Jump to content

NTFS Berechtigungen setzen per Script?


Recommended Posts

vor 3 Stunden schrieb Dukel:

New-SmbShare erstellt neue Shares, wie der Name schon sagt.

Du suchst Grant-SmbShareAccess, wenn du die Berechtigungen anpassen möchtest.

 

Aber! Du willst 1. nicht die einzelnen Gruppen in den Share Berechtigungen vergeben sondern nur als NTFS Rechte und 2. kein FullAccess den Anwendern geben. FullAccess höchstens den Admins, Change den Anwendern (bzw. Domain Users oder Auth. Users).

Hey hab mir gerade deine Anmerkung durchgelesen, danke erstmal dafür aber:

 

1. war das nur ein Beispiel wie auch dort beschrieben

2. Bei Microsoft ist das die richtige Anwendung, man gibt der BenutzerGruppe die auf dem Server User Authentifiziert z.B. "Domäne-Benutzer" die Vollzugriff rechte bei Freigabe, aber nur wenn man die Zugriffsbasierte Aufzählung anmacht. 
Befehl: Set-SmbShare Freigabename -FolderEnumerationMode AccessBased

Dadurch sehen alle Authentifizierten Benutzer auf der Domäne den Ordner und dann ab den nächsten Ordner den man dort rein stellt, wird über Sicherheit (NTFS) Berechtigungen festgelegt welche Gruppe den Ordner sehen darf und welche nicht. Dies funktioniert nur mit der Zugriffsbasierten Aufzählung und wenn man die nachträglich hinzufügt kann es zu Diskrepanzen kommen

 

Aber was ich sagen wollte, danke für die Anmerkung an die Smb Befehle. Das war hilfreich aber ich hab da den Fehler schon gefunden gehabt, ich brauch nur einmal eine Freigabe auf dem ersten Ordner den rest brauch ich nicht Freigeben, nur die Sicherheit einstellen.

vor 3 Stunden schrieb NorbertFe:

Ich sag ja: nicht Share und ntfs verdröseln. ;) spart ne Menge unnötigen Aufwand, wenn man das von Hand macht. Ich frag mich ja sowieso die ganze Zeit, wieso man für shares ein Skript braucht. Üblicherweise hat man 1-10 shares. Da is man vermutlich mit Hand tatsächlich deutlich schneller. Aber naja ich versteh schon… dhcp, DNS usw… ;)

Ich bin neu in PowerShell, 

ich hab zum Training mir eine komplette Server Landschaft aufgebaut. Ich kann die über Active Directory alles ohne Probleme Installieren einstellen GPO's setzen what ever, aber eben nicht mit PowerShell daher arbeite ich jetzt alles was ich sonnst mit Hand mache ab und versuche das mit PowerShell ebenso hinzubekommen und ich hab dabei festgestellt dass es zwar dauert die Scripte zu erstellen aber hast du sie erstmal bist du schneller wie wenn du dinge per Hand machst 

Alleine als Beispiel. User anlegen oder eine Organisationseinheiten Struktur bauen, die baue ich dir schneller mit PowerShell wie wenn du das klickst :), ich rede aber auch nicht nur von 1 User oder 1 Organisationseinheit ich rede dann schon von 100 und mehr :)

Es ist also für mich gerade mehr oder weniger "Übung" 

 

Ps.  DNS DHCP BackupServer FileServer stelle ich nur noch über Scripte ein, geht halt schneller :)

Link to post
vor 17 Stunden schrieb congeries:

Dies funktioniert nur mit der Zugriffsbasierten Aufzählung und wenn man die nachträglich hinzufügt kann es zu Diskrepanzen kommen

Das kann ich so nicht bestätigen und ist auch nicht zielführend.

 

vor 17 Stunden schrieb congeries:

ich hab zum Training mir eine komplette Server Landschaft aufgebaut. Ich kann die über Active Directory alles ohne Probleme Installieren einstellen GPO's setzen what ever, aber eben nicht mit PowerShell daher arbeite ich jetzt alles was ich sonnst mit Hand mache ab und versuche das mit PowerShell ebenso hinzubekommen und ich hab dabei festgestellt dass es zwar dauert die Scripte zu erstellen aber hast du sie erstmal bist du schneller wie wenn du dinge per Hand machst 

Das ist nicht verkehrt. Im Endeffekt dienen solche Installationen nicht den Diensten, sondern der Übung in Powershell. Alles muss man nicht aus dem FF können, sondern nur verstehen und wissen wo man die richtige Stütze wieder findet.

