Hey,
also folgendes habe ich gebaut:
1. Nach dem Robocopy-Job die Berechtiungen folgendermaßen angepasst:
- d:\users -> Besitz übernommen für alle Ordner, Unterordner, Files etc...
- d:\users -> NTFS-Berechtigungen neu vergeben auf: lokale Admin-Group = Full-Access; lokale Users Gruppe = read, execute, list folder contents ; system = full access
-d:\users\%username% -> NTFS Berechtigungen gesetzt: lokale Admin-Group = Full-Access; system = Full Access; %username% = Full Access
- Den Ordner d:\users freigegeben: Freigabename: users$; Freigabe-Berechtigungen = Everyone = Full Access
Im Loginskript verwende ich dann den Pfad
\\servername\users$\%username% . Das mach ich deswegen so, um den Überblick der Freigabenamen zu wahren... :-)
In der lokalen Gruppe "Users" sind die Domain-Users Mitglied. Somit sollten die Domain-Users über die erfoderlichen Rechte verfügen. Ich hab das halt immer so gemacht, fande dies irgendwie selbsterklärend und verständlich... :-)
Aber kann dies auch gerne abändern auf eine Domain-Group. Aber du stimmst mir schon auch zu, dass dies eigentlich auch so funktionieren müsste, oder?
Auf dem alten Server war es etwas chaotisch, daher wollten wir das etwas aufräumen. Da waren diverse Domain-Groups auf den Users-Ordner berechtigt, und auf den Username-Ordner die benötigten Benutzer.
Wie schon gesagt, habe das schon oft so wie oben beschrieben gemacht, und ich meine, ich hab das mal auch bei irgendeiner Schulung so aufgeschnappt...!
Mach mich jetzt bitte nicht völlig fertig, dass mein Weg komplett falsch und abwegig ist...!
Zu deinen Fragen:
Zugriff mittels UNC-Pfad: \\servername\users$\%username% = Dateien können erstellt werden und gelöscht werden, alles läuft also "normal".
Wenn ich nun denselben Pfad als Netzlaufwerk mappe = kommt Access Denied!
Wenn ich nun wieder sicher stelle, dass das List-Folder-Contents-Recht auf die Domain-Users-Group direkt gesetzt ist, kann der User das Netzlaufwerk mappen, und sowohl im Netzlaufwer als auch im UNC-Pfad Änderungen durchführen oder
Dateien neu erstellen, löschen etc....
Aber um sicherzustellen, dass MEIN Weg auch funktioniert habe ich mal nen anderen User verwendet mit den Berechtigungen die ich verwenden wollte: Da hat es sofort geklappt.
Also nur um Irritationen und Verwirrungen zu vermeiden:
Ich habe mir irgendwann mal angewöhnt für Ordner, bei denen eine generelle Berechtigung wie z. B. lesen gesetzt werden soll eben die lokale Gruppe zu verwenden, da dort somit automatisch alle Domain Users mit drinnen sind. Wenn es dann um generelle
Berechtigungen geht, verwende ich natürlich auch die Security-Groups vom AD! Das trifft dann meißt nur auf Ordner der höchsten Ebene zu, wie z.b. das Verzeichnis users in der alle Userverzeichnisse drinnen liegen! Und alle Berechtigungen drunter
werden entsprechend mit dem AD sauber geregelt.
Selbiges mit Verzeichnisse die für Gruppenlaufwerke benötigt werden!
Ich habe nun heute festgestellt, dass mein Testuser nicht Mitglied der Domain Users war, und das habe ich dann heute Morgen geändert, leider hat das nicht zum Erfolg geführt, was darauf schließen lässt dass dieser Testuser ein prinzipielles
Problem hat!
Naja sei es drum, ich würde sagen, wir haben das Problem gelöst, oder? Wenn du mir jetzt noch zustimmen könntest, dass mein Weg nicht ganz falsch ist, könnte ich heute Nacht auch gut schlafen...
Ich hoffe ich hab dir jetzt die ganze Situation gut erklärt und bei dir sind keine Fragen mehr offen, wenn nicht frag einfach noch mal! ;-)
Grüße und thx!
Julian.
