Win2003 domain: profilok, folder redirection

 ( _Petya_ | 2007. január 18., csütörtök - 13:00 )

Üdv!

Egy Win2003 domain controller-t telepítettem, nagyon nem vagyok otthon windows szerver ügyekben, a segítségeteket kérném:

- csináltam folder redirection-t, szépen megy, a userek látják is a Dokumentumok alatt a megosztásukat. A baj csak az, hogy Administrator userként a szerveren be sem tudok lépni user könyvtárába, pedig fontos lenne, mentésből kell ugyanis visszaállítani a home könyvtárak tartalmát, meg később is bármi gond van, el kell tudn érni őket. Az AD-ben beállítottam ugyan, hogy az újonnan létrehozott user könyvtárak tulajdonosa az Administrators group legyen, de ez sem segít, változatlanul nem tudok user könyvtárába belépni.

- ha kész lesz a szerver, akkor hogyan tudom visszaállítani a home-ok tartalmát, milyen jogai legyenek a file-oknak a home-on belül? (ugye a user home könyvtárát a rendszer maga hozza létre első belépéskor, a megfelelő jogokkal, iletve sajnos nem a megfelelőkkel, lásd fent)

- ezt a folder redirection-t azért csináltam, hogy ne kelljen a roaming profile-al szenvedni, de még mindig létrehozza a kliensen a Documents and Settings-ben minden usernek a profil könyvtárát, bár a redirect-elt könyvtárak már (helyesen) nincsenek benne. Hogyan tudnám megoldani, hogy ne szemeteljen a kliensre, és minden profil beállítást a szerveren tároljon? (akár lehet roaming profile is, mert nem kell sok adatot mozgatni)

- hogyan tudnám megcsinálni, hogy a guest és administrator user kivételével mindenki csak egy gépre tudjon egyszerre bejelentkezni?

Köszönöm a segítségeteket előre is!

Petya

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Szia,

Ha administratorkent nem fersz hozza valamely konyvtarhoz, nezd meg a Security tulajdonsagait az illeto konyvtarnak. Ott tudod beallitani hogy kinek milyen joga legyen, illetve tudod orokiteni az alkonyvtarakra.

Ahoz hogy mukodjon a felhasznalonak irasi joga kell legyen a sajat konyvtarara, tehat erre kel vigyazni amikor visszamasolsz egy konyvtarat.

A kliens gepen mindenkepp letrehozza a felhasznalo konyvtarat amikor az belep.

Az AD-ben a felhasznalo tulajdonsagainal az Account fulnel tudod megadni hogy melyik gepeken lephet be (Log On To kapcsolo).

Szivesen.

A home könyvárhoz hozzáférek, csak a