none
GPO presmerovani slozek z klienta na server

    Dotaz

  •  

    Dobry den, pri presmerovani slozek a profilu jsem postupoval dle nize uvedeneho postupu. Akorat me stve, ze tato politika, a vubec veskera politika se projevi az na nove vytvorene uzivatel.

    Nevite nekdo jak by se dalo osetrit, kdyz se nastavi GPO, aby tato politika zahrnovala i stavajici uzivatele? Protoze casem se muze stat, e si GPO politiky upravite.

    Dekuji

    You can configure a Group Policy Object (GPO) to perform the preceding behavior by performing the following steps:

    1. Edit the GPO that you want to modify.
    2. Locate the following section: Computer Configuration \ Administrative Templates \ System \ User Profiles.
    3. Double-click Delete cached copies of roaming profiles (the Group Policy setting).
    4. Click Enabled

    pondělí 19. října 2009 11:04

Odpovědi

  • Politika se samozrejme pouzije i na stavajici uzivatele.

    Co presne ti nefunguje? Slozky nebo profily? Ma uzivatel do prislusnych shares a odpovidajicich NTFS adresaru pravo Full Control aby si mohl VYTVORIT profil/prekopirovat dokumenty a NASTAVIT SI VYHRADNI PRAVA pro sebe (+ dle GP pripadne i Administrators)?

    - Jake hlasky mas v eventlogu?
    - GPUpdate / GPresult rika co? Neni v nem hlaska o security descriptoru (=uzivatel nema full control)

    MP
    • Označen jako odpověď martin kotrba čtvrtek 14. ledna 2010 12:55
    pondělí 19. října 2009 11:17
    Vlastník

Všechny reakce

  • Hezky den,
    jaky server pouzivate ?
    Jedna se doufam o GPO pomoci serveru ?
    pondělí 19. října 2009 11:08
  • Politika se samozrejme pouzije i na stavajici uzivatele.

    Co presne ti nefunguje? Slozky nebo profily? Ma uzivatel do prislusnych shares a odpovidajicich NTFS adresaru pravo Full Control aby si mohl VYTVORIT profil/prekopirovat dokumenty a NASTAVIT SI VYHRADNI PRAVA pro sebe (+ dle GP pripadne i Administrators)?

    - Jake hlasky mas v eventlogu?
    - GPUpdate / GPresult rika co? Neni v nem hlaska o security descriptoru (=uzivatel nema full control)

    MP
    • Označen jako odpověď martin kotrba čtvrtek 14. ledna 2010 12:55
    pondělí 19. října 2009 11:17
    Vlastník
  • Jedna se doufam o GPO pomoci serveru ?

    Asi myslis AD a ne server :)

    MP
    pondělí 19. října 2009 11:18
    Vlastník
  • Dobry den, pouzivam Windows server 2008, klient PC XP Prof.
    Na serveru je nasdilena slozka s pravy pro Auten. Users - FULL Control. Prava NTFS jsou pro Domain Users krome FULL CONTROL odskrtnuta vsechna zatrzitka.
    Kdybych dal NTFS opravneni FULL CONTROL, tak by si mohli navzajem lest do slozek uzivatele, rsp. si je prohlizet. Nebo ne?
    GPO mam vytvorenou novou na serveru pres konzolu a v ni je nadefinovano vyse uvedene nastaveni.
    pondělí 19. října 2009 13:32
  • Martine,
    naopak. Full control je NAPROSTO NUTNE. Funguje to totiz nikoliv tak jak si myslis ale naopak a spravne, napr. u profilu:

    - pri odhlasovani Windows vytvori adresar (zadany v DSA.MSC) pro profil, nastavi na nej prava POUZE PRO AKTUALNIHO UZIVATELE (a pripadne Administrators pokud povolis v GP) a do tohoto ulozi profil
    - ano, urcita nehezka dira tu pri tomto nastaveni je - uzivatel si do (o uroven vyssiho) adresare muze ukladat co se mu zamane

    zadal jsem te aby ses podival do gpresult, eventlogu ... - nic?

