[2003] Hoe permissies instellen voor homedirs* - Serversoftware en clouddiensten

maandag 23 januari 2006 11:18

Acties:

Verwijderd

Topicstarter

Hoi,

Ik heb zojuist op een server pc Windows 2003 Server Standard edition geinstalleerd. Nu wil ik home directories voor gebruikers gaan instellen, alleen loop ik daar tegen wat problemen aan. Ik kan me van NT en 2000 herinneren dat je dat ongeveer als volgt deed:

Maak homedir tree aan:

- Home
| - Gebruiker1
| - Gebruiker2
| - etc...

Nu deel ik via sharing de map Home, en geef vervolgens alle domain users leesrechten. Nu klik ik rechts op de map Gebruiker1 en ga naar properties, en ga vervolgens naar het tabblad security. Nu maak ik daar de rule aan: [domainname]\Users -> deny en ik maak aan: [domainname]\Gebruiker1 -> full control. Nu komt Windows met de melding:

Alert: Deny entries take over allow entries. This means that if a user is a member if a user is member of two groups, ont that is allowed a permission and another that is denied the same permission, the user is denied that permission.

Doordat de gebruiker ook in de groep Users zit word hem dus geen toegang verleend. Ik heb echter geen idee hoe ik op een andere manier niemand behalve de eigenaar toegang kan verlenen.

maandag 23 januari 2006 11:24

Acties:

technopeuter

misschien door een gebruiker, impliciet geen rechten te geven?
Dus alle gebruikers alleen voor hun eigen mapje rechten geven. BTW w2003 kan dit automatisch zetten.

diskeltische lurker

maandag 23 januari 2006 12:30

Acties:

Marlibica

Tijd voor een ondertitel.

Maak share aan voor userprofiles
Selecteer alle users in Active directory manager
Vraag eigenschappen, tabje naar profiles
tik daar in \\<servernaam>\<userprofileshare>\%username%

Voila!

Sign here against sigs

maandag 23 januari 2006 13:07

Acties:

elevator

Officieel moto fan :)

Wat technopeuter inderdaad zegt - rechten moet je zien als een boodschappenlijstje. Als je een artikel niet op je boodschappenlijstje zet, krijg je het ook niet mee

maandag 23 januari 2006 13:21

Acties:

Verwijderd

Erm.. overzie ik hier iets ? Er word gepraat over profielen terwijl de vraag over home folders ging ?

Waarom gebruik je deny rechten ?????

Share een folder.. Geef de volgende rechten :

Share permissions : VoorbeeldUSER : Full Control
NTFS permissions : VoorbeeldUSERModify

Voor het gemak 2 screenies :

Afbeeldingslocatie: http://home.planet.nl/~roeth019/Voorbeeld1.jpg

Afbeeldingslocatie: http://home.planet.nl/~roeth019/Voorbeeld1.jpg

Afbeeldingslocatie: http://home.planet.nl/~roeth019/Voorbeeld2.jpg

Succes....

maandag 23 januari 2006 13:27

Acties:

Marlibica

Tijd voor een ondertitel.

Ik begon over profielen omdat op deze manier Windows de juiste dirs aanmaakt met de juiste rechten. Hoef je er niks voor te doen. In hetzelfde hokje kun je zelfs een driveletter koppelen aan bv de dir Mijn Documenten.

Sign here against sigs

maandag 23 januari 2006 13:32

Acties:

mutsje

Certified Prutser

2003 zet als default Creator Owner met special permissions erbij. Dit houd in dat de maker van bijvoorbeeld home$\pietje automatisch full control over zijn / haar homedir krijgt. Dit zou je kunnen inperken tot Change rechten zodat ze geen takeownership kunnen doen.

maandag 23 januari 2006 13:36

Acties:

Verwijderd

Jullie hebben helemaal gelijk.. Als we het over profielen hebben, maar dit is naar mijn inziens NIET toepasbaar voor de HOME folder.. Voor de homefolder moet er gewoon rechten gegeven worden en kan het niet via %username%..

