[W2K.SRV] User kan in alle homedirs!

dus je weet zeker dat:
- share rechten kloppen?
- NTFS rechten kloppen?
- er geen advanced user rights afwijkend zijn toegepast?
- de user niet via een groeplidmaatschap meer rechten heeft?

lijkt me sterk dat dit een bug is in off-line folders.

[ Voor 16% gewijzigd door paulhekje op 20-11-2003 12:42 ]

en wat gebeur er als je hetzelfde doet op een vast werkstation ?

Kan me haast niet voorstellen dat alle rechten goed staan; dit zou nl een behoorlijke bug zijn. Vermeld dus de rechten van de gebruikers die alles kunnen en beperkt

[edit] nav opmerking paulhekje; weet je inderdaad zeker dat deze gebruiker stiekum geen lid is van een admin groep ??

[ Voor 21% gewijzigd door Verwijderd op 20-11-2003 12:45 ]

* Koffie was altijd in de veronderstelling dat syncen onder de user z'n gebeurde
Zal het in de loop van de dag hier ook eens uittesten (NT4).

is die share "users$" standaard of door de admin gemaakt?
en welke rechten heeft ie daarop gegeven (toch wel iedereen deny behalve adminstrators)?
een gebruiker maakt toch verbinding met \\servernaam\gebruikersnaam$ ?

[ Voor 24% gewijzigd door PipoDeClown op 24-11-2003 09:37 ]

Met name laptop gebruikers hebben graag hun home dir lokaal staan.

Bij mij op het werk is inderdaad de map "users" niet gedeeld maar alleen de mappen van de gebruikers zelf. Dus op de schijf waar alle home dirs staan (bijv. D) ziet dit er als volgt uit:

d:\data\users\pietje

Alleen de map pietje is dan gedeeld en wel als pietje$ zodat hij niet standaard zichtbaar is. Bovendieen heeft natuurlijk alleen de bewuste gebruiker en de groep domain admins rechten om in de map pietje te komen. Zowel op NTFS niveau als op share niveau. En dan werjt het prima met offline synchroniseren.

[edit]
Tja, te traag getyped...
Drag0nsden, voor tijdelijke gebruikers kun je juist perfect tijdelijke accounts aanmaken. Bijvoorbeeld: temp01 tot en met temp10 incl. zulke shares. Zo werkt het bijvoorbeeld ook bij mij op de uni waar ik nog studeer. En de home dit die hier bij hoort bevat dan inderdaad vaak nog bestanden van andere tijdelijke gebruikers maar dit is mij duidelijk van te voren verteld: zo'n tijdelijke dir is geen privé plek aangezien het tijdelijk is.
En het is misschien veel werk om nu nog 200 shares aan te maken maar dat is natuurlijk eigenlijk wel zoals het hoort. En daarna heb je ook geen problemen meer.
[\edit]

[ Voor 37% gewijzigd door Jofel op 24-11-2003 10:07 ]

Enkele verzoeken:

- Graag te discussieren over de problemen van TS, andere oplossingen om bijvoorbeeld je complete serverpark te herinirichten hebben weinig nut hier
- Graag alles in 1 post posten, en niet voor elke reply op de knop "Post Reply" rammen

Drag0nsden schreef op 24 november 2003 @ 09:58:
En nee, ik ga niet meer dan 200 aparte shares voor mijn users maken, en zeker niet met het aantal mutaties wat wij per week hebben. Er werken hier veel uitzendkrachten/gedetacheerde krachten, dus het aantal mutaties is hoog.

Daar heb je ander hele mooie command-line tools voor die dat voor je kunnen doen.. En ik snap dat je ook de data van notebook-gebruikers wilt backuppen, maar als je daar deze security-problemen van krijgt dan zou ik zeggen, jammer!!

Sierra-NL schreef op 24 november 2003 @ 10:20:
Daar heb je ander hele mooie command-line tools voor die dat voor je kunnen doen.. En ik snap dat je ook de data van notebook-gebruikers wilt backuppen, maar als je daar deze security-problemen van krijgt dan zou ik zeggen, jammer!!

Dat is een leuke instelling. Menig bedrijf geeft tegenwoordig al z'n medewerkers een laptop. Met die instelling kun je wel ophouden met het maken van backups want in de praktijk zet dan iedereen toch z'n data lokaal op de laptop. Het offline folders gebeuren is juist een mooie oplossing om de data van mobiele gebruikers toch op de server te kunnen zetten.

