Admin hat keine Berechtigung auf User Laufwerke

[Matze1708 10]

Hallo,

 

ich habe nach diesem Beispiel userpfade und Profilpfade erstellt

 

https://www.windowspro.de/wolfgang-sommergut/freigabe-fuer-roaming-profiles-ordnerumleitung-einrichten-name-berechtigungen-cac

 

trotz das der Admin drin steht, kann ich aber die Verzeichnisse an ihrem lokalen Ort nicht löschen.

 

Muss dann immer erst den besitz übernehmen und dann klappt es.

 

was kann ich noch einstellen, dass der Admin genau so in die Ordner kann und auch alte Verzeichnisse löschen kann.

 

 

liebe Grüsse

[NorbertFe 1.799]

Entweder vorher richtig konfigurieren, oder hinterher Besitzer wechseln, Rechte vergeben und Besitzer wieder zurückwechseln.

 

Bye

Norbert

[Matze1708 10]

Mir gehts um vorher richtig konfigurieren.

 

was soll ich mal posten, 

und was wäre richtig?

denke es gibt da mit dem vererben probleme

[daabm 1.184]

Was meinst Du mit "an ihrem lokale Ort"? C:\Users? Da geht das nie einfach so per Explorer - nimm ne Admin-Commandline... Und wozu überhaupt? Lokale Profile (und damit auch lokale Kopien servergespeicherter Profile) löscht man über Arbeitsplatz - Eigenschaften - Erweitert - Benutzerprofile. Oder über WMI (Win32_UserProfile). Wenn Du nur das Verzeichnis entsorgst, gibt es hinterher Probleme mit Apps.

[Matze1708 10]

Ich habe auf dem fileserver eine Freigabe für die Userpfad Umleitungen

-desktop

-dokumente

etc

 

denen habe ich o.g. Rechte gegeben, so das sich bei erster Anmeldung vom user diese Verzeichnis auf dem Fileserver anlegen.

 

mit lokal meine ich die ordner auf dem fileserver.

 

c:/Users gibt es in dem Fall nicht, da dies umgeleitet ist auf

 

\\FS\users$\%username%\

 

 

[MurdocX 903]

Welche NTFS-Berechtigungen hast du denn auf der Freigabe? Werden die vererbt? Bitte alles genau beschreiben.

[daabm 1.184]

Ok .- wenn man RUP nutzt, sollte das hier aktiviert werden: https://gpsearch.azurewebsites.net/#2567

Sonst hast Du Deine aktuellen Probleme Und nein, nachträglich aktivieren hilft nicht, da ist das Kind schon in den Brunnen gefallen.

Da Du von Orderumleitung sprichst: In den Umleitungsoptionen kann man die Admins ebenso hinzufügen. Wurde das nicht gemacht, gilt das oben gesagte sinngemäß

[testperson 1.527]

Hi,

 

wenn das Kind schon im Brunnen liegt, kann man das je nach Menge "mal eben schnell" per Hand gradeziehen oder man freundet sich mit "icacls" oder direkt SetACL an. :)

 

Gruß

Jan

[Matze1708 10]

ICh habe ausser TestUser aktuell noch keinen echten USer drauf. Das System ist neu.

 

Ich habe hier mal ein paar Bilder angehängt, um die Einstellungen zu zeigen.

 

So ist aktuell der Zugriff auf das Share \\FS\\users$

[NorbertFe 1.799]

Spontan würde ich sagen, dass das falsch ist. Aber mit solchen Screenshots macht das auch echt keinen Spaß.

Schau dir bei MS die notwendigen Artikel an, wie man Roaming Profiles, Folder Redirection usw. korrekt berechtigt:

https://support.microsoft.com/en-us/help/274443/how-to-dynamically-create-security-enhanced-redirected-folders-by-usin

Darin stehen dann noch ein paar weiterführende Links.

 

Bye

Norbert

[Matze1708 10]

Danke für den Link,

 

wie kann ich es einfacher Posten wie ein Bild??

 

Ich habe die Berechtigung schon so wie in dem Link gehabt, nur nicht auf Jeder sondern Authentifizierte Benutzer und das Recht Dateien erstellen war nicht aktiv. 

 

Als Beispiel habe ich mal einen Bild von Tester/Documents angehängt. Dort habe ich dieses Problem mit dem Recht. 

 

Das ist doch sicherlich nur was mit der Vererbung

[falkebo 18]

Hi @Matze1708,

 

könntest du mal deine Gruppenrichtlinie für die Ordnerumleitung zeigen bitte?

Dieser Haken ist standardmäßig aktiv und sollte entfernt werden, wenn du administrativen Zugriff auf die Ordnerumleitungen gestatten möchtest.

 

Den Fehler hatte ich auch einmal gemacht, ist aber nicht schlimm.
Habe es nachträglich gelöst indem ich A) Die Einstellungen in der GPO korrekt angepasst habe und B) den Usern folgendes Loginscript mitgegeben habe:
 

@echo off
cacls \\deinedomäne.tld\user$\profiles\%username% /E /T /G administratoren:F

 

bearbeitet 21. August 2019 von falkebo

[Matze1708 10]

Tatsächlich ist/war dieser Hacken drin.

 

habe ich mal rausgenommen. 

Sieht gut aus.

Das funktioniert. Im Logon Skript, läuft das jetzt auch mit.

 

ABER unter den Profipfaden. die ich im AD vorgebe. \\DC\rProfile$\%username%  da komme ich ebenfalls nicht drauf und über die Anpassung im Logon Skript geht es auch nicht.

 

Habe das im Skript so eingetragen:

@echo off
cacls \\DC\users$\%username% /E /T /G administratoren:F
cacls \\DC\rProfile$\%username% /E /T /G administratoren:F

 

Die Profile heißen aber im Verzeichnis USERNAME.V6

 

 

[Sunny61 772]

vor 2 Minuten schrieb Matze1708:

cacls \\DC\rProfile$\%username% /E /T /G administratoren:F

Da ist ein r zu viel.

 

BTW: Es ist ein Haken, Hacken ist was anderes. :)

[falkebo 18]

Okay ich bin jetzt nur von Ordnerumleitungen ausgegangen.
Wenn du zusätzlich servergespeicherte Profile verwendest, gibt es unter "Computerkonfigurationen/Richtlinien/Administrative Vorlagen/System/Benutzerprofil", noch folgende Einstellung:

 

 

Ich empfehle dir dringend, bevor du solche Einstellungen durchführst, die MS Dokus dazu durchzulesen.
Bei diesen Einstellungen ist es noch "relativ" unkritisch. Es gibt aber auch Einstellungen bei denen es nicht mehr so einfach ein "Zurück" gibt.