    MP
    pondělí 19. října 2009 13:38
    Vlastník
  • Jaky presne prikaz mam zadat... GPRESULT.EXE > GP.TXT??
    pondělí 19. října 2009 13:51
  • A jeste, kdyby uzivatel nemel pravo na zapis, tak by mi to pri prihlasovani/odhlasovani zarvalo,  ze nejde zkopirovat profil. Nemam pravdu?
    pondělí 19. října 2009 13:53
  • Zacni eventlogem na stanici ze ktere se ti neuklada profil na sit.

    gpresult /v >nekam.txt je rozumne, predtim pro jistotu gpupdate /force

    MP

    P.S. co mas (resp. ne ty ale nemocny uzivatel) v promenne %userprofile% ?
    pondělí 19. října 2009 13:53
    Vlastník
  • melo by

    MP
    pondělí 19. října 2009 13:54
    Vlastník
  • VYSLEDEK:

    N stroj Microsoft (R) Windows (R) XP Operating System Group Policy Result verze 2.0
    Copyright (C) Microsoft Corp. 1981-2001

    Vytvoýeno na 19.10.2009 ve 15:59:38


    Věsledky RSOP pro GYMPL\hnizdoj na POCITAC02 : Re§im pýihlaçov nˇ
    ------------------------------------------------------------------

    Typ OS:                      Syst‚m Microsoft Windows XP Professional
    Konfigurace OS:              ¬lensk  pracovnˇ stanice
    Verze OS:                    5.1.2600
    N zev dom‚ny:                GYMPL
    Typ dom‚ny:                  Windows 2000
    N zev sˇtŘ:                  Default-First-Site-Name
    Cestovnˇ profil:             \\server01\profiles$\hnizdoj
    Mˇstnˇ profil:               C:\Documents and Settings\hnizdoj

    pondělí 19. října 2009 14:01
  • a %userprofile% ? a eventvwr.exe?

    MP
    pondělí 19. října 2009 14:50
    Vlastník
  • a %userprofile% --- hnizhoj

    eventvwr.exe --- zadna zavazna chyba.

    Co muzu jeste zkusit?
    úterý 20. října 2009 5:48
  • Dobry den, pouzivam Windows server 2008, klient PC XP Prof.
    Na serveru je nasdilena slozka s pravy pro Auten. Users - FULL Control. Prava NTFS jsou pro Domain Users krome FULL CONTROL odskrtnuta vsechna zatrzitka.
    Kdybych dal NTFS opravneni FULL CONTROL, tak by si mohli navzajem lest do slozek uzivatele, rsp. si je prohlizet. Nebo ne?
    GPO mam vytvorenou novou na serveru pres konzolu a v ni je nadefinovano vyse uvedene nastaveni.

    FULL CONTROL znamena, ze uzivatel/skupina, na kterou je to nastaveno (treba domain users) ma pravo
    - menit opravneni te slozky
    - prevzit vlastnictvi

    Slozka do ktere ma mit pristup pouze uzivatel JAN musi mit tato prava
    1) administrators - full control
    2) system - full control
    3) JAN - change

    Tot obecne okolo zabezpecovani.

    Nikdo jiny nez admin a jan se tam pak nedostane. A jan nema pravo pravo nekomu dalsimu dat, ci obecne prava menit


    Pochopil jsem nakonec z debaty, ze jde o presmerovani PROFILU, ne "slozek" a ze u NOVYCH to jde, ale u starych NE.
    Ty stary maj jake profily ? Mistni ?
    Pokud ano, doporucuji preventivne jednu vec.
    1) zazalohuj z lokalu jejich profil
    2) smaz ho z lokalu
    3) z registru vymaz jejich info o profilu (HKLM\SOFTWARE\MICROSOFT\Windows NT\CurrentVersion\profilelist

    Vim ze to je prace, ze vse by melo fungovat automaticky, ale nekdy to zlobi. Proc, to nebudu rozebirat, byli bychom pak jinde.