Drag0nsden schreef op 20 november 2003 @ 14:41:

[i]Ingelogd als admin en offline files aangezet. [i](heeft de standaard gebruiker geen rechten genoeg voor)

Wordt er een service gestart/geïnstalleerd die met admin rechten blijft draaien?

en als je de encriptie aanzet.

Ik heb de situatie ff nagemaakt op me werk, en hier werkt het niet. Krijg gewoon access denied...

lijkt mij inderdaad ook meer een brakke security dan een windows 2000 bug anders hadden we allang een serie bugfixes gehad.

Wat staat er bij de NTFS rechten op het moment dat ze offline beschikbaar zijn? Ik heb het vermoeden dat er rechten overheen worden gezet door inheritance.

Is het niet zo dat de share \\server\users$ admin rechten vereist om verbinding te maken, dus dan is het toch aannemelijk dat de files ook offline beschikbaar gemaakt kunnen worden.

Als NTFS rechten goed gezet zijn dus wat luckyme_ ook al aangeeft op de ROOT folder ook goed staan, kun je anderen hun folders niet syncen omdat je dan Error 5 krijgt namelijk Acces is Denied.

Bestaat er in Windows niet iets wat in Novell Inheritant Rights heet? Hiermee zie je precies waar iedereen de rechten op een bepaalde map vandaag krijgt.

Ik heb zo het idee dat dit al gedaan is, maar toch nog maar even een vermelding dmv een plaatje:

Je kan de gebruikers, die onder een group policy zitten en daarbij de behorende rechten krijgen toch deze dingen instellen:
Klik voor plaatje

Je kan in de active directory de usermappings aanmaken als volgt: \\servernaam\sharenaam\%username% Wat er dan gebeurt is, dat de userdir gemapped word in de share, en niet de share zelf, dat is het voordeel van windows 2000/2003 Server en windows 2000/XP. Als je dan als user een mapping krijgt naar je userdir, dan zit je dus meteen in je eigen dir, en niet in de root van de share, zoals vele hier in dit topic nog in hun hoofd hebben, dat was onder NT 4, en is dus niet meer noodzakelijk om dat onder windows 2000/2003 te doen. Het maken van 100Plus shares al dan niet hidden is dus niet meer nodig. Als je als mobiele gebruiker vervolgens je userdir offline beschikbaar wilt maken, dan kan dat dus op de driveletter, want dat is gewoon je eigen directory. Beter is nog om users hun eigen profile dir te geven, als men gebruikt maakt van roaming profiles, en voor hun documenten folder redirection aanzetten naar een separate share en die dan offline beschikbaar maken, dan krijg je tenminste niet al je profiel geneuzel offline beschikbaar.
Als je niet gebruik maakt van roaming profiles, dan hou je het alleen bij folder redirection vanuit een grouppolicy, en die laat je ook verwijzen naar \\servernaam\sharenaam\%username%\My documents. En ja, dat is mogelijk!
Vervolgens kan je met een policy e.e.a. in of uitschakelijk voor vaste gebruikers met betrekking tot offline folders, en voor de mobile gebruikers.

Success

Toch denk ik dat de TS ergens een kritieke denkfout maakt.

Stel je hebt alle userdir's staan op de D: schijf van de server:
- D:\Users --> Niet gedeeld
- D:\Users\Pietje --> Gedeeld als Pietje$ Admins FullControll Pietje Change rechten
- D:\Users\KLaas --> Gedeeld als Klaas$ Admins FullControll Klaas Change rechten

Zoals ik het nu begrijp heb jij D:\Users gedeeld als Users$.

Als je snel de homedrives wilt delen dan kan je dit proberen
Batchfile (draaien op de server)


Is ff uit het losse handje, maar het kan heel makkelijk.

Heb je system account toevallig rechten gegeven ? (alhoewel het dan nog onmogelijk zou moeten zijn, maar je weet maar nooit)

[ Voor 44% gewijzigd door Taigu op 28-05-2004 15:30 ]

geef eens alleen list rechten op de users$ share, meer is toch niet nodig...

Heb je toevallig geen lokale gebruikers op (bijvoorbeeld) je laptop.. zoals de admin.
Die dus wel weer rechten heeft om op die folders te komen.

Anders toch es contact opnemen met Microsoft want dan denk ik toch dat dit een bugg is in 2k serv.

ik twijfel er ERG sterk aan dat het hier gaat om een bug, Het lijkt me dat ze dat wel eerst even testen bij MS, bovendien is 2K al enkele jaren oud, dus dat het nog nooit gevonden zou zijn???

zo heb ik het:

een share: home :permissie: read/execute "fileserver-users", en bij advanced options van die permisie staat apply to this folder only. Daaronder hebben users read /write op hun eigen dir. Werken met hidden shares vind ik een beetje zinloos, dat doe ik dus ook niet.

