sfr 10 Posted January 26, 2011 Report Share Posted January 26, 2011 Ich habe eine Frage bezüglich der Berechtigungen auf dem lokalen Rechner in einer AD. - Server 2008 R2 Enterprise - ServerA ist DC - UserA ist in der AD des ServersA - UserA ist in der AD Gruppe Domänen-Benutzer - ClientA ist in der AD angemeldet mit UserA - ClientA Lokale Gruppen und Benutzer Mitglied von Administratoren ist u.A. Domänen-Benutzer - Per GPO User Adminrechte auf den lokalen Maschinen erteilt (brauchen sie wegen Installationen) Die Clients waren vorher nicht in einer AD und somit sind sämtliche Installationen bereits vorgenommen. Wenn ich jetzt mit dem UserA auf dem ClientA in den Verzeichnissen z.B. Programme bestimmte Dateien verändern möchte, dann wird mir der Zugriff verweigert. Z.B. ich öffne einen Ordner und versuche dort eine Date zu bearbeiten und abzuspeichern, dann erscheint eine Meldung: Zugriff verweigert. Lösche ich diese datei, dann funktioniert das. Ich kann sie auch ausschneiden, auf dem Desktop einfügen, bearbeiten und wieder auf den Ursprungsplatz zurückkopieren. Nur nicht in dem Verzeichnis ändern. Dieses Verhalten beobachte ich auch bei Neuinstallationen von Programmen. Die Berechtigung für den Ordner Programme sieht wie folgt aus: Ersteller/Besitzer: spezielle Berechtigung alterHostname/alter User: lesen alterHostname/lokaler Administrator: Voll System: (ich glaube): voll Sollte ich für solche Verzeichnisse die Berechtigung von Hand vergeben, ist dieses Verhalten normal und gewünscht oder ist hier irgend etwas nicht richtig konfiguriert? Quote Link to comment
NilsK 2,946 Posted January 27, 2011 Report Share Posted January 27, 2011 Moin, du willst uns bestimmt noch sagen, um welches Client-Betriebssystem es sich handelt, ob die User Adminrechte haben, warum sie im Programme-Ordner ändern sollen und ob das Problem bei anderen Ordnern auch auftaucht. Gruß, Nils Quote Link to comment
sfr 10 Posted January 27, 2011 Author Report Share Posted January 27, 2011 Es handelt sich hier um das Client Betriebssystem WIndows 7 Pro. Die User haben lokale Adminrechte (per GPO), funktioniert auch. Ich habe ebenfalls eine Folder Redirection eingerichtet (Desktop, Eigene Dateien) Wenn ich einen neuen Ordner auf dem Desktop anlege oder auf eigene Dateien, dann sind die Berechtigungen in Ordnung. Die User müssen im Programmverzeichnis in einer eigen entwickelten Software bestimmte Dateien von Hand bearbeiten. Dies geht z.Z. nur, wenn sie diese Dateien aus dem Programmverzeichnis herausnehmen, bearbeiten und wieder einfügen. Bisher habe ich dieses Verhalten nur in diesem Ordner feststellen können. Ist dieses Verhalten normal im Programmverzeichnis? Wenn ja, dann möchte ich daran auch nichts ändern, denn die User können diese Dateien auch wie oben beschrieben bearbeiten. Quote Link to comment
NilsK 2,946 Posted January 27, 2011 Report Share Posted January 27, 2011 Moin, Die User haben lokale Adminrechte (per GPO), funktioniert auch. das ist überhaupt keine gute Idee. Es sei denn, das Funktionieren der Umgebung und die Sicherheit deines AD sind dir egal. Die User müssen im Programmverzeichnis in einer eigen entwickelten Software bestimmte Dateien von Hand bearbeiten. Dies geht z.Z. nur, wenn sie diese Dateien aus dem Programmverzeichnis herausnehmen, bearbeiten und wieder einfügen. Schlechte Software, würde ich sagen. Beste Alternative: Auf eine andere Software umsteigen, die mit dem Sicherheitssystem von Windows (seit 1993 bekannt) funktioniert. Workaround: Gib den Usern Schreibrechte auf die betreffende Datei und nimm sie aus den lokalen Admins wieder raus. Gruß, Nils Quote Link to comment
