" (nach gewissen Regeln). Vielleicht solltet Ihr die Richtlinie setzen, dass die Administratoren den Profilordner-ACLs zugefügt werden (das muss passieren, BEVOR vom Client der Profilordner erstellt wird). Oder die User dürfen ihre Profile nicht ändern (.MAN oder Policy) ...

[warbird001 10]

Das würde überhaupt nichts bringen, da die Benutzer die Ersteller ihrer Dateien sind und demzufolge immer volle Berechtigung haben oder sich geben können. Die Benutzer arbeiten auch mit einer Kopie des servergespeicherten Profils, nicht mit dem Profil selbst. Wenn sie sich abmelden, wird das lokale Profil mit dem Serverprofil "verschmolzen" (nach gewissen Regeln). Vielleicht solltet Ihr die Richtlinie setzen, dass die Administratoren den Profilordner-ACLs zugefügt werden (das muss passieren, BEVOR vom Client der Profilordner erstellt wird). Oder die User dürfen ihre Profile nicht ändern (.MAN oder Policy) ...

 

.MAN kommt nicht in Frage, die Nutzer muessen Einstellungen aendern

und auch Abspeichern koennen.

Die Richtlinie das die Administratoren ebenfalls Vollzugriff auf die Profile haben

ist Aktiviert. Das Problem tritt trotzdem auf.

 

Hmm, die Benutzer Arbeiten nur mit einer Kopie, die ist dann ja auf dem

Client vorhanden. Dann ist die Loesung des Problems wohl eher auf dem Client(w2k) anzusetzen als auf dem Server(w2k).

 

ciao

Stefan:wq

[IThome 10]

Du kannst via Richtlinie die zwischengespeicherte Kopie löschen lassen, was allerdings bedeutet, dass beim Anmelden das Profil vom Server gezogen wird. Allerdings kannst Du das Profil durch Ordnerumleitungen "ausdünnen" ... Sehr wichtig bei der Profilverschmelzung ist auch eine gleichlaufende Zeit ...

War die Richtlinie, das die Administratoren den ACLs zugefügt werden, schon vor der Erzeugung der Profilordner aktiv oder ist es nachträglich zugefügt worden ? Die Benutzer können allerdings immer die Berechtigungen für ihre Dateien verändern, da nützt diese Richtlinie auch nichts. Das Backupprogramm sollte aber trotzdem sichern können, da beim Backupvorgang auch Dateien gesichert werden können, für die eigentlich keine Berechtigungen vorhanden sind ...

[warbird001 10]

Du kannst via Richtlinie die zwischengespeicherte Kopie löschen lassen

 

O.K , werds Versuchen.

 

Was meinst du, koennte es Sinn machen via Verzeichnissfreigabe

"Berechtigungen Aendern" und "Besitz Uebernehmen" in

C:\Dokumente und Einstellungen

fuer die Benutzer zu Verweigern?

 

was allerdings bedeutet, dass beim Anmelden das Profil vom Server gezogen wird.

 

Das sollte O.K sein.

 

Danke

 

ciao

Stefan:wq

[IThome 10]

Wie schon gesagt, wenn Du diese Berechtigungen verweigerst und der User ist Besitzer seiner Dateien und Ordner, kann er sich die Berechtigungen zurück geben. Wenn Du den Besitz übernimmst, musst Du die entsprechende Richtlinie setzen, da der Client das Profil sonst gar nicht mehr lädt. Wird bei der Profilübertragung wieder zurück geschrieben, ändern sich unter Umständen aber wieder die Besitzrechte ... Ich glaube, dass bringt nichts und wenn, dann nur Ärger ...

Ich muss auch sagen, dass ich diese Problematik nicht kenne. Was genau passiert denn da ?

[warbird001 10]

Wie schon gesagt, wenn Du diese Berechtigungen verweigerst und der User ist Besitzer seiner Dateien und Ordner, kann er sich die Berechtigungen zurück geben. Wenn Du den Besitz übernimmst, musst Du die entsprechende Richtlinie setzen, da der Client das Profil sonst gar nicht mehr lädt. Wird bei der Profilübertragung wieder zurück geschrieben, ändern sich unter Umständen aber wieder die Besitzrechte ... Ich glaube, dass bringt nichts und wenn, dann nur Ärger ...

Ich muss auch sagen, dass ich diese Problematik nicht kenne. Was genau passiert denn da ?

 

Wenn ich das so genau wuesste...

Nur die Auswirkungen bekomme ich immer Life mit.

Ich bin mir relativ sicher das es keine Absicht der Benutzer ist, sondern eher

ein Software Problem.

Es gibt z.b in einem Menu eine Verkuepfung "Outlook Express Starten" die

immer wieder mal (aber eben nicht immer) keinen Besitzer hatt und deshalb

erst nach Besitzuebernahme Geloescht werden kann.

Das Cookies Verzeichniss ist bei einige Nutzern auch so ein Kandidat wo

die Dateien nur fuer den Nutzer selber lesbar zugreifbar

 

Das sind nur 2 Beispiele , das kann in so ziemlich allen ProfilOrdnern auftreten.

Einzig Auffaellig ist das sehr oft Links .LNK betroffen sind.

 

ciao

Stefan:wq