Ordnererstellung via GPO bleibt ohne Benutzerrechte?

Alle Antworten

• 

  

  0

  Anmelden

  Am 18.07.2012 schrieb HorNet505:

  Via GPO erstellte ich (im Benutzerkontext) einen Ordner unter %appdata% und verteilte danach Dateien in Selbigen.

  Nimm den Haken bei dem Benutzerkontext doch mal raus.

  Als ich nachsah, hatte derjenige Benutzer jedoch keine Rechte auf diesen Ordner. Weder lesen noch schreiben war angehakt.
  
  Ich MUSS aber die Rechte für "authorized users" oder den Besitzer des %appdata% Ordners auf lesen/schreiben setzen.

  Die könntest Du mit einer GPO korrigieren.
  http://www.gruppenrichtlinien.de/HowTo/Zentrale_Vergabe_lokaler_Berechtigungen.htm#Dateisystem

  Servus
  Winfried

  ---

  Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
  GPO's: http://www.gruppenrichtlinien.de
  Community Forums NNTP Bridge: http://communitybridge.codeplex.com/

  Donnerstag, 19. Juli 2012 05:14

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

   

  > Via GPO erstellte ich (im Benutzerkontext) einen Ordner unter

  > %appdata% und verteilte danach Dateien in Selbigen.

  >

   

  Hast Du unter "Gemeinsam" auch "Im Kontext des angemeldeten Benutzers"

  angehakt?

   

  > 2. kann man das nachträglich anpassen?

   

  Ja - löschen und korrekt neu anlegen.

   

  ---

  NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
  Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating!

  Donnerstag, 19. Juli 2012 13:04

  Antworten

  |

  Zitieren

  Beantworter
• 

  

  0

  Anmelden

   

  > Die könntest Du mit einer GPO korrigieren.

  >

  > http://www.gruppenrichtlinien.de/HowTo/Zentrale_Vergabe_lokaler_Berechtigungen.htm#Dateisystem

  >

  >

   

  Leider nein - %appdata% liegt im Benutzerprofil, und per

  Sicherheitseinstellungen\Dateisystem ist das nicht erreichbar...

   

  mfg Martin

   

  ---

  NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
  Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating!

  Donnerstag, 19. Juli 2012 13:04

  Antworten

  |

  Zitieren

  Beantworter
• 

  

  0

  Anmelden

  Am 19.07.2012 schrieb Martin Binder:

  Die könntest Du mit einer GPO korrigieren.
  
  http://www.gruppenrichtlinien.de/HowTo/Zentrale_Vergabe_lokaler_Berechtigungen.htm#Dateisystem

   
  Leider nein - %appdata% liegt im Benutzerprofil, und per Sicherheitseinstellungen\Dateisystem ist das nicht erreichbar...

  Hmm, ich glaub dir das. Seltsam finde ich das trotzdem. Danke für den
  Hinweis.

  Servus
  Winfried

  ---

  Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
  GPO's: http://www.gruppenrichtlinien.de
  Community Forums NNTP Bridge: http://communitybridge.codeplex.com/

  Freitag, 20. Juli 2012 05:09

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Hi,

   

  Am 18.07.2012 23:35, schrieb HorNet505:

  > Ich MUSS aber die Rechte für "authorized users" oder den Besitzer des

  > %appdata% Ordners auf lesen/schreiben setzen.

   

  Immer wieder, der Einstiegspunkt "Dieser Ordner" muss richtig sein:

   

  Security Recommendations for Folder Redirection

  http://technet.microsoft.com/de-de/library/cc736916(v=ws.10).aspx

   

  Tschö

  Mark

  --

  Mark Heitbrink - MVP Windows Server - Group Policy

   

  Homepage:       www.gruppenrichtlinien.de - deutsch

  GPO Tool:       www.reg2xml.com - Registry Export File Converter

  NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

   

  Freitag, 20. Juli 2012 07:07

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  
  

   
  

  Leider nein - %appdata% liegt im Benutzerprofil, und per Sicherheitseinstellungen\Dateisystem ist das nicht erreichbar...

  Hmm, ich glaub dir das. Seltsam finde ich das trotzdem. Danke für den
  

  
  Ist nicht seltsam ;-) %appdata% gehört zum Benutzerprofil - ist in einer GPO also nur im Benutzerteil verfügbar. Und die Dateisystem-Rechte in GPOs liegen im Computerteil...
  
  mfg Martin
  

  ---

  NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
  Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating!

  Freitag, 20. Juli 2012 09:57

  Antworten

  |

  Zitieren

  Beantworter
• 

  

  0

  Anmelden

  @Martin:

  1. ja, sonst hätte das mit dem %appdata% Pfad nicht funktioniert

  2. löschen und neu anlegen würde das Rechte Problem nicht beheben sondern einfach nur neu generieren.

  Montag, 23. Juli 2012 09:49

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  @Mark

  habe mir den Artikel durchgelesen. Bei mir handelt es sich weder um REDIRECTION noch um einen SHARE Ordner.

  Was meinst Du mit "der Einstiegspunkt 'dieser Ordner'" ??

  Also mein Ordner wurde ja korrekt erstellt und meine Dateien anschließend auch in Selbigen verteilt. Nur hat der Benutzer keine Änderungsrechte.

