NTFS-Rechte bei Profilverzeichnis?

Hallo,

ich bin derzeit am verzweifeln was NTFS-Rechte angeht und ich hoffe, dass ihr mir helfen könnt!

Ich habe zum Test einen Server 2003 aufgesetzt und zwei Clients mit Windows XP. Auf dem Server ist eine Domäne mit Active Directory problemlos am Laufen und die Benutzer im Netzwerk werden so zentral auf dem Server gespeichert.

Nun soll jeder ein Benutzer ein Profilverzeichnis auf dem Server erhalten, weshalb ich einen Ordner Profile auf dem Server erstellt und für Jeder freiegeben habe. Die NTFS-Rechte legen fest, dass nur Domänen-Admins und -Benutzer Zugriff haben. So weit funktioniert das auch, bei Anmeldung eines Benutzers wird im Ordner Profile ein Profilordner angelegt. Nur kann der Domänen-Benutzer auch direkt Ordner und Dateien unter Profile anlegen und verändern!

Wie erreiche ich es also, dass kein Benutzer etwas direkt unter Profile schreiben kann, das eigene Profil aber noch funktioniert?

Wäre toll, wenn mir jemand helfen könnte, ich blick da irgendwie nicht mehr durch. :|

Dangööö,

Klapperschlapper

Ganz einfach, er muss schreiben können. Sonst brauchst du keine Profile auf dem Server.

Deine Überlegung verstehe ich nicht ganz...

me too

Normalerweise weiß der Benutzr doch garnicht, wo das Profil abgelegt ist - cih sehe da also kaum ein problem. Und wenn Du die Freigabe noch mit einem $ am Ende erstellst, dann taucht sie auch nicht in der Netzwerkumgebung auf...

Okay, beim Profilverzeichnis ist der Speicherort weniger problematisch, aber wie sieht es mit dem Basisverzeichnis aus? Sobald dies als Laufwerk eingebunden wird, sieht der Anwender doch, wo genau das Verzeichnis auf welchem Server liegt.

Verstehe ich euch also richtig: man kann nicht verhindern, dass ein User außerhalb seines eigenen Profil- bzw. Basis-Ordners Objekte auf den Server schreibt, weil der Profil- bzw. Basis-Ordner in einem Ordner liegt, auf den der Benutzer Schreibrechte benötigt?

Das verstehst du richtig.
Aber: Wieso braucht er das auch noch als Laufwerk?
Es muss ihm nicht zugeteilt werden, dann sieht er es auch nicht!

Warum er das als Laufwerk benötigt? Na wofür man halt so ein Basisverzeichnis einrichtet: damit der Domänen-Benutzer seine Dateien nicht lokal abspeichern muss, sondern im Netzwerk abspeichern kann. Sonst benötigt man ja auch keine Roaming Profiles auf dem Server, da die Benutzerdateien ja ohne Basisverzeichnis auf dem Server ja nur auf einem lokalen Computer vorhanden sind. Oder habe ich da jetzt einen Denkfehler? Wie sollte man dem Benutzer denn sonst Speicherplatz im Netzwerk zuweisen, wenn nicht durch ein Basisverzeichnis auf einem Server, das bei Anmeldung als Laufwerk eingebunden wird!?

Entweder hab ich mich verlesen, oder du hast schon einen Denkfehler. Das Profilverzeichnis bekommt ein User normal nicht als Laufwerk zugeteilt. Alle anderen Laufwerke sind Userlaufwerke, wie ein privates Laufwerk, ein Abteilungslaufwerk usw. Die kannst du ihm natürlich schon zuteilen. Genauso wie du die Eigenen Dateien umleiten kannst. Aber den freigegebenen Ordner in dem das Profil selbst gespeichert wird, sieht der User normalerweise nicht.

Ja klar, das Profilverzeichnis wird natürlich nicht als Laufwerk eingebunden. Aber Alle anderen Laufwerke (also) Userlaufwerke, wie ein privates Laufwerk, ein Abteilungslaufwerk usw. werden ja erstens als Laufwerke eingebunden und liegen zweitens auch in einem freigegebenen Ordner auf dem Server. Und da jeder User auch dort Schreibrechte haben muss, kann er auch außerhalb der Userlaufwerke schreiben. Und durch das Einbinden weiß der User auch, in welchem Ordner er Schabernack treiben kann. Naja und deshalb wäre es halt prima, wenn er nicht in dem freigegebenen, übergeordneten Ordner, sondern nur in seinem eigenen Ordner schreiben (und lesen) könnte.

Klapperschlapper schrieb:

[...]Und da jeder User auch dort Schreibrechte haben muss, kann er auch außerhalb der Userlaufwerke schreiben.[...]

Zum Vergrößern anklicken....

Berechtigungen falsch gesetzt, ganz einfach.
Für die Basisverzeichnisse erstellt man eine Freigabe auf dem Server, z.B. Homedrives$ und setzt die Freigabeberechtigungen auf Vollzugriff für Authentifizierte Benutzer. Die Sicherheitseinstellungen (= NTFS-Rechte) setzt man für die lokale Gruppe Administratoren und ggf. für die Gruppe Domänen-Admis auf Vollzugriff. Fertig. User bekommen hier KEINE BERECHTIGUNGEN!!!

Nun sieht das zwar so aus, als könnten die User dort nicht schreiben, aber beim Zuweisen des Basisverzeichnisses über Active Directory Benutzer und -Computer wird automatisch für jeden User ein Verzeichnis angelegt, auf das nur er UND die vorher angegebenen Administratoren Zugriff haben.

So einfach ist das ;-)
Nun kann der User nur in seinen per AD zugewiesenen Ordner schreiben und basta.

AUSGEZEICHNET!

Nun kommen wir der Sache näher. Das mit den Basisverzeichnissen klappt nun exzellent, kann man das auch so ähnlich mit den Profilverzeichnissen machen? Die NTFS-Rechte des den Profilverzeichnissen übergeordneten Ordners kann man ja nicht wie bei den Basisverzeichnissen setzen, sonst verweigert der Server dem Domänen-Benutzer bei Anmeldung den Zugriff. Ich hätte die Rechte aber auch hier gerne so perfekt wie bei den Basisverzeichnissen, also der jeweilige Benutzer kann nur in sein Profilverzeichnis schreiben, nicht aber in die übergeordnete Freigabe. Geht das?

Und was den Tipp mit den Basisverzeichnisrechten angeht: vielen, vielen Dank!