    + zkus si u toho uzivatele, co ti to nejde, pripojit jeho profilovou slozku a zda tam mas zapis .. ..

    Jak je jednou profil vytvoren, uz full control nepotrebuje a dokonce je zahodno aby ho nemel.

    A trosku min automaticke, ale fungujici je jedna vec -
    1) vytvor na serveru tem uzivatelum slozky kde bude jejich ROAM profil pak se nahravat
    2) na tu slozku jim dej CHANGE (viz pravidla vyse)
    3) over ze na PROFILES$ maji ve vlastnostech SDILENI -> OPRAVNENI prava CHANGE
    Jak rikam, neni to plne automaticke, ale to si pak rozchod nekde az vyresis tvuj problem a pochopis jak to vsechno pracuje, at se hnes z mista.

    Uzil sem si s profilama dost, ale nakonec se vse podarilo dotahnout do finalniho konce (prostredi Wxp, Wvista, W7, lokal,mandatory i roam profily) Ale byl to mazec. Tak preju stesti.
    úterý 20. října 2009 6:46
  • %userprofile% neni \\server\profiles\uzivatel?

    Asi mas neco spatne v dsa.msc

    MP
    úterý 20. října 2009 7:29
    Vlastník
  • Honzo,
    s tim pouze "change" (tedy NE full control) pro usera pozor. Napr. prave presmerovane dokumenty rvou jako protrzene pokud user nema full control a k presmerovani ex post nedojde nebot neni mozne vytvorit adresar pro presmerovane dokumenty A NASTAVIT K NEMU PRAVA. Tedy ve standardnim nastaveni.

    MP
    úterý 20. října 2009 7:31
    Vlastník
  • Muj postup byl:

    Vytvoreni adresaru na serveru PROFIELS$ a HOME$, na tyto adresare jsem nastavil prava na sdileni pro Auten. Users - FULL CONTROL, nekde jsem to cetl, ze smazat EVERYONE.
    V opravneni NTFS jsem nastavil FULL CONTROLL pro Administrators, System. Dale pro Domain User vse krome FULL CONTROL.
    Pri vytvareni uctu jsem zadal do Profile Path uzivatelum : \\server01\profiles$\%username% a do Home folder Conect Z: To \\server01\home$\%username%.

    Pomoci politiky jsem nastavil:
    1.  Delete cached copies of roaming profiles (the Group Policy setting), viz. vyse uvedeno.
    2.  Presmerovani slozek - REDIRECTION FOLDER (Plocha, Moje Dokumeny, atd.).
    3.  Adds the Administrator security group to the roaming user profile share.

    To je vse co jsem udelal.

    Aby se tato politika pouzila i u starsich zalozenych useru, tak jsem to udelal nasledovne: Prihlasil jsem se na stanici jako local admin, smazal cestovni profily a dal prikaz GPUPDATE.EXE / FORCE. Pak mi to fungovalo.

    Dale ale porad resim problem s tim kdyz se prihlasi treba jan HNIZDOJ na klientsky PC a zada do prikazoveho radku cestu kolegy \server01\home$\pavelkaj, tak se mu zobrazi jeho  slozka. Coz je blbe. A nastavovat to tak, ze bych u kazde home slozky uzivatele nastavil vyhradni pravo a ostatni zrusil - blby. Kdyz mam treba 100 lidicek.

    Pak jsem zkusil druhy zpusob: misto DVOU \\server01\profiles$\%username% a do Home folder Conect Z: To \\server01\home$\%username%.
     jsem mel pro uzivatele jen \\server01\profiles$\%username%, resp. i v ceste Home folder Conect Z: To \\server01\home$\%username% jsem mel zadano \\server01\profiles$\%username%. Po tomto zadani uz uzivatel HNIZDOJ nema moznost prohlednout slozku treba kolegy PAVELKAJ. Pritom PRAVA i OPRAVNENI NTFS jsou stejne zadana.