Ik snap wel niet waarom je users niet zelf hun offline laat instellen? je zegt dat ze er geen recht toe hebben, maar dat recht moet je dan toch echt via GPO afgenomen hebben, standaard kan dit nl wel.

met het cli tooltje "cacls" kan je op de commandline permissie's gaan opvragen mocht je dit nodig hebben

Heeft het werkstation mischien nog een soort admin link openstaan waar hij het passwoord van onthoud. probeer eens net /d \\servernaam en voor de shares. Wijzig je wachtwoord (en die van de admin) en locale admin, en locale users

[ Voor 20% gewijzigd door reddog33hummer op 02-06-2004 20:47 ]

Even een opmerking, zijn de laptops ingericht met FAT32 of NTFS?

FAT32 heeft namelijk de eigenschap dat je geen rechten op gebruikersniveau kan gebruiken. NTFS kan je per bestand op de HDD rechten zetten.

Gillie schreef op 02 juni 2004 @ 21:47:
Even een opmerking, zijn de laptops ingericht met FAT32 of NTFS?

FAT32 heeft namelijk de eigenschap dat je geen rechten op gebruikersniveau kan gebruiken. NTFS kan je per bestand op de HDD rechten zetten.

Het zou voor de server ruk moeten zijn of de client fat32 of ntfs gebruikt. We praten hier over het leveren van rechten door de server

Drag0nsden schreef op 26 november 2003 @ 17:05:
Nee, encryptie helpt ook niet.

Bovendien, al zou het helpen, dan kan een gebruiker die local Admin rights heeft (zoals bijv. externe medewerkers met een laptop van HUN baas) de encryptie zelf uitzetten. Bovendien vind ik, dat de beveiliging vanuit AD al goed moet zitten. Ik hou niet zo van work-arounds, en dergelijke. Dat zou inhouden dat ik mijn hele inrichting van rechten, en policys en dergelijke moet aanpassen, omdat de fabrikant haar product niet afdoende heeft beveiligd.

Dat is hetzelfde als je auto waarvan de achteruitversnelling niet werkt. En dan maar gewoon een straat rondrijden, want dan heb je hem niet nodig...

En als je ALLE gebruikers eens als NORMALE gebruikers laat inloggen ipv lokale administrators?
Bij mij thuis merk ik ook dat een lokale administrator ook op administrator-shares kan komen van andere PC's...

_{Niet boos zijn als ik er totaal naast zit, ik heb ook niet superveel verstand van Windows servers.}

Heeft everyone rechten ?

Doe deze eens weh indien ja en voeg alleen de domain users toe. ( op de hoofdshare )

Het is toch vrij makkelijk te controleren of er idd iets loos is?

Je geeft op een home-map van een user op NTFS NIVEAU alleen de betreffende user rechten.
Pleur een document in die map.

Als je nu op een of andere manier dat document eruit krijgt zonder dat je je als die user aanmeld, ... dan is er wat aan de hand.

Niet nuttig

[ Voor 95% gewijzigd door Taigu op 03-06-2004 23:37 ]

reddog33hummer schreef op 03 juni 2004 @ 09:59:
[...]

Het zou voor de server ruk moeten zijn of de client fat32 of ntfs gebruikt. We praten hier over het leveren van rechten door de server

O ja? Weet je dat heel zeker? Offline files staan lokaal op de laptop, als deze is ingericht met FAT32, welke geen ondersteuning heeft voor rechten, zijn deze dus leesbaar voor iedereen.

Met NTFS worden de rechten, naar mijn mening meegekopieërd.

Gillie schreef op 04 juni 2004 @ 19:32:
[...]

Met NTFS worden de rechten, naar mijn mening meegekopieërd.

Fijn dat jij een mening hebt over NTFS rechten, laat ik met wat feiten komen : http://www.windowsitlibrary.com/Content/592/2.html#4

Gillie schreef op 04 juni 2004 @ 19:32:
[...]


O ja? Weet je dat heel zeker? Offline files staan lokaal op de laptop, als deze is ingericht met FAT32, welke geen ondersteuning heeft voor rechten, zijn deze dus leesbaar voor iedereen.

Met NTFS worden de rechten, naar mijn mening meegekopieërd.

Dat is het probleem niet, als het goed is geeft de server de juiste rechten af en kunnen de documenten niet eens gekopieerd worden naar de lokale laptop. En komen er dus nooit documenten op een hd terecht waarvoor de gebruiker geen rechten had/heeft.

lezen lezen lezen...

leon1 schreef op 05 juni 2004 @ 17:38:
[...]