Et Voila : http://support.microsoft....aspx?scid=kb;en-us;816313

[ Voor 15% gewijzigd door Verwijderd op 23-01-2006 13:37 ]

maandag 23 januari 2006 13:47

Acties:

mutsje

Certified Prutser

Verwijderd schreef op maandag 23 januari 2006 @ 13:36:
Jullie hebben helemaal gelijk.. Als we het over profielen hebben, maar dit is naar mijn inziens NIET toepasbaar voor de HOME folder.. Voor de homefolder moet er gewoon rechten gegeven worden en kan het niet via %username%..

Et Voila : http://support.microsoft....aspx?scid=kb;en-us;816313

Tuurlijk kan je ook bij een homedirectory gewoon in het profile zetten \\server\home$\%username% want %username% is een variabele die gewoon herkent wordt en omgezet wordt naar de username.
En dan wordt de userhome directory automatisch aangemaakt. In mijn omgeving gebeurd dat zelfs met een policy

en niet in het profile van de user zelf.

[ Voor 12% gewijzigd door mutsje op 23-01-2006 13:49 ]

maandag 23 januari 2006 13:50

Acties:

Verwijderd

mutsje schreef op maandag 23 januari 2006 @ 13:47:
[...]

Tuurlijk kan je ook bij een homedirectory gewoon in het profile zetten \\server\home$\%username% want %username% is een variabele die gewoon herkent wordt en omgezet wordt naar de username.

Dan moet bij een home folder wel de folder bestaan..

Dus als je doet : \\Server\Home\%username%

Dan moet de username folder wel bestaan in de share waarvoor die is aangemaakt. Windows maakt deze bij een home folder absoluut niet zelf aan... Dat het een variable is en deze word omgezet snap ik, maar dit is toch heel wat anders als bij een profiel path.. Waar WEL de folder word aangemaakt.

Edit : omg, ik word geloof ik.. Ik ga toch nog is kijken in de boeken en op de server

[ Voor 8% gewijzigd door Verwijderd op 23-01-2006 13:51 ]

maandag 23 januari 2006 13:53

Acties:

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

Authenticated users read + execute. Creator owner full control. Op die manier kan elke owner de permissies voor anderen zelf instellen. Dat was in ieder geval in 2000 de door MS aangedragen instelling .

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

maandag 23 januari 2006 13:54

Acties:

Marlibica

Tijd voor een ondertitel.

Ik maak die verwijzing naar de Homedir idd pas aan als de profielen er al staan. Heb eigenlijk nooit echt gechecked hoe de permissies dan staan. Is in mijn omgeving niet zo spannend.

* Marlibica gaat es ff kijken

Sign here against sigs

maandag 23 januari 2006 13:55

Acties:

rvnieuwh

Misschien is het handiger om de Folder Redirection optie te gaan gebruiken.
Ik ben toevallig bezig met een examen (70-294) waarin dit wordt behandelt.
Daarin melden ze ook dat het gebruik van Home-directories in 2003 wordt afgeraden en alleen voor bedrijven/omgevingen die migreren naar 2003, en dus al een ingerichte Home-dir omgeving hebben, handig is.

zie ook;
http://technet2.microsoft...482-c20a3fcca9711033.mspx
http://www.microsoft.com/...45-830a-cadfc003acd3.mspx

maandag 23 januari 2006 13:57

Acties:

Verwijderd

Dit zou je kunnen inperken tot Change rechten zodat ze geen takeownership kunnen doen.

Dit perk je niet in omdat er take ownership genomen kan worden... Dat ze de ownership over kunnen nemen van een folder die van hun is moeten ze zelf weten..

Je beperkt de rechten wel tot full control omdat ze anders hun rechten kunnen ontnemen op hun eigen folder.. En dan kan alleen een admin de rechten teruggeven !!

maandag 23 januari 2006 14:13

Acties:

mutsje

Certified Prutser

Verwijderd schreef op maandag 23 januari 2006 @ 13:57:
[...]

Dit perk je niet in omdat er take ownership genomen kan worden... Dat ze de ownership over kunnen nemen van een folder die van hun is moeten ze zelf weten..

