Benutzerberechtigungen für Ordnerumleitung

[Gast Flipshot]

Hallo zusammen!

 

Ich möchte gerne eine Ordnerumleitung der "Eigene Dateien" per GPO einrichten.

 

Die Ordnersturktur auf dem Server ist wie folgt vordefiniert:

 

\\Domäne\DFS_Root\RXON\Mitarbeiter\%Username% - %Username%: Nur lesen

\\Domäne\DFS_Root\RXON\Mitarbeiter\%Username%\Eigene Dateien - %Username%: Nur lesen für diesen Ordner

\\Domäne\DFS_Root\RXON\Mitarbeiter\%Username%\Eigene Dateien - %Username%: Lesen und schreiben für Unterordner und Dateien

 

 

Meine GPO sieht wie folgt aus:

 

Benutzerkonfiguration - Windows-Einstellungen - Ordnerumleitung - Eigene Dateien

 

Einstellung: Standard (Leitet alle Ordner auf den gleichen Pfad um)

Pfad: \\Domäne\DFS_Root\RXON\Mitarbeiter\%Username%\Eigene Dateien

 

Optionen

Benutzer exklusive Zugriffsrechte für "Eigene Dateien" erteilen: Deaktiviert

Den Inhalt von "Eigene Dateien" an neuen Ort verschieben: Aktiviert

Verhalten bei Entfernen der Richtlinie Inhalt belassen

 

 

Nun erhalte ich lt. RSOP folgenden Fehler:

 

Folder Redirection ist aufgrund des unten aufgefhrten Fehlers fehlgeschlagen.

Diese Sicherheitskennung kann nicht als Besitzer des Objekts zugeordnet werden.

 

Zustzliche Informationen:

Die Umleitung des Ordners Eigene Dateien konnte nicht ausgefhrt werden.

Die neuen Verzeichnisse fr den umgeleiteten Ordner konnten nicht erstellt werden.

Der Ordner soll konfigurationsgem nach <\\Domäne\DFS_Root\RXON\Mitarbeiter\%Username%\Eigene Dateien> umgeleitet werden. Der endgültige erweiterte Pfad war <\\Domäne\DFS_Root\RXON\Mitarbeiter\%Username%\Eigene Dateien>.

Der folgende Fehler ist aufgetreten:

Diese Sicherheitskennung kann nicht als Besitzer des Objekts zugeordnet werden.

 

 

Lt. MS KB-Artikel How to dynamically create security-enhanced redirected folders by using folder redirection in Windows 2000 and in Windows Server 2003 sind hierfür wohl Vollzugriff-Berechtigungen für den Benutzer, bzw. der Benutzer muss den Ordner "Eigene Dateien" auf dem Server selbst erstellen können. Dass der Benutzer an dem bereits vordefinierten Ordner etwa ändern darf, wollen wir natürlich gerade vermeiden.

 

Gibt es hier eine Möglichkeit den Ordner umzuleiten, ohne dass der Benutzer zu viele Berechtigungen bekommt und mir die Ordnerstruktur wieder ändern kann?

[Theo Dor 10]

Wie kann ein Benutzer auf seine Eigenen Dateien je zu viele Berechtigungen haben?

Wenn Du verhindern willst, dass der Benutzer die Wurzel selbst löschen kann (hier das "Eigene Dateien") dann musst eine Ebene höher ansetzen. Setze auf den Ordner "Eigene Dateien" die expilziete Verweigerung des "Löschen" Rechts, aber "nur für diesen Ordner" (!). Das müsste funktionieren.

[Gast Flipshot]

Ein Benutzer kann, auch auf seine eigenen Dateien, zu viel Berechtigungen haben, wenn dies schonmal der Vollzugriff ist. Bei uns ist es in der Vergangenheit nicht gerade selten schon vorgekommen, dass der Benutzer dann an den NTFS-Berechtigungen rum gespielt hat, und somit z. B. die Administratoren oder sogar sich selbst ausgeschlossen hat. Dann hat natürlich z. B. auch die Datensicherung keinen Zugriff mehr auf die Ordner.

 

Des weiteren geht es darum, dass der Ordner "Eigene Dateien", der auf dem Server liegt, auch gleichzeitig der Dokumentenpfad für die Office-Anwendungen ist, die wir per GPO dahin umbiegen. Löscht der Benutzer nun diesen Ordner, oder benennt er ihn um (ist auch schon des öfteren vorgekommen), so gehen die Office-Anwendungen ins Leere und nutzen wieder die Standardpfade... also viel Spass bei der Datensuche.

[Theo Dor 10]

OK. Das sind dann aber Anwenderfehler, die durch organisatorische Maßnahmen geregelt werden müssen. Ein geschulter Anwender ist ein besserer Anwender ...