Sunny61 807 Posted January 27, 2011 Report Share Posted January 27, 2011 Die User müssen im Programmverzeichnis in einer eigen entwickelten Software bestimmte Dateien von Hand bearbeiten. Dies geht z.Z. nur, wenn sie diese Dateien aus dem Programmverzeichnis herausnehmen, bearbeiten und wieder einfügen. UAC lässt grüßen. Benutzerkontensteuerung ? Wikipedia Die selbst programmierte SW sollte angepasst werden. Sie ist Windows98 tauglich, aber nicht für das 21. Jahrhundert gemacht. Programmdateien die von Benutzern ständig geändert werden müssen, sollen in %PROGRAMDATA% abgelegt werden. Ein Benutzer hat per Standard keine Schreibrechte in %programfiles%. Das kannst Du auch selbst recht schnell herausfinden, indem Du einen Rechtsklick auf %programfiles% machst und dir dort die NTFS-Berechtigungen anzeigen lässt. Bisher habe ich dieses Verhalten nur in diesem Ordner feststellen können. Versuch das mal in %windir%. Ist dieses Verhalten normal im Programmverzeichnis? Wenn ja, dann möchte ich daran auch nichts ändern, denn die User können diese Dateien auch wie oben beschrieben bearbeiten. Ja, das ist normal. BTW: Ist das eine reale Umgebung oder sind das Schulungsszenarien? Quote Link to comment
sfr 10 Posted January 27, 2011 Author Report Share Posted January 27, 2011 Es ist eine Testumgebung. Ich meine aber die Ordner Programme usw. auf der lokalen Maschine, nicht die auf dem Server. Nicht, dass ich da falsch verstanden wurde. Gut, dann nehme in der GPO die berechtigung für die Adminrechte auf der lokalen Maschine heraus. Bedeutet doch aber dann, dass jeder einzelne User noch nicht einmal mehr Software installieren kann, oder kann man dies wiederrum über die GPO steuern, dass die eingeschränkte Gruppe an den lokalen Maschinen bestimmte Dinge dürfen? Ich habe mir die NTFS Berechtigungen von Programme angeschaut und die User hatten tatsächlich nicht die Berechtigungen. Kann ich einfach die AD user eintragen, die Schreibrechte auf diese Ordner haben sollen? Quote Link to comment
Sunny61 807 Posted January 27, 2011 Report Share Posted January 27, 2011 Es ist eine Testumgebung. Dachte ich mir schon. Ich meine aber die Ordner Programme usw. auf der lokalen Maschine, nicht die auf dem Server. Nicht, dass ich da falsch verstanden wurde. Schon klar. Gut, dann nehme in der GPO die berechtigung für die Adminrechte auf der lokalen Maschine heraus. Bedeutet doch aber dann, dass jeder einzelne User noch nicht einmal mehr Software installieren kann, oder kann man dies wiederrum über die GPO steuern, dass die eingeschränkte Gruppe an den lokalen Maschinen bestimmte Dinge dürfen? Es gibt kein Recht SW zu installieren. Softwareinstallation als Benutzer Ich habe mir die NTFS Berechtigungen von Programme angeschaut und die User hatten tatsächlich nicht die Berechtigungen. Kann ich einfach die AD user eintragen, die Schreibrechte auf diese Ordner haben sollen? Auch das macht man mittels GPO: Eingeschränkte Gruppen Aber man trägt auch nicht die AD-Benutzer stur auf %PROGRAMFILES% ein, sondern wirklich nur auf dem Ordner/Datei, die es unbedingt sein muß. Noch ein wirklich gut gemeinter Tipp, lies dir die HowTos auf Gruppenrichtlinien.de vollständig und sorgfältig durch. Beginne bei den Grundlagen, so kannst Du viel lernen, denn jetzt dokterst Du nur an Fehlern rum ohne wirklich etwas zu lernen oder zu verstehen. Auch kannst Du viele der HowTos dort selbst in einer Testumgebung nachbauen und wirst bestimmt auch viel dabei lernen. Quote Link to comment