    úterý 20. října 2009 7:54
  • Dale ale porad resim problem s tim kdyz se prihlasi treba jan HNIZDOJ na klientsky PC a zada do prikazoveho radku cestu kolegy \server01\home$\pavelkaj, tak se mu zobrazi jeho  slozka. Coz je blbe. A nastavovat to tak, ze bych u kazde home slozky uzivatele nastavil vyhradni pravo a ostatni zrusil - blby. Kdyz mam treba 100 lidicek.

    Martine,
    ctes moje odpovedi? Samozrejme ze mas BLBE nastavena prava a budes je muset opravovat rucne. Kdybys byl byval dal uzivateli pavelkaj full control tak bude mit sanci nastavit na SVUJ adresar prava jen pro sebe a admina a zadny hnizdo se mu tam nepodiva. Ale on to pravo nema a tak budes muset opravovat.

    co se tyce druheho pripadu: michas jablka a hrusky. Profil se vytvari pod uctem prihlaseneho (a odhlasovaneho) uzivatele v okamizku odhlaseni. Home adresar se vytvari v okamziku kdy jej zadas do DSA.MSC, vytvaris jej tedy TY. TY jsi predpokladam domain admin a mas prav spravne nastavit prava. proto vse funguje tak jak ma. odhlasovany uziatel pavelka ma ale prava nastavena blbe (viz vyse).

    samozrejme si vse muzes nastavit po svem a take spravne . jen to bude trosku pracne jak jsi koneckoncu sam zjistil. navic budes potrebovat jeste vice znalosti. zacarovany kruh :)

    MP
    úterý 20. října 2009 7:57
    Vlastník
  • Ano, to je pravda. Me to prekvapilo. Myslim, ze by vlastnik a samoze administrator ma mit prava FULL CONTROL.
    úterý 20. října 2009 7:58
  • Ad HNIZDOJ)
    zasadni chybu mas v tom, ze nastavujes na te slozce HOME opravneni DOMAIN USERS - CHANGE !!!
    Tim padem zafunguje dedicnost a .. .. .. maji prava i ostatni.
    Toto pravo tam byt nesmi..

    Pak kdyz kopirujes sablonu uzivatele (predpokladam ze se bavime o klikani, ne o skriptu, tam by to resili prikazy), tak on ti prava vytvori a je to dobre .. .. (bavime se o HOME, PROFILY se tvori az pri prvnim prihlaseni)

    Honza
    úterý 20. října 2009 7:59
  • Muzes mi tedy napsat postup jak nastavit prava na SDILENI - pro koho a opravneni NTFS - pro koho?
    Bylo by to pro skupinu zaci, kteri jsou soucasti skupiny DomainUsers a opravneni konkretne pro uzivatele Pavelka.



    Koukal jsem na OPRAVNENI NTFS, DOMAIN USERS - CHANGE tam neni, jen moznost MODIFY.
    úterý 20. října 2009 8:36
  • jak jsem psal, zacni napr. PROFILY
    - vytvor adresar dejmetomu x:\profiles, nastav NTFS prava Full Control pro System, Administrators/Domain Admins, Users
    - nasdilej dejmetomu jako profiles, nastav CIFS prava full control pro Administrators/Domain Admins, Users
    - nastav prislusnou cestu (\\server\profiles\%username%) k profilu nejakemu uzivateli v dsa.msc
    - nech uzivatele prihlasit (aby se nacetl zmeneny udaj o profilu) a odhlasit (aby se profil ulozil)

    - ver tomu ze se profil ulozi a ze se do nej nepodiva jiny uzivatel (max. admin)

    change a modifu jsou vicemene to same, jen jednou pro CIFS a jednou pro NTFS. sorry za zmateni

    Az bude fungovat muzeme prava zacit utahovat. Driv ne

    MP

    P.S. jak jsi zadaval cestu k profilu ze v nem bylo (%userprofile%) hnizhoj a ne \\server\profiles\hnizdoj ?!
    úterý 20. října 2009 8:44
    Vlastník
  • Kolega uz zacal psat postupy, nebudu psat duplicity.
    Jen doporuceni k tomu co pises - mas skupinu ZACI - OK. Ale nedavej ji, ze ta skupina je clenem DOMAIN USERS. Tim si nicemu nepomuzes a naopak to muze spusobit problemy s definici zabezpecni jak AD, tak souboroveho systemu.
    Pomoci skupin uzivatelu pak budes resit prava kam muzou studenti, kam ne(neuvedes je), kam ucitele, etc.. ..