Dat is het probleem niet, als het goed is geeft de server de juiste rechten af en kunnen de documenten niet eens gekopieerd worden naar de lokale laptop. En komen er dus nooit documenten op een hd terecht waarvoor de gebruiker geen rechten had/heeft.

lezen lezen lezen...

als je zelf ook leest...

gebruiker 1 logt in op een laptop met FAT en Offline beschikbaar...
gebruiker 1 logt uit. offline blijft beschikbaar
gebruiker 2 logt in op de laptop met FAT en Offline beschikbaar...

dan kan hij gewoon bij de map van gebruiker 1

Duinkonijn schreef op 05 juni 2004 @ 21:37:
[...]

als je zelf ook leest...

gebruiker 1 logt in op een laptop met FAT en Offline beschikbaar...
gebruiker 1 logt uit. offline blijft beschikbaar
gebruiker 2 logt in op de laptop met FAT en Offline beschikbaar...

dan kan hij gewoon bij de map van gebruiker 1

Als een gebruiker een access denied krijgt, even los van dit probleem en wat normaal gewoon zo zou moeten zijn hebben we nog steeds bovenstaand probleem niet want dan kan gebruiker 1 simpelweg de map van gebruiker 2 niet downloaden. Wordt de map echter wel gedownload, dan kan die gebruiker erbij ja...

buddhole schreef op 05 juni 2004 @ 16:42:
Fijn dat jij een mening hebt over NTFS rechten, laat ik met wat feiten komen : http://www.windowsitlibrary.com/Content/592/2.html#4

Geen open deuren intrappen alsjeblieft. Die tekst klopt als je gewoon bestanden kopieert of verplaatst tussen NTFS disks. Maar bij synchroniseren blijven rechten wel degelijk behouden.

leon1 schreef op 05 juni 2004 @ 17:38:
Dat is het probleem niet, als het goed is geeft de server de juiste rechten af en kunnen de documenten niet eens gekopieerd worden naar de lokale laptop. En komen er dus nooit documenten op een hd terecht waarvoor de gebruiker geen rechten had/heeft.

lezen lezen lezen...

Lees dit artikel (Knowledge Base Article - 271830) eens en kijk wat Microsoft er zelf over te zeggen heeft:

Security Permissions Are Not Maintained When Making Files Available Offline on a FAT or FAT32 Drive

Komt er dus op neer dat je wel bestanden offline beschikbaar kunt maken op de client met FAT32. Die offline bestanden zijn vervolgens niet meer beveiligd als er een andere gebruiker op die client inlogt. Enige beperking is dat later opnieuw synchroniseren niet meer mogelijk is.

volgens het documentje van ms, kan je zoals al meerdere mensen aangegeven hadden niet syncen als je geen rechten hebt. dus toch ergens iets niet goed met je rechten.

overigens everyone of domain users maakt niet echt veel uit... ik neem aan dat je guest account toch disabled is.

Verwijderd schreef op 07 juni 2004 @ 13:52:
overigens everyone of domain users maakt niet echt veel uit... ik neem aan dat je guest account toch disabled is.

[off topic]
Klopt, maar soms gedraagt Everyone zich vreemd: met Everyone print rechten krijgen gebruikers soms de melding Acces Denied bij het koppelen van de printer. Als ik Authenticated Users erbij zet niet.
[/off topic]

@TS: post eens een output van cacls

Drag0nsden schreef op 28 mei 2004 @ 10:47:
Tja, tijdje niet gewest, Vakantie, Ziekenhuis etc.


Zoal s Newpowerr het beschrijft is het bij ons ingericht (door mijn voorgangers)
En het werkt prima, alleen gebruiken wij geen roaming profiles.

Los van alle opmerkinegn en suggeties over of mijn security wel of niet goed staat, en hoe ik homedirs moet sharen:

Als ik nou een share heb, waar iedereen leesrechten heeft, ZONDER inhertance. En in die share (of map) staan weer mappen, waarin alleen de eigenaars rechten hebben. Verklaar dan eens hetvolgende:

Ik log in, en maak handmatig een mapping U: aan naar \\server\users$.
Ik ga in mijn verkenner naar drive U:.
Op elke map waar ik op klik krijg ik de melding "Access Denied", wat klopt, want ik heb er geen toegang.
Als ik dan die U: drive offline beschikbaar maak, gaat ie WEL alle mappen synchronizeren.....

Verkeerd gelezen, nvmd dus.

[ Voor 10% gewijzigd door dawg op 09-06-2004 10:30 ]