[2003] Access denied op Profile folder voor admins*

Volgens mij is dat een bepaalde group policy of iets degelijks, ik zal even kijken.

Het is de volgende policy: Computer Configuration, Administrative Templates, Systems, User Profiles: add Administrators Security Group to roaming user profiles

Nu meot het werken

[ Voor 52% gewijzigd door KoRnboy112 op 12-02-2010 13:46 ]

Probeer jij met een domain admin in die folder te komen?
Hoe staan de rechten voor de user op die folder? want die zie ik niet terug komen, wel domain users, hebben die lees/schrijfrechten?

Jij moet dan met je admin account ownership overnemen rechten goed zetten en ownership weer terugggeven.

Nee dat hoeft ook niet...Sloeg op iets anders, vergeet dat maar...
Maar probeerde je nu met jouw admin account die userfolder te openen?

ictleerling schreef op vrijdag 12 februari 2010 @ 13:36:

Ik heb een profile folder aangemaakt waar de gebruiker in komt te staan (app data, favorieten, bureaublad, etc).

En als ik op de server in die folder probeer te komen komt er te staan 'acces denied!'.
[...]

Ik hoop dat iemand de oplossing heeft om in de folder te komen

Een userprofile hoef je in principe niet aan te komen als admin, en zeker niet als daar zijn persoonlijke (favorieten, buroblad) data in staat.
dat is niet kut maar eigenlijk zoals het hoort

maar goed. Subinacl, takeown et al zijn je vriendjes in deze, maar ik kan je alleen maar aanraden om toch iets meer rond te zoeken want qua profile rechten is er best wel het één en ander te vinden hier.

ictleerling schreef op zaterdag 13 februari 2010 @ 18:02:
[...]


ja wat nou prive, in de homefolder kom ik wel ?

Maar eigenlijk wou ik alleen in die folders komen om een virusscanner te laten scanne.

het antwoord is al gegeven, maar je leest er overheen? via gpo instellen, alleen ben je nu eigenlijk te laat, dat had je moeten doen voordat de folders automatisch werden aangemaakt. Stel die gpo maar in en maak een nieuwe user aan. Dan zal je zien dat je daar gewoon bij kunt, op voorwaarde natuurlijk dat je een admin account.

ps. over die virusscanner is een beetje een vreemd verhaal, sinds wanneer laat je die onder een domain admin account draaien...

ictleerling schreef op zaterdag 13 februari 2010 @ 18:02:
[...]
ja wat nou prive, in de homefolder kom ik wel ?

Dat komt omdat je setup rammelt aan alle kanten. Userhomes hoor jij als beheerder slechts te kunnen benaderen als je daar toestemming van de directie en impliciet de gebruiker voor hebt (Acceptable Use Policy - de computergebruiksrichtlijnen van je bedrijf die ondertekend worden door je gebruiker).
Anders moet je daar lekker wegblijven - privacy redenen enzo.

Maar eigenlijk wou ik alleen in die folders komen om een virusscanner te laten scanne.

Dat laat je qua userhomes/profiles over aan de desktop (vanwege performance redenen), en in de meeste gevallen kan een server-AV dat ook onder het LOCALSYSTEM account prima doen.
Wederom is dat voor jou geen reden om userhomes & profiles te moeten kunnen benaderen.

ictleerling schreef op maandag 15 februari 2010 @ 15:30:
Het is maar virtueel om te oefenen.

maakt niet uit, leer het liever correct te doen, heb je later ook wat aan

Bij ons op school gaan de leraren ook gewoon in de homefolder.

Slechte gewoonte, leer die zo snel mogelijk af.
Zie mijn eerdere reactie waarom je daar voorzichtig mee moet zijn.

en hoezo met setup brak ? alles werkt prima hoor.

dat het draait geloof ik wel. Dat het een setup is die je zo bij een bedrijf neer mag zetten is een compleet ander verhaal.

tja je kan ook de microsoft rechten goed implementeren
Nergens zie je dus domain admins tussen staan . Verder is het zoals ALT-92 al zegt, profiles in kunnen zien etc doe je pas nadat er expliciet om gevraagd wordt door het management / directie en niet zomaar. Ook om te troubleshooten behoor je toestemming van de gebruiker te hebben om erin te mogen kijken of wijzigingen te doen. Wordt vaak vergeten en je kan er aardig nat op gaan.

TS-Profiles$ Share Permissions:
User Account Default Permissions Minimum permissions required
Everyone Full Control No Permissions (verwijderen dus, geen deny!)
Domain Users N/A Full Control,

TS-Profiles Directory Permissions:
User Account Minimum permissions required
Creator/Owner Full Control, Subfolders And Files Only
Administrators Full Control
Domain Users List Folder/Read Data, Create Folders/Append Data - This Folder Only
Everyone No Permissions (verwijderen dus, geen deny!!)
Local System Full Control, This Folder, Subfolders And Files

Verder zit er op het tabblad Sharing een Button Offline Settings. Wijzig de instelling naar “Files or programs from the share will not be available offline”.
Offline folders zijn niet toegestaan op TS-Profile$ en TS-Home$ shares.

TS-Home$ Share Permissions:
User Account Default Permissions Minimum permissions required
Everyone Full Control No Permissions (verwijderen dus, geen deny!)
Domain Users N/A Full Control,

TS-Home Directory Permissions:
User Account Minimum permissions required
Creator/Owner Full Control, Subfolders And Files Only
Administrators Full Control
Domain Users Traverse Folder/Execute File, List Folder/Read Data, Read Attributes, Create Folders/Append Data, Read Permissions - This Folder Only
Everyone No Permissions (verwijderen dus, geen deny!!)
Local System Full Control, This Folder, Subfolders And Files

Home$ Share Permissions:
User Account Default Permissions Minimum permissions required
Everyone Full Control No Permissions (verwijderen dus, geen deny!)
Domain Users N/A Full Control,

Home Directory Permissions:
User Account Minimum permissions required
Administrators Full Control
Domain Users Traverse Folder/Execute File, List Folder/Read Data, Read Attributes, Read Permissions - This Folder Only
Everyone No Permissions (verwijderen dus, geen deny!!)
Local System Full Control, This Folder, Subfolders And Files
CREATOR OWNER Full Control, Subfolders And Files Only