[Xcacls] Owner worden van roaming profile dir

Je moet takeown.exe erbij gebruiken. Xcacls is niet genoeg.

Kijk anders ook even hier. Ik heb een script gemaakt met VBS die al je mappen naloopt en controleert of de mapnaam nog correspondeert met een gebruiker in de AD en het daarna mogelijk verwijderd.

Ik heb ook nog ergens een nieuwe versie liggen van dat script, waarmee je kan kiezen tussen een logging versie of een versie die de mappen direct verwijderd. Moet je maar even een gil geven als je die wil hebben.

Oja meer info over takeown.exe: http://technet2.microsoft...547186a1033.mspx?mfr=true
Download: http://www.dynawell.com/reskit/microsoft/win2000/takeown.zip

[ Voor 16% gewijzigd door WaSteiL op 09-08-2007 16:12 ]

Dit artikel is ook wel leuk om te lezen:
http://www.microsoft.com/...ecurityWatch/default.aspx

Kijk ook eens naar de policy setting "Add the Administrators security group to the roaming user profile share" zodat je als admin gewoon die profiles kunt lezen.

Group Policy Recommendations for Roaming User Profiles

alt-92 schreef op donderdag 09 augustus 2007 @ 17:21:
Dit artikel is ook wel leuk om te lezen:
http://www.microsoft.com/...ecurityWatch/default.aspx

Tof artikel!

downtime schreef op donderdag 09 augustus 2007 @ 22:36:
Kijk ook eens naar de policy setting "Add the Administrators security group to the roaming user profile share" zodat je als admin gewoon die profiles kunt lezen.

Group Policy Recommendations for Roaming User Profiles

Helaas werkt die alleen voor nieuw aan te maken profielen. Voor bestaande moet je dan nog steeds een oplossing hebben. Ik ben dan overigens van mening dat je geen toegang hoeft te hebben tot een profiel van een gebruiker.

Verwijderd schreef op vrijdag 10 augustus 2007 @ 15:20:
Ik probeer takeown.exe, maar daarbij pakt hij alleen de hoofd dir en niet de sub dirs. ondanks de /r

M:\Mijn documenten\script\DL's\takeown>Takeown.exe /f \\Fileserver\Roamshare\Testuser /a /r Unable to assign Administrator as owner Log on as Administrator and try again

Dus Domain Admins is wel eigenaar van de map "\\Fileserver\Roamshare\Testuser" maar niet van de daar onder liggende mappen als "Application Data" en dergelijke.

Een oplossing zou zijn om het als domain admin zelf te laten draaien, maar daar ben ik niet zo een grote voorstander van.

Je zal het toch door een lid van de Administrator groep moeten doen zover ik weet. Je kunt natuurlijk ook een Service Account aanmaken met de juiste rechten en je Task schedulen met dit account gekoppeld.

Overigens als je veilig wilt testen kan je m.b.v. robocopy je profiles map gewoon kopieren naar een andere locatie. Dan kan je het draaien zonder dat je je productieomgeving op wat voor een manier dan ook schaadt. Natuurlijk niet vergeten om in je script de locaties aan te passen.

Verwijderd schreef op donderdag 16 augustus 2007 @ 09:54:
[...]

Ik ben lid van domain admins. Dat zou toch voldoende moeten zijn...


[...]

In het script dat ik heb gemaakt gebruik ik ook robocopy. Deze werkt op alle mappen behalve degene waar geen zichtbare rechten op staan.
Robocopy \\Fileserver\Roamshare\Testuser \\Archiveserver\Roamshare\Testuser f /e /r:1 /w:1 /move

Moet je even /b gebruiken.. Werkt hij in backup mode en dan lukt het als het goed is wel.

Hallo,

Ik ben ook op zoek naar iets dergelijks.
Ik heb een 2003 netwerk waar studenten op aanloggen.
Studenten hebben een mandatory profile.
Als ik via GPO "Hide and disable all items on the desktop" enable en zo toegang tot de desktop wil vergrendelen, wordt de wallpaper die ik voorzien heb niet geladen. Er moet een icoon op de desktop staan anders wordt de wallpaper niet geplaatst. Ik heb al vanalles geprobeerd en op google zitten zoeken maar vind hier geen oplossing voor.
Ik heb de GPO nu zo ingesteld dat er 2 iconen op de desktop staan ( my computer en my documents ).

Studenten kunnen folders, files saven op de desktop, maar als ze afloggen worden deze wijzigingen niet opgeslaan. Om verwarring te vermijden ( student die tijdens een examen alles op de desktop opslaat en aflogt => paniek, alles verloren ) zou ik de toegang tot de dektop willen vergrendelen.
Als een mandatory user aanlogt dan wordt het profiel van de user van de server gekopieerd naar het werkstation (c:\ documents and settings\%username% ) en heeft de user op deze map full control.
Als ik nu de permissions van de folder "desktop" kan veranderen naar enkel "read" dan denk ik wel dat ik de desktop kan vergrendelen.

Ik heb nu een logon script, test.vbs dat wordt geladen als de user aanlogt:

xcacls.vbs C:\Documents and Settings\k.aerts\Desktop\ /g ipo.be\k.aerts:r /f /t /e

maar als ik met die user op het werkstation aanlogt krijg ik volgende error:

Windows Script Host

Script: \\ipo.be\IPO\scripts\test.vbs
Line: 1
Char: 14
Error: Excpected statement
Code: 800A0400
Source: Microsoft VBScript compilation error

iemand enig idee?

alvast bedankt!!!

Om te kunnen zien waarop hij foutloopt moet je natuurlijk wel even complete code posten.
Waarom zet je die rechten overigens niet dicht m.b.v. GPO:

Computer Configuration - Windows Settings - Security Settings - Filesystem