Jump to content

Als Admin in Userhome kopieren (Rechte-Problem)


Recommended Posts

Guten Morgen zusammen,

 

ich möchte unser Userhome Verzeichnis neu aufbauen, da die aktuelle Struktur etwas unübersichtlich und auch nicht standardisiert bzw. automatisiert aufgebaut wurde. Das Userhome Verzeichnis ist erstellt, Freigabe entsprechend eingestellt und auch die Rechte, speziell ERSTELLER-BESITZER, ist korrekt eingerichtet. Im Prinzip funktioniert auch alles wunderbar, der Ordner für die Benutzer werden automatisch erstellt und das Laufwerk wird auch automatisch zugewiesen. Allerdings möchte ich nun händisch (als Admin) die Daten aus dem alten Home-Verzeichnis in den neu erstellten Ordner kopieren. Problem hierbei ist, dass alle Rechte zwar übernommen werden, nur die des Benutzers nicht. Er hat zwar Vollzugriff, allerdings "nur auf diesen Ordner". Hat einer eine Idee, wie der Benutzer automatisiert für den Ordner, Unterordner und Dateien Vollzugriff bekommt? Bzw. wie kann ich die Daten kopieren, so dass der User auch die Rechte darauf bekommt?

 

Vielen Dank schonmal für die Hilfe

 

PS: Die Daten inkl. NTFS-Rechte kopieren möchte ich umgehen, da die alte Rechte-Struktur nicht einheitlich ist.

 

spacer.png

 

vg, Alex

Link to post

Wenn Nut, Ella der Owner ist, hat sie auf die Unterordner doch Vollzugriff - aber nur wenn sie die auch selber erstellt :-) Da wirst um ein wenig Skripting und icacls nicht herumkommen...

PS: Was genau ist denn "korrekt eingerichtet" für ERSTELLER-BESITZER für Dich? Also wie exakt sieht die ACL von Userhome aus? (icalcs-Ausgabe wäre am besten, Screenshots vom Explorer sind ok solange nirgends "speziell" steht.)

Link to post

Hi,

 

wenn du das jetzt neu aufbaust (und der Screenshot oben die neue Struktur ist), dann würde ich gleich die "Domänen-Admins" entsorgen, eine passende Fileserver- / Profil-Admin-Gruppe hinzufügen (und "ERSTELLER BESITZER" (Creator Owner (S-1-3-0)) durch "EIGENTÜMERRECHTE" (Owner Rights (S-1-3-4)) tauschen).

 

Gruß

Jan

Link to post
Am 11.12.2020 um 10:47 schrieb testperson:

Hi,

 

wenn du das jetzt neu aufbaust (und der Screenshot oben die neue Struktur ist), dann würde ich gleich die "Domänen-Admins" entsorgen, eine passende Fileserver- / Profil-Admin-Gruppe hinzufügen (und "ERSTELLER BESITZER" (Creator Owner (S-1-3-0)) durch "EIGENTÜMERRECHTE" (Owner Rights (S-1-3-4)) tauschen).

 

Gruß

Jan

Hi Jan,

 

danke für den Hinweis. Was genau bedeutet denn die Zahlenkombination S-1-3-4? Wie würde in dem Fall denn die Erweiterte Berechtigung aussehen?

 

vg

Edited by AlexV1
Link to post
vor 50 Minuten schrieb AlexV1:

Was genau bedeutet denn die Zahlenkombination S-1-3-4?

Well-known security identifiers in Windows operating systems: https://docs.microsoft.com/en-us/troubleshoot/windows-server/identity/security-identifiers-in-windows

 

vor 51 Minuten schrieb AlexV1:

Wie würde in dem Fall denn die Erweiterte Berechtigung aussehen?

So: https://abload.de/img/userhomew6j37.jpg

Auf T:\Userhome hätte "Jeder" dann noch das Recht zum "Lesen, Schreiben, Ausführen" nur für den Ordner.

Link to post

Also ich habe das jetzt mal so versucht. Leider habe ich aber noch das Problem, dass ich als Administrator die Dateien vom alten Speicherort nicht in den entsprechend User-Ordner hinein kopieren kann, da sonst der User keine Rechte darauf hat. Gibt es dafür eine Lösung oder ist das zwangsweise so bei Userhomes? Ich möchte ungern bei jedem Benutzer im Sicherheitskontext des Benutzers die Daten kopieren, das wäre zu viel Aufwand.

 

1145867717_9JNcRK71.png.8d991154a4d914c6d633d826d3813c08.png

Link to post

Ja so die Theorie, davon bin ich auch ausgegangen. Leider ist es so, dass er zwar alle Rechte vereerbt, bis auf den User, der fehlt dann komischerweise.

 

edit: Ich habe aber auch gerade festgestellt, dass er mit EIGENTÜMERRECHTE gar nicht erst den User erstellt. Bei der Variante vorher mit ERSTELLER-BESITZER hat er dem User das Recht gegeben, allerdings auch nur "Auf diesen Ordner". Daher war beim kopieren der Daten der User immer weg.

Edited by AlexV1
Link to post

Moin,

 

wie wäre es mit: 

  1. Die Daten ans Ziel kopieren
  2. danach (!) per Skript die Berechtigungen so setzen, wie sie sein sollen

Dann scheiterst du nicht an Unwägbarkeiten, die durchaus auch mit dem Tool zusammenhängen können, das du zum Kopieren verwendest. Für den zweiten Schritt würde ich dann SetACL von Helge Klein nehmen.

 

Gruß, Nils

Link to post

Danke Nils für die Hilfe!

 

Aber anscheinend ist das Szenario, so wie ich es gerne hätte, nicht möglich. Ich müsste dann immer, wenn ein neuer User kommt, den (persönlichen User-)Ordner anpassen. Das ist genau das, was ich in Zukunft eigentlich vermeiden wollte. Aktuell legen wir nämlich auch für jeden User manuell einen Ordern an, setzen die Rechte entsprechend, geben diesen Ordner einzeln frei, setzen einen DFS Pfad und mappen per Script das Laufwerk (für jeden Benutzer!). Daher hätte ich das gerne so, dass automatisch ein Ordner erstellt (durch GPO) und das Netzlaufwerk verbunden wird (auch GPO). ZUSÄTZLICH soll aber die Option besetehen, als Administrator (für zukünftige Fälle) Dateien in das Userhome kopieren zu können, so dass der User aber auch Zugriff darauf hat, ohne das ich manuell erst die Berechtigung für die Datei/Dateien anpassen muss.

 

Aber ich schätze mal, das man mindestens einen Tod sterben muss :-(

Edited by AlexV1
Link to post

Ich würde nicht jeden Userhome einzeln freigeben. Das Übergeordnete Ordner wird freigegeben und der Pfad kann ja direkt zum User-Ordner gehen.

 

Muss alles via GPO gemacht werden? Ich würde User per Script oder einem IDM pflegen und das Script erstellt alles, was du gerade manuell machst.

Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...