sfr 10 Posted January 27, 2011 Author Report Share Posted January 27, 2011 Ich habe mir das Thema mal angeschaut. Bedeutet, dass ich eigentlich nur unter dem beschriebenem Punkt in der GPO den Pfad des Ordners angebe und zugleich die User, die auch Schreibrechte darauf bekommen. Ist es empfehlenswert dafür die Gruppe Domänen-Benutzer und Administratoren zu nehmen? ich würde jetzt die Rechte "ändern" vergeben auf den folgenden Pfad: c:\programme\Eigene Software Ordner Das ist soweit ok nehme ich an? Wenn ein User ein neues Programm braucht, dann kann ich das ja als Administrator auf seiner Kiste installieren. Oder reicht es einen User bei den lokalen Gruppen und Benutzern in die Gruppe der Administratoren zu stecken? Wahrscheinlich genauso **** wie das Ganze per GPO zu steuern.!? Wie sieht es mit USB Sticks aus? Quote Link to comment
Sunny61 807 Posted January 28, 2011 Report Share Posted January 28, 2011 Ich habe mir das Thema mal angeschaut.Bedeutet, dass ich eigentlich nur unter dem beschriebenem Punkt in der GPO den Pfad des Ordners angebe und zugleich die User, die auch Schreibrechte darauf bekommen. Richtig. Ist es empfehlenswert dafür die Gruppe Domänen-Benutzer und Administratoren zu nehmen? Die Administratoren dürfen eh schon zugreifen und für allen Domänen Benutzer würde ich es nicht machen. So wenig wie möglich, so viel wie nötig. Du kannst eine eigene Gruppe erstellen und dort die Benutzer einfügen, die Zugriff auf den Ordner haben sollen. ich würde jetzt die Rechte "ändern" vergeben auf den folgenden Pfad: c:\programme\Eigene Software Ordner Das ist soweit ok nehme ich an? Sieht gut aus. Testest Du eigentlich auch mal selbst? Wenn ein User ein neues Programm braucht, dann kann ich das ja als Administrator auf seiner Kiste installieren. Oder reicht es einen User bei den lokalen Gruppen und Benutzern in die Gruppe der Administratoren zu stecken? Entweder Du installierst Software via GPO im AD Service Pack Installation über die Softwareverteilung oder eben manuell. Wenn du die Benutzer in die Gruppe der lokalen Admins packst, hättest Du nichts ändern müssen. Wahrscheinlich genauso **** wie das Ganze per GPO zu steuern.!? Was genau willst Du mir damit sagen? Wie sieht es mit USB Sticks aus? Findest Du auch auf gruppenrichtlinien.de. Quote Link to comment
sfr 10 Posted January 28, 2011 Author Report Share Posted January 28, 2011 Was genau willst Du mir damit sagen? Genau das was du auch schon geschrieben hast. Das es einfach genauso unsinnig ist wie die User über die GPO als lokale Admins anzulegen. Ist ja im Prinzig genau das Gleiche. Teste zwischendurch natürlich immer wieder. Mich würde noch interessieren wie ich es hinbekomme, dass User in den Ordner auf dem Server die Berechtigungen nicht lesen können. Ist das der Punkt erweiterete Attribute lesen? Habe jetzt einfach den Usern die lokalen Adminrechte entzogen. Bei Installationen muss ich mich eben als Administrator anmelden. Die Änderungen der Dateien werde ich jetzt ebenfalls über den Administratoraccount regeln. Habe jetzt mittlerweile viel von euch erfahren was mir weitergeholfen hat auch, wenn es manchmal nicht einfach für mich war. Aber wer lesen kann ist klar im Vorteil, da habt ihr Recht. Danke an euch! Quote Link to comment
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.