    úterý 20. října 2009 8:59
  • Zacal jsem od zacatku, mam dva uzivatele a funguje to, ze se nepodivaji vzajemne do profilu. Ted nasleduje HOME FOLDER. MAm to udelat tim samym zpusobem?


    Ohledne tech DOMAIN USERS, tak jsem koukal do profilu uzivatele a on je clenem automaticky a nelze to zmenit.


    S tim change a modifu, drzme se modify.
    úterý 20. října 2009 9:08
  • Pripadne bych se chtel zeptat na toho TEMPLATE USERA. Na nem si nadefinuji kde bude mit zastupce a dalsi programy. Jak postupovat.
    úterý 20. října 2009 9:11
  • to jsme radi :)

    Co se tyce home folderu - zalezi. Budes presmerovavat nejake slozky (My Documents a pod) do uzivatelova Home? Pak je take treba aby do nej mel full control.

    MP

    P.S. change/modify - jak jsem rikal, jedno je pro CIFS, druhe pro NTFS, prakticky a zjednodusene znamenaji to same. Pokud chces byt striktni je treba uvadet o jaky souborovy system jde

    úterý 20. října 2009 9:12
    Vlastník
  • co je template user?

    Myslis hk_users\.default? Radeji pouzij group policy. Co vsechno chces nastavovat? Programy bude mit tak kam je nekdo nainstaluje. Zastupce bude mit ve start menu.

    MP

    úterý 20. října 2009 9:14
    Vlastník
  • Ano, budu presmerovavat, dokumenty, plochu.

    Akorat mi nejde do hlavy proc se nejdrive, mam NTFS system,  nastavuje OPRAVNENI NTFS a az pak prava na sdileni, resp. nastaveni sdilene slozky. A jeste jeden dotazek, nelze misto HOME FOLDER uzivatele nastavit tu samou slozku jako u profilu uzivatele? Delalo by to bordel?
    Dikes
    úterý 20. října 2009 9:15
  • Protoze mas nad sebou 2 filesystemy z nichz kazdy podporuje ACLS. Co je na tom nelogickeho? Ber to tak jaklo ze mas v cinzaku zamek na vchodovych dverich a pak do kazdeho bytu. Asi bys take nechtel mit zamek jen ke vchodu aby ti sousede lozili po byte. Nebo bys nechal vchodove dvere bez zamku?

    Ad 2) doporucuji striktne rozdelit! Share pro profily by mel slouzit jen pro ne. NAopak do home se daji napr. presmerovat dokuemnty atd.

    MP
    úterý 20. října 2009 9:21
    Vlastník
  • Ano, neco jako sablona uzivatele, pod kterym si nadefinuji plochu, programy ve start menu.
    Neco jsem cetl ve knizce Win 2008 server, ze si vytvoris usera v AD, pak se pod nim prihlasis na serveru, nastavis ikony, upravis start menu a pak ho pouzijes jako sablonu pro nove vytvorene uzivatele.

    Ja bych to taky resil pomoci GPO.

    Ohledne te slozky HOME FOLDER, mam ji vytvorit stejnym zpusobem jako PROFILES? Myslim stejna prava a opravneni NTFS?
    úterý 20. října 2009 9:22
  • Proc by se uzivatel mel hlasit NA SERVERU? myslis http://technet.microsoft.com/en-us/library/cc738596(WS.10).aspx ?

    Home folder se vytvori pri zadani uzivatele a/nebo home folderu v DSA.MSC. Pote zkontroluj prava.