 

vor 17 Stunden schrieb congeries:

User anlegen oder eine Organisationseinheiten Struktur bauen, die baue ich dir schneller mit PowerShell wie wenn du das klickst :), ich rede aber auch nicht nur von 1 User oder 1 Organisationseinheit ich rede dann schon von 100 und mehr :)

Das mag stimmen. Kommt in der Realität selten vor. In der Wirtschaft wird sich seltenst duelliert, wer mehr oder die Benutzer schneller anlegt ;-) 

 

Fassen wir es mal kurz zusammen: Du übst mit den verschiedensten Möglichkeiten einfach nur Powershell . 

 

vor 8 Stunden schrieb NorbertFe:

Toll. Wirklich. Geht halt nur am bemannten Problem vorbei. ;) und das hat nix mit powershell zu tun.

Möglicherweise ist der Zeitpunkt für Inhalt nicht der Richtige. :smile2:

Edited by MurdocX
  • Like 1
Link to post

Eine letzte Frage :) da dies ja nicht hier rein gehört :) 

Ich hab eine Ad-Gruppe (Global) und will diese per PowerShell einer Domän-local Gruppe hinzufügen, ich kann das manuell machen wie ist aber der PowerShell befehl dafür 

 

Hatte bisher versucht 

 

Move-AdObject -Identity "CN=......" -TargetPath "CN=....."

 

bessere Idee?

Link to post
vor 3 Minuten schrieb congeries:

Ich hab eine Ad-Gruppe (Global) und will diese per PowerShell einer Domän-local Gruppe hinzufügen,

Befehle für Hinzufügen fangen meist mit „Add“ an. Schau mal nach Add-AdGroupMember.

  • Thanks 1
Link to post
vor 6 Minuten schrieb congeries:

[Add-AdGroupMember]

 

Ich wollte eine Gruppe einer anderen hinzufügen nicht ein Benutzer :)

 

Es heisst ja auch Add-AdGroupMember und nicht Add-AdGroupUser oder Add-AdGroupGroup

  • Haha 3
Link to post
vor 23 Stunden schrieb Dukel:

 

Es heisst ja auch Add-AdGroupMember und nicht Add-AdGroupUser oder Add-AdGroupGroup

Okay, 

mit deinem Befehl hat es nicht geklappt. 

 

Ich drück das vielleicht nochmal anders aus, ich will keinen User Benutzer Member einer Gruppe hinzufügen, ich will eine AD-Gruppe einer anderen AD-Gruppe hinzufügen, nach global und domainlocal group verständnis.

 

Also ich habe z.b. die Globale Gruppe  "Verwaltung" wo meine User drin sind, diese Globale Gruppe Verwaltung will ich der Domän Local Group " Verwaltung_read" hinzufügen, das ist jetzt ein Beispiel und nicht die richtigen Namen, nur damit man das vielleicht versteht.

 

Am 17.10.2021 um 18:18 schrieb NilsK:

Moin,

 

meine Idee wäre, dass du mal nachliest, wozu das Cmdlet da ist, das du da verwenden willst.

 

Eine weitere Idee wäre, dass du, wenn du das passende Kommando nicht kennst, eine passende Anfrage an eine Suchmaschine stellst. Hier ein Beispiel:

https://duckduckgo.com/?q=powershell+add+domain+group+to+local+group&ia=web

 

Gruß, Nils

 

Danke für deine Hilfe, 

bevor ich irgend welche Leute belästige mit meinem Problem bin ich alt genug um selber eine Suchmaschine zu verwenden :) kein Angriff, aber ich hatte schon selber gesucht und nichts für Global Group in Domain Local Group gefunden.

 

Link to post
vor 1 Minute schrieb NilsK:

Moin,

 

sondern?

 

Gruß, Nils

 

er nimmt die Gruppe nicht und fügt sie der anderen Gruppe hinzu. Es geht ja auch nicht um einen Member / User / Benutzer :)

 

Ich habe bisher noch nicht den richtigen Code gefunden dafür.

 

Link to post

Moin,

 

und eine Fehlermeldung gab es nicht?

Gerade eben schrieb congeries:

Es geht ja auch nicht um einen Member / User / Benutzer

 

Doch, geht es. Wenn eine Gruppe Mitglied einer anderen Gruppe ist, dann ist sie ein "Member". Ganz bestimmt. Wir veräppeln hier selten Leute.

 

Gruß, Nils

 

Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...