patto 10 Geschrieben 13. April 2006 Melden Teilen Geschrieben 13. April 2006 Hallo zusammen... Bei uns hatten bisher alle Benutzer Local Admin Rechte und das ändern wir jetzt auf Hauptbenutzer. Leider sind wir ein dezentraler Konzern und mit etwa 200 Arbeitsplätze die angepasst werden müssen... Nun ist das Problem, das (vor meiner zeit) bei einer domainumstellung fehler gemacht wurden... auf das eigene profil hat der benutzer selber nur via adminrechte zugriff... da er gar nicht aufgelistet ist unter berechtigung des ordners... (nur die alte SID vom alten domainnamen) wars***einlich wurde das profil einfach von hand kopiert :) nun das problem kann ich via Batch script lösen... hab da bereits was vorbereitet... jedoch hab ich noch ein weiteres problem... die NTUSER.dat. via Registry -> Struktur Laden -> Ntuser.dat auswählen -> unter Berechtigung den username eintragen -> Struktur entladen kann man ja die ntuser.dat berechtigung anpassen... nun... habe nicht vor bei jedem arbeitsplatz vorbeizugehen... gibt es da eine möglichkeit dies zu automatisieren? am liebsten mit batch oder vb scripts... oder falls nichts anderes möglich evtl. vie gpo? vielen dank für eure antworten! Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 13. April 2006 Melden Teilen Geschrieben 13. April 2006 Hallo zusammen... Bei uns hatten bisher alle Benutzer Local Admin Rechte und das ändern wir jetzt auf Hauptbenutzer. Wie, wo, was???? Nochmals von vorne, du änderst von Admin auf Hauptbenutzer, und dann soll was mit der ntuser.dat nicht mehr funktionieren? Der Benutzer hat so oder so das Recht darauf, seine eigene ntuser.dat zu öffnen, usw., ausser man ändert das manuell. Also, kannst du nachmals..... Ich versteh dein Problem nicht (und bin wohl nicht der einzige hier). ;) Gruss Velius Zitieren Link zu diesem Kommentar
patto 10 Geschrieben 13. April 2006 Autor Melden Teilen Geschrieben 13. April 2006 allso dachte hätte es ausführlich beschrieben aber wohl nicht :D also: momentan war es leider so das alle benutzer lokale administratorenrechte haben. auf die profile ordner C:\Dokument..\%USER% hat der %USER% kein Zugriff bzw. sein Username ist unter Berechtigung nicht aufgeführt. sowas passiert wenn man bei einem domainwechsel einfach den profilordner kopiert ohne die berechtigung anzupassen... funktionieren tuts ja momentan, da ja der Administrator Zugriff auf das ganze lokale System hat... jedes Profil etc. die NTUSER.DAT Berechtigung kann nur über die Registry -> Struktur laden .... angeschaut bzw angepasst werden... dort ist ebenfalls SYSTEM = Full, Administrator = Full, ID21430983472034 (alter username alter domain)... aber der eigentliche neue username ist dort ebenfalls nicht aufgeführt... aber bekanntlich hat er ja lokale adminirechte und hat somit trotzdem zugriff auf die datei... desshalb kam bisher kein fehler ;) wenn man nun dem die adminrechte wegnimmt ohne die berechtigung auf dem pc anzupassen... hat er kein zugriff mehr auf den profilordner und erstlelt ein neues... wen man nur die berechtigung des profilordners anpasst ohne die ntuser.dat... öffnet er meistens zwar das profil jedoch kommt eine fehlermeldung und all die einstellungen die sich in der ntuser.dat befinden, können nicht geladen werden... also bin kein ***** oder so... und sprüche wie ja man kopiert auch nicht nur einfach ein profil ohne berechtigung anzupassen müsst ihr auch nicht bringen ;) das war vor meiner zeit... und ist wirklich ziemlich unverständlich... jetzt darf ich das ganze ausbügeln Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 13. April 2006 Melden Teilen Geschrieben 13. April 2006 Hallo, du bist doch schon dran, du hast die User.dat als Struktur geladen, hast erkannt, die Berechtigung des Users auf den Key fehlt. Erteile dem User doch die Berechtigung auf den Key! Viel Erfolg Edgar Zitieren Link zu diesem Kommentar