    MP
    úterý 20. října 2009 9:25
    Vlastník

  • Jasne, jak tedy nastavit prava a opravneni na sdilene slozce HOME, kam nasledne pomoci GPO nastavim presmerovani plochy, dokumentu apod.
    A bylo by mozne vysvetlit rozdil mezi profilem a home folder?
    Kdyz mam zadanou cestu v PROFILE PATH a HOME FOLDER polich u uctu uzivatele a nasledne pomoci GPO presmerovanou slozku MyDocuments do HOME FOLDER. Jaky je rozdil?
    Je to tak, ze kdyz zadam pomoci GPO presmerovani MyDocuments do slozky HOME$, tak uz ve slozce PROFILES$ nebude?
    úterý 20. října 2009 9:44
  • Velmi laicky(miro snad to rozdejchas:) )
    V profilech je ulozeno nastaveni uzivatele  - uzivatelske registry, data plikaci, plocha, startmenu .. .. vse uzivatele
    Profil muze cestovat ze serveru na klienta a naopak (roam profil), ci jen jednosmerne( mandatory)

    V domovkse slozce si uzivatel uklada obycejna data.
    Pokud by ji nemel, tak by to musel ukladat na plochu a to je silene (kuli prenaseni dat pri prihlasovani/odhlasovani.

    Pokud chces, aby mel uzivatel presmerovanou treba plochu a start menu, nejdriv se zpetej sam sebe zda to potrebujes (zda to nestaci v profilu. V podstate to je doporucovana vec, v heterogennim prostredi (XP, vista,7) dokonce velmi doporucovana a potrebna.
    Kazdopadne rekneme ze mas dobrej dovod a nestaci ti normalni profil + home.
    Tak pak vyhoda tohoto ze mas profil a home zvlast je i ta, ze treba slozku dokumenty muzes presmerovat do domovske slozky. Neboli uzivatel klikne na dokumentovou slozku - ale neni v profilu, ale na serveru. A tudiz server nemusi za chvili resit stomegabajtove profily a v profilech se uchovava jen to co ma byt.
    úterý 20. října 2009 9:50

  • Je to tak, ze kdyz zadam pomoci GPO presmerovani MyDocuments do slozky HOME$, tak uz ve slozce PROFILES$ nebude?

    Bude, ale nebude pouzivana (to co v ni bude se neobjevi v dokumentech, bude tam jen to co je v HOME).
    Detaily resi nastaveni vlastnosti JAK ty dokumenty presmerovavas (v konkretnim dialogu GPO)
    úterý 20. října 2009 9:51
  • Profile path je misto kam se uklada kopie lokalniho profilu pri odhlaseni (a odkud se natahne pr iprihlaseni). Tecka. Jednoucelovy adresar.

    Home folder je uzivateluv domaci adresar. Pokud spustis shell je prave home folder aktualnim adresarem. Na home se da odkazovat, pracovat s nim, presmerovavat do nej. Sem patri uzivatelova data nereknes-li jinak.

    MP
    úterý 20. října 2009 9:53
    Vlastník
  • Miro, napis mi prosim ten postup pri vytvareni HOME adresare, nastaveni NTFS opravneni prav a nastaveni prav sdileni.
    úterý 20. října 2009 10:24
  • Postupoval jsem takto:
    na serveru jsem zalozil novou slozku home.
    na ni jsem nastavil sdileni pro Administrators a Users FULL CONTROL. V NTFS opravneni jsem nastavil FULL CONTROLL pro admina a USERS.
    Pak najedu do vlastnosti uzivatele a nastavim HOME folder. Dam APPLY a ve slozce SHOME se vytvori slozka daneho uzivatele.
    Ale pokud se prihlasim pod uctem uzivatele uzivatel_A a zadam \\server01\home\uzivatel_B, tak uvidim obsah slozky... Sakra, nejde mi to.
    úterý 20. října 2009 10:47
  • snad uplne nejrychlejsi bude to, kdyz posles nekomu z nas pristup na server (treba pres VNC) a zkoukne a nastavi to nekdo rovnou.
    S vysvetlenim samo.

