-farbsu-ch-tt 10 Geschrieben 23. Mai 2005 Melden Teilen Geschrieben 23. Mai 2005 Hallo Ich habe den Auftrag erhalten, einen Benutzer zu erstellen, der ausschliessliech Drucken kann. Er darf keine Shares sehen, ich darf ihm aber Aufgrund unser Rechte-Philosphie (...) keine Rechte verweigern, nur erlauben. Er muss in einem bestehenden Container, der standartmässig relativ umfassende Rechte hat, angelegt werden. Wir arbeiten mit Win2000 Server.. Wie soll ich diese Knacknuss lösen? Ich bin kein AD-Guru, nicht mal ein richtiges Greenhorn! Zitieren Link zu diesem Kommentar
fbeucke 10 Geschrieben 23. Mai 2005 Melden Teilen Geschrieben 23. Mai 2005 Kommt darauf an, wie du Dein bisheriges Rechtekonzept aufgebaut hast. Aber ersatmal vorweg. Die Freigaben sieht die Person auf jeden Fall! Er kann sie nur nicht "betreten". Benötigt man überhaupt mind. einen Share öffnen zu können, ein bestimmtes Recht oder ist es so, dass eine weitere Gruppenzugehörigkeit benötigt wird, außer "Authentifizierter Benutzer" (domänen-std)? Zitieren Link zu diesem Kommentar
-farbsu-ch-tt 10 Geschrieben 23. Mai 2005 Autor Melden Teilen Geschrieben 23. Mai 2005 Korrekt, das sollte "einsehen" heissen. Sehen darf er Sie. Also, jeder ist Domänenbenutzer, jeder ist in einer Benutzergruppe "jeder". Nach Organisationeinheit der Firma haben wir Container gebaut. Die Jeweils erste Ebene je Share ist für alle einsehbar. Es ist also ein sehr offenes Rechtegebilde. Weitere Ebenen sind dann Benutzerspezifisch verwaltet. Es gibt nun einzelne Ordner, die für "jeder" auf tieferen Ebenen einsehbar sind, etwa Bilder von Anlässen, Allgemeine Firmengrafiken etc. Da ein ersteller Benutzer automatisch "Domänenbenutzer" und somit "jeder" ist, kann er diese einsehen. Der Neue darf dies nicht... Nur Druckerzugriff Zitieren Link zu diesem Kommentar
ati975 10 Geschrieben 24. Mai 2005 Melden Teilen Geschrieben 24. Mai 2005 Hallo, also erstmal ist JEDER nicht gleich DOMÄNEN-BENUTZER. JEDER sind auch lokal angelegte Benutzer, DOMÄNEN-BENUTZER sind hingegen nur in der Domäne angelegte Benutzer. Zu deinem Problem: Da sich Berechtigungen addieren, und der Benutzer als Mitglied von JEDER schon Zugriff auf die Freigaben hat, kommst du um eine Verweigerung nicht umhin. Denn nur diese hat Vorrang vor einer Zugriffsberechtigung. Zitieren Link zu diesem Kommentar
-farbsu-ch-tt 10 Geschrieben 24. Mai 2005 Autor Melden Teilen Geschrieben 24. Mai 2005 Das glaube ich Dir sofort, da wir aber keine lokalen User haben ist mir das nicht aufgefallen. Wieder was gelernt :) Das Problem besteht weiter: Wenn ich den User anlege, wird er Teil von Jeder und Domänenbenutzer. Als ich Verweigerungen anlegte, hatte dies eben den besagten Effekt. Wird die neue Anforderung also zur Folge haben, dass wir ein neues Rechte-Konzept aufstellen müssen? Das wird dann schon fast so aufwendig, dass wir günstiger davonkommen, wenn wir dem User ein lokales Konto erstellen und einen lokalen Drucker hinstellen. Oder besteht die Möglichkeit, als lokal angemeldeter User mit eingeschränkten Rechten auf einen Netzwerdrucker zuzugreifen? Wenn die Firma die nur ein wenig in Ausbildung investieren würde! :suspect: Zitieren Link zu diesem Kommentar
ati975 10 Geschrieben 24. Mai 2005 Melden Teilen Geschrieben 24. Mai 2005 Als lokaler Benutzer hast du keine Berechtigung auf Drucker in der Domäne, da das Benutzerkonto auf dem Server unbekannt ist. Also entweder lokaler Benutzer mit lokalem Drucker oder Domänenbenutzer mit Verweigerung auf oberster Share-Ebene. Fahren Sie mal mit meinem Wagen tanken. Aber verwenden Sie nur Kupplung und Gas, keine Bremse. Wie weit würdest du da wohl kommen?! Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.