Abends ruft der Fuhrunternehmer einen seiner Fahrer an: "Wieso steht der Wagen nicht auf dem Hof?". Der Fahrer: "Ja, äh, das Tor war zu, ich konnte den Hof gar nicht sehen." "Ja und, wo ist jetzt der Wagen?". "Den habe ich auf der Straße geparkt". "Welche Straße?". "Äh das weiß ich nicht." "Wie Sie wissen das nicht? Sie müssen doch wissen wo Sie den Wagen geparkt haben." "Na ja, ich habe einfach den Wagen am Straßenrand geparkt und dann den Motor ausgemacht. Aber wo das war, das kann ich Ihnen jetzt nicht mehr sagen." -- Wie würde der Fuhrunternehmer das wohl behandeln?

Eine Datei ist entweder ein Produkt oder ein Arbeitsmittel. Für beides ist der Arbeitnehmer gegenüber dem dem Arbeitgeber über den Verbleib Rechenschaft pflichtig.

Wenn die ungeleiteten "Eigenen Dateien" gelöscht werden (der Ordner), dann sind auch die Daten darin weg. Die GPO legt den Ordner beim nächsten Login erneut an.

Mittels Überwachungen kann man jederzeit nachvollziehen, wer wann was gelöscht hat. Es ist zwar etwas mühseelig das auszuwerten, aber es geht.

 

Die Dasi kann IMMER sichern und wiederherstellen, wenn sie unter einem Konto läuft, was die Berechtigung "Sichern von Dateien und Verzeichnissen" inne hat, so wie standardmäßig die Gruppe der "Sicherungs-Operatoren".

 

Ich seh das so: Ich bin Systemadministrator und kein Kindermädchen!

[NorbertFe 1.798]

Eine Datei ist entweder ein Produkt oder ein Arbeitsmittel. Für beides ist der Arbeitnehmer gegenüber dem dem Arbeitgeber über den Verbleib Rechenschaft pflichtig.

 

Jupp genau. :) Und wer wird im Falle eines Falles angerufen? Ja klar der User wird die Datei natürlich selber suchen ;)

 

Ich seh das so: Ich bin Systemadministrator und kein Kindermädchen!

Richtig. Nur leider klappt das nur, wenn man im Unternehmen einen entsprechenden Rückhalt von der GF hat, sonst bist du als IT-Abteilung der Gears***te. Im Zweifel bist du auch für die Kaffeemaschine verantwortlich, die steckt schliesslich auch in der Steckdose ;)

 

Bin ich froh, dass ich kein Admin bin ;)

 

Bye

Norbert

[Theo Dor 10]

Jupp genau. :) Und wer wird im Falle eines Falles angerufen? Ja klar der User wird die Datei natürlich selber suchen ;)

Das ist klar. Die Feuerwehr muß ja auch ran wenn der Brandstifter bekannt ist.;)

 

Richtig. Nur leider klappt das nur, wenn man im Unternehmen einen entsprechenden Rückhalt von der GF hat, sonst bist du als IT-Abteilung der Gears***te. Im Zweifel bist du auch für die Kaffeemaschine verantwortlich, die steckt schliesslich auch in der Steckdose ;)

Eine Frage der Persönlichkeit(en), denke ich.:cool:

[Gast Flipshot]

Ich gebe dir Recht, dass es so laufen "sollte"! Die Praxis zeigt leider was anders. Bei über 1.500 Benutzer, wo ca. 1/3 nicht einmal in der Lage ist seinen eigenen Namen bei der Anmeldung richtig zu schreiben, braucht man mit Schulung von Dokumenten-Management gar nicht erst anfangen. Des weiteren kommt noch dazu, dass wohl überall Stellen ziemlich knapp besetzt sind, und man für sowas gar keine Zeit hat. Im Endeffekt hätte man natürlich mehr Zeit, wenn die Benutzer dahingehend natürlich mal geschult würden und man sich als Admin nicht mehr auf Datensuche oder Prüfung auf bestehende Strukturen kümmern müsste, aber der Weg dahin ist mit vielen Steinen blockiert. Manchmal geht man halt am besten den einfachsten Weg und nimmt den Benutzern an Berechtigungen was man kann.

[NorbertFe 1.798]

Eine Frage der Persönlichkeit(en), denke ich.:cool:

 

Jupp das is klar. :) Bei mir ist es immer eine Abwägung zwischen Nutzen und Diskussionsaufwand. Wenn der Kunde eben unbedingt will, dann soll er es mir eben unterschreiben, dass er wider Besserer Beratung die "schlechte" Lösung wollte. :)

 

Bye

Norbert

[NorbertFe 1.798]

Ich gebe dir Recht, dass es so laufen "sollte"! Die Praxis zeigt leider was anders. Bei über 1.500 Benutzer, wo ca. 1/3 nicht einmal in der Lage ist seinen eigenen Namen bei der Anmeldung richtig zu schreiben, braucht man mit Schulung von Dokumenten-Management gar nicht erst anfangen.

 

Genau. Dazu müßten die Leute erstmal verstanden haben, was ein Dokument oder besser eine Datei ist. Solange aber versucht wird eine ppt mit 120MB und 3 Slides darin zu versenden ist das alles verlorene Liebesmüh ;)

 

Bye

Norbert