patto 10 Geschrieben 13. April 2006 Autor Melden Teilen Geschrieben 13. April 2006 öhh jetzt steht wohl zuviel text von mir das man nicht mehr drauskommt was ich möcht e:D ich suche eine möglichkeit dies zu automatisieren? Batch, VB , GPO was auch immer... Das Problem ist ja das jeder User eine eigene SID hat und wenn er sich einloggt wird die NTUSER.DAT ja bekanntlich in die registry geladen mit der SID als Schlüssel... es gibt ja möglichkeiten via batch script, registry keys/schlüssel und deren berechtigungen anzupassen... doch der schlüssel der ntuser.dat in HKCU ist ja bei allen usern anders... IT CRACKS meldet euch :D Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 13. April 2006 Melden Teilen Geschrieben 13. April 2006 Ich glaube,du verstehst nich ganz, wie das funktioniert. Man kann ncht einfach das User Profil umkopieren. Ntuser.dat ist ein Teil der Registry, und normalerweise entspricht es dem HKU\{SID des Benutzers}. Die ändert sich auch nicht durch das kopieren. Wenn du die Daten auf einen anderen Rechner bringen möchtest, dann muss du den Profil Migrations Assistenten benutzen oder den Benutzer erst einmal anmelden lassen und dann den Inhalt des Profil Ordners darüber kopieren. Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 13. April 2006 Melden Teilen Geschrieben 13. April 2006 Um wieviele User handelt es sich denn? Du kannst ja mal schauen, ob du mit SetACL klarkommst. Ich habe in diesem Forum schon darüber berichtet. Benutze die Suche! Zitieren Link zu diesem Kommentar
patto 10 Geschrieben 14. April 2006 Autor Melden Teilen Geschrieben 14. April 2006 möchte hier ja niemanden angreifen aber bevor du mir sagst das ich davon nicht viel verstehe solltest du mal alles genau durchlesen (auch wenn es viel ist) was ich geschrieben habe. Mir ist vollkommen klar das man nicht einfach rüberkopieren kann, jedoch steht weiter oben auch das dieser Domainwechsel nicht auf meine Kappe geht... ich arbeite noch nicht so lange in diesem Betrieb und es gilt einiges aufzubessern... SetACL hab ich nur kurz angeschaut, werde es aber noch mals intensiv anschauen danke! das problem ist ja, das ich auch weiss wie man via batch oder vb die registry berechtigung anpassen kann, das problem ist nur, das die SID ja bekanntlich jedesmal anders ist. es handelt sich hier um ca. 200-250 clients... dezentral... Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 14. April 2006 Melden Teilen Geschrieben 14. April 2006 das problem ist ja, das ich auch weiss wie man via batch oder vb die registry berechtigung anpassen kann, das problem ist nur, das die SID ja bekanntlich jedesmal anders ist. Und genau deswegen meine Aussage, welche, wenn ich zitieren darf, lautete, dass du das nicht ganz verstehst. Die Domain SID eines Users ändert nie(!), ausser man wechselt die Domain, und auch nur dann, wenn man nicht migriert, denn sonst wird die SID History normalerweise aktiv. Ausserdem sagtest du, dass der wechsel schon vollzogen wurde. Bei einem PC ist es so, dass da Profile angelegt wird, hat er sich noch nicht angemeldet. Das wird in einem adneren Teil der Registry hinterlegt. Nun, hat sich der User noch nie angemeldet, und es besteht da trotzdem schon eine Ordner mit den Login Namen des Users, dann wird normalerweise ein Ordner mit Username.domäne oder ähnlichem angelegt. Deswegen sehe ich ein wenig Probleme bei deinem Vorhaben, aber nicht bei den ACLs... Zitieren Link zu diesem Kommentar