Je beperkt de rechten wel tot full control omdat ze anders hun rechten kunnen ontnemen op hun eigen folder.. En dan kan alleen een admin de rechten teruggeven !!

Wat veel gevaarlijker is is dat ze de rechten ontnemen en het backup programma de data niet meer kan backuppen. Dat een user zichzelf uitsluit zal mij worst zijn hun probleem moeten ze maar niet klooien met zaken waar ze geen verstand van hebben.

En heb je inmiddels al gelezen dat ook een homedirectory automatisch aangemaakt wordt???

maandag 23 januari 2006 14:23

Acties:

Verwijderd

mutsje schreef op maandag 23 januari 2006 @ 14:13:
[...]

Wat veel gevaarlijker is is dat ze de rechten ontnemen en het backup programma de data niet meer kan backuppen. Dat een user zichzelf uitsluit zal mij worst zijn hun probleem moeten ze maar niet klooien met zaken waar ze geen verstand van hebben.

En heb je inmiddels al gelezen dat ook een homedirectory automatisch aangemaakt wordt???

hehe, mensen doen vreemde dingen

En heb het net geprobeerd op mijn eigen server en hij word bij een home folder echt niet aangemaakt.. Ik duik zo de boeken nog even in.. Gezien ik een middag vrij heb ben ik niet zo snel

maandag 23 januari 2006 14:39

Acties:

Marlibica

Tijd voor een ondertitel.

Heb het net op 2 verschillende w2k3 servers geprobeerd, wordt niet eens een profieldir aangemaakt. Zekers te weten dat dat in andere situaties wel gebeurt, geen idee wat ik hier nu fout doe. Ik haak verder af, moet nog andere dingen doen

Sign here against sigs

maandag 23 januari 2006 14:43

Acties:

mutsje

Certified Prutser

Marlibica schreef op maandag 23 januari 2006 @ 14:39:
Heb het net op 2 verschillende w2k3 servers geprobeerd, wordt niet eens een profieldir aangemaakt. Zekers te weten dat dat in andere situaties wel gebeurt, geen idee wat ik hier nu fout doe. Ik haak verder af, moet nog andere dingen doen

Standaard share aanmaken en standaard staat de group Creator Owner hierin. Mocht deze er niet in staan handmatig toevoegen en de homedirs of profiledirs worden automatisch aangemaakt.

maandag 23 januari 2006 15:31

Acties:

Verwijderd

mutsje schreef op maandag 23 januari 2006 @ 14:13:
[...]

Wat veel gevaarlijker is is dat ze de rechten ontnemen en het backup programma de data niet meer kan backuppen. Dat een user zichzelf uitsluit zal mij worst zijn hun probleem moeten ze maar niet klooien met zaken waar ze geen verstand van hebben.

tssk tssk, nog steeds niet getest dat backup operators files kunnen backuppen, waar ze geen rechten op hebben of zelfs expliciet een deny op hebben? (dit zou je doen volgens datacrash 1 jaar geleden

)

maandag 23 januari 2006 21:17

Acties:

Zwelgje

ook al heb je niks geen rechten op een map, dannog kan ntbackup die map backuppen

ntbackup kan overal bij, ook al staan er helemaal geen ntfs rights op die map

A wise man's life is based around fuck you

dinsdag 24 januari 2006 10:53

Acties:

elevator

Officieel moto fan :)

Tis niet zo zeer ntbackup - het is het 'backup'-privilege dat je een account kan geven waarmee je op een speciale manier de NTFS permissies kan bypassen, zie ook bv. onderaan dit artikel

dinsdag 24 januari 2006 12:24

Acties:

Verwijderd

Zwelgje schreef op maandag 23 januari 2006 @ 21:17:
ook al heb je niks geen rechten op een map, dannog kan ntbackup die map backuppen

ntbackup kan overal bij, ook al staan er helemaal geen ntfs rights op die map

Denk het niet..

dinsdag 24 januari 2006 18:40

Acties:

Zwelgje

Verwijderd schreef op dinsdag 24 januari 2006 @ 12:24:
[...]