    Takhle Mira uz jednou neco delal u me a bylo to 20x rychlejsi, nez kdybych se vymackaval a ptal na kazdou hloupost .. ..
    úterý 20. října 2009 11:06
  • Home folder se vytvori pri zadani uzivatele a/nebo home folderu v DSA.MSC. Pote zkontroluj prava. --->>>>
    To vim, ze se vytvori, ale jde mi o to spravne nastaveni SDILENI a NTFS OPRAVNENI. S tim aby zadny uzivatel si nezadal UNC cestu do prikazoveho radku a mohl si zobrazit moji HOME FOLDER.
    Vsude se pise (z NETu), ze kvuli bezpecnosti se PRAVA PRO SDILENI davaji jen na AUTHENTICATED USERS a NTFS opravneni mi se specifikuje, kdo ma OPRAVNENI CIST,ZAPISOVAT, MENIT, apod.

    Porad mi to tu nejak pripada, ze si nerozumime. Je rozdil mezi PRAVEM a OPRAVNENIM . PRAVO je na sdileni a OPRAVNENI je na specifikovani, kdo co muze.
    Mam PRAVO na sdileni,ale neznamena to, ze mam OPRAVNENI do slozky, treba CIST, ZAPISOVAT apod. To jsem cetl v knize WIN 2008 server pro ADMINISTRATORA.

    úterý 20. října 2009 11:22
  • Prava se delaji (vets) takto:

    na share dej nejnizsi mozna SPOLECNA prava NEJSPECIFICTEJSIM SKUPINAM UZIVATELU (vyjimecne i uzivatelum). Bud ale KONKRETNI. Tzn. radeji
    nez Authenticated Users bych napr. dal Domain Users a Domain Admins. Podle potreby Change nebo Full.

    Na konkretni adresar dej pak nejnizsi potrebna NTFS prava. Napr. Pepa:Full, Domain Admins:Full, System:Full

    Precti si neco o Explicitnich a Dedenych pravech a o pravech vubec.

    MP
    úterý 20. října 2009 11:36
    Vlastník
  • Uz mi to funguje, tak jak jsem si pral.

    Miro: na share dej nejnizsi mozna SPOLECNA prava NEJSPECIFICTEJSIM SKUPINAM UZIVATELU (vyjimecne i uzivatelum). Bud ale KONKRETNI. Tzn. radeji
    nez Authenticated Users bych napr. dal Domain Users a Domain Admins. Podle potreby Change nebo Full.

    Priklad 1. pokud bych mel slozku ZACI a nasdilel pro skupinu SPOLUZACI, Domain User a Domain Admin, dal jim FULL CONTROL, to znamena, ze nikdo nez jiny ze skupiny SPOLUZACI, Domain User  a Domain Admin nema pravo tuto slozku sdilet videt a samozrejme i pristupovat do ni, ze? 

    Co kdybych si  zalozil skupinu UCITELE ( v teto skupine mel uzivatele Jan Adam), kteri jsou soucasti Domain Users. Nemel bych pak jako Jan Adam opravneni vstoupit, nebo si zobrazit slozku ZACI? Jak by se to chovalo?

    Miro, proc by si dal radeji nez Authenticated Users napr. dal Domain Users a Domain Admins? Vysvetli mi, prosim, toto. Dekuju


    úterý 20. října 2009 12:07
  • Ted mam konecne cas si pohrat s tim profilem, pod ktreym si nadefinuji plochu, zastupce a budu ho pouzivat jako sablonu pro tvoreni dalsich uzivatelu. Dik
    úterý 20. října 2009 12:11
  • Miro, proc by si dal radeji nez Authenticated Users napr. dal Domain Users a Domain Admins? Vysvetli mi, prosim, toto. Dekuju

    Protoze jsou to specifictejsi uzivatele nez authenticated users.

    co se predchoziho tyce: skupiny mohou obsahovat skupiny. dale je to explicit deny - explicit allow - inherited deny - inherited allow

    RTFM PLS! A pokud muzes uzavri tento thread

    MP
    úterý 20. října 2009 12:26
    Vlastník