patto 10 Geschrieben 18. April 2006 Autor Melden Teilen Geschrieben 18. April 2006 Sorry Velius, ich sehe du hast schon Ahnung vom ganzen ;) aber wir reden glaub ich irgendwie aneinander vorbei :( Nun, das wusste ich nicht genau ob die SID durch eine Domainmigration übernommen wird, doch das ganze klingt ganz verständlich... nur war das hier soweit ich weiss alles ziemlich verwirrt eingerichtet und die usernamen in der alten domain waren nur 3 kurzzeichen und durch die grösse des unternehmens wurden die auch geändert. Der Benutzer besitzt keine Rechte auf sein eigener Profilordner und keine Rechte auf die Registry Struktur die via NTUSER.DAT in die Registry geladen wird. Habe bemerkt, dass zT die Übername des Profils korrekt gemacht wurde via "Profil kopieren nach" im System... ca. 1/3 aller user würde ich mal so behaupten... bei ca. 20clients habe ich es manuell gemacht. Berechtigung auf Ordner gesetzt und NTUSER.DAT in die Registry via "Struktur laden" geladen und dort auch die Berechtigung vergeben... danach lokaleadministratoren rechte weg -> funktioniert! Jedoch müsste es doch eine möglichkeit geben, das ganze zu automatisieren? Die Berechtigungsvergabe der Struktur NTUSER.DAT Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 18. April 2006 Melden Teilen Geschrieben 18. April 2006 Also wenn da innerhalb der ntuser.dat, also stellvertettend für HKCU, die Rechte derart verbogen wurden, dann sollte sich der User auch nicht mehr anmelden können (Garantiert!). Sorry, da gibt es wohl kein Hilfe. Mit GPO wäre ein Ansatz gewesen, da stehen aber nur HKLM und HKCR zur Verfügung, nicht aber HKCU. Moment: Allerdings steht da auch HKU zur Verfügung. Wenn du nun die SID der User ermitteln kannst (Tools git es; Boardsuche), dann kannst du für jeden betreffenden Benutzer die ACL auf seinen Unterschlüssel unter HKU über GPO mitgeben. Die Einstellungen sind unter Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Registrierung zu finden. Sorry Velius, ich sehe du hast schon Ahnung vom ganzen .... Danke für's Kompliment, stimme dir voll zu! :D ;) Zitieren Link zu diesem Kommentar
patto 10 Geschrieben 18. April 2006 Autor Melden Teilen Geschrieben 18. April 2006 ja der kann sich normalerweise auch nicht anwenden... das klappt ja nur weil er in der lokalen "Administratoren" Gruppe ist und diese hat Zugriff auf jedes Profil und die komplette Registrierung... somit auch auf die Struktur in NTUSER.DAT... desshalb hatten die leute bei uns, bei der umstellung keine probleme bemerkt... frag mich ob man wirklich so dumm sein kann indem man ohne irgendwelche anpassungen einfach ein profil von hand kopiert ohne irgendwelche anpassungen zu machen oder ob irgendwo sonst der fehler kam... Vielen Dank! Werde das ganze mit den SID Tools mal anschauen... Gruss & schönen Tag Zitieren Link zu diesem Kommentar
patto 10 Geschrieben 18. April 2006 Autor Melden Teilen Geschrieben 18. April 2006 Nachtrag: Über GPO geht das ganze sicher am schönsten, doch da wir ein int. Betrieb sind habe ich kein Zugriff auf die GPO's... Habe jetzt ein Batch geschrieben, welcher die Berechtigung des Profilordners des Users und zusätzlich noch die Berechtigung für den Schlüssel HKCU neu setzt... Dann kann das ganze mit der SID Auslesung übergangen werden... konnte es leider noch nicht testen da hier in unserer niederlassung alle schon umgestellt sind aber werde es dann demnächst bei einer anderen NL testen! Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.