Denk het niet..

weet wel zeker van wel

wedden

... 1 flesje wijn.. nee 2 flesjes... neeeehh

ele: dat bedoelde ik idd, ik noem alleen ntbackup even als voorbeeld

[ Voor 30% gewijzigd door Zwelgje op 24-01-2006 18:53 ]

A wise man's life is based around fuck you

dinsdag 24 januari 2006 19:04

Acties:

Verwijderd

Zwelgje schreef op dinsdag 24 januari 2006 @ 18:40:
[...]

weet wel zeker van wel

wedden ... 1 flesje wijn.. nee 2 flesjes... neeeehh

ele: dat bedoelde ik idd, ik noem alleen ntbackup even als voorbeeld

Als je een bestand hebt en je verwijderd alle rechten is deze niet door ntbackup te "backuppen". Zoals elevator al zegt moeten er wel "backup" rechten gegeven worden voor wie die een backup maakt !

Edit : Sorry ik drink niet

[ Voor 8% gewijzigd door Verwijderd op 24-01-2006 19:05 ]

dinsdag 24 januari 2006 19:07

Acties:

Zwelgje

Verwijderd schreef op dinsdag 24 januari 2006 @ 19:04:
[...]

Als je een bestand hebt en je verwijderd alle rechten is deze niet door ntbackup te "backuppen". Zoals elevator al zegt moeten er wel "backup" rechten gegeven worden voor wie die een backup maakt !

Edit : Sorry ik drink niet

haal de rechten maar eens weg en backup maar, je zult zien dat het werkt

maw: eerst testen en daarna pas zeggen dat het niet werkt.. want het werkt wel

en het recht om te backuppen is geen ntfs recht

[ Voor 8% gewijzigd door Zwelgje op 24-01-2006 19:07 ]

A wise man's life is based around fuck you

dinsdag 24 januari 2006 19:17

Acties:

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Verwijderd schreef op dinsdag 24 januari 2006 @ 19:04:
[...]
Als je een bestand hebt en je verwijderd alle rechten is deze niet door ntbackup te "backuppen". Zoals elevator al zegt moeten er wel "backup" rechten gegeven worden voor wie die een backup maakt !

Het recht om te mogen backuppen recht is echter geen NTFS-recht, maar een privelege (die middels een policy aan users te geven valt). Ik kan dus wel degelijk alle rechten van een file afhalen, dan nog kan een user met het backup-privelege deze backuppen (mits de juiste API gebruikt wordt).

SeBackupPrivilege
Allows the user to circumvent file and directory permissions to back up the system. The privilege is selected only when an application attempts access using the NTFS backup application programming interface (API). Otherwise, normal file and directory permissions apply.

Default setting: Administrators and Backup Operators.

Question_Mark mompelt iets met spuit 11

[ Voor 5% gewijzigd door Question Mark op 24-01-2006 19:19 ]

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

dinsdag 24 januari 2006 19:18

Acties:

Verwijderd

Zwelgje schreef op dinsdag 24 januari 2006 @ 19:07:
[...]

haal de rechten maar eens weg en backup maar, je zult zien dat het werkt

maw: eerst testen en daarna pas zeggen dat het niet werkt.. want het werkt wel

en het recht om te backuppen is geen ntfs recht

Backup Status
Operation: Backup
Active backup destination: File
Media name: "Backup.bkf created 1/24/2006 at 7:16 PM"

Volume shadow copy creation: Attempt 1.
Backup (via shadow copy) of "W: Zooi"
Backup set #1 on media #1
Backup description: "Set created 1/24/2006 at 7:16 PM"
Media name: "Backup.bkf created 1/24/2006 at 7:16 PM"

Backup Type: Normal

Backup started on 1/24/2006 at 7:17 PM.
Backup completed on 1/24/2006 at 7:17 PM.
Directories: 2
Files: 1
Bytes: 64,730
Time: 1 second

____________________________________

Ok, mischien lukt het.. Waar mag de champagne heen ?