  Er hat lieder gar keine Rechte an diesem Ordner. Bräuchte er aber.

  update:

  zu 2) habe ich gelesen dass ich über GPO Sciherheitseinstellungen > Dateisystem die Rechte an vorhandenen Objekten nachträglich anpassen kann.

  link

  Das teste ich mal

  Mein Problem scheint nicht globaler Natur zu sein. Ein neuer Testordner wurde diesmal MIT nötigen Benutzerrechten vergeben. So wie es sich gehört.

  

  

  

   Evtl hat da ein KB-Patch in der Zwischenzeit etwas verändert !?

  • Bearbeitet HorNet505 Montag, 23. Juli 2012 11:06

  Montag, 23. Juli 2012 09:56

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

   

  > 1. ja, sonst hätte das mit dem %appdata% Pfad nicht funktioniert

   

  Hmmmm...:

   

  C:\Users\admin.CORP\AppData\Roaming\test NT AUTHORITY\SYSTEM:(I)(OI)(CI)(F)

                                          

  BUILTIN\Administratoren:(I)(OI)(CI)(F)

                                           CORP\admin:(I)(OI)(CI)(F)

   

  C:\Users\admin.CORP\AppData\Roaming\Test2 NT AUTHORITY\SYSTEM:(I)(OI)(CI)(F)

                                           

  BUILTIN\Administratoren:(I)(OI)(CI)(F)

                                            CORP\admin:(I)(OI)(CI)(F)

   

  Successfully processed 2 files; Failed processing 0 files

   

  Den Ordner "test" habe ich per MD angelegt, den Ordner "Test2" per GPP

  "Folders" mit "Im Sicherheitskontext des angemeldeten Benutzers". Auf

  beiden sind die Rechte erwartungsggemäß... In das Test2 hab ich dann per

  GPP Files noch die cmd.exe aus System32 kopiert (auch hier mit "Im

  Sicherheitskontext des angemeldeten Benutzers"):

   

  test2\cmd.exe NT AUTHORITY\SYSTEM:(I)(F)

                BUILTIN\Administratoren:(I)(F)

                CORP\admin:(I)(F)

   

  Successfully processed 1 files; Failed processing 0 files

   

  Ich weiß nicht, WAS genau Du anders gemacht hast, aber irgendwas muß es

  wohl sein ;-)

   > 2. löschen und neu anlegen würde das Rechte Problem nicht beheben

  > sondern einfach nur neu generieren.

  >

   

  S.o...

   

   

  ---

  NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
  Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating!

  Montag, 23. Juli 2012 10:48

  Antworten

  |

  Zitieren

  Beantworter
• 

  

  0

  Anmelden

  Am 23.07.2012 11:56, schrieb HorNet505:

  > habe mir den Artikel durchgelesen. Bei mir handelt es sich weder um

  > REDIRECTION noch um einen SHARE Ordner.

   

  ups, direkt in %appdata%, also im Profil des USers, dann sollte es

  hiermit immer gehen.

  -> Tab Gemeinsam -> Im Kontext des Benutzers ausführen

   

  Sonst wird die Kopie vom SYSTEM vorgenommen.

   

  Tschö

  Mark

  --

  Mark Heitbrink - MVP Windows Server - Group Policy

   

  Homepage:       www.gruppenrichtlinien.de - deutsch

  GPO Tool:       www.reg2xml.com - Registry Export File Converter

  NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

   

  Montag, 23. Juli 2012 11:03

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  update zu 2)

  schade - leider kann ich die %appdata% variable nicht im COMPUTER Kontext anwenden. Logisch.

  Montag, 23. Juli 2012 11:35

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  danke Mark, das habe ich schon im 2ten Satz geschrieben dass ich das auch so angewendet habe ;-)

  Montag, 23. Juli 2012 11:36

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Hi,

   

  Wo liegt denn Appdata bei dir?

   

  -> C:\Users\%userprofile%\Appdata\Roaming

   

  Ändert es was, wenn die Datei nicht nach %appdata% kopiert wird, sondern

  nach %userprofile%\Appdata\Roaming

  oder entsprechend in den ORdner auf deinem System und nicht die

  Variable. Evtl. löst die DLL das mit den übergeordneten PFade nicht

  richtig auf.

   

  Tschö

  Mark

  --

  Mark Heitbrink - MVP Windows Server - Group Policy

   

  Homepage:       www.gruppenrichtlinien.de - deutsch

  GPO Tool:       www.reg2xml.com - Registry Export File Converter

  NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

   

  Montag, 23. Juli 2012 11:56

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

   

  > -> C:\Users\%userprofile%\Appdata\Roaming

  > Ändert es was, wenn die Datei nicht nach %appdata% kopiert wird, sondern

  > nach %userprofile%\Appdata\Roaming

   

  Da muß im Vorfeld irgendwas schiefgegangen sein (oder noch schiefgehen)

  - ein Repro hat hier sofort und erwartungsgemäß funktioniert.

   

  mfg Martin

   

  ---

  NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
  Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating!

  Montag, 23. Juli 2012 12:18

  Antworten

  |

  Zitieren

  Beantworter
• 

  

  0

  Anmelden

  danke für den Tip Mark. Ich check das mal mit %userprofile%

  Samstag, 22. September 2012 17:38

  Antworten

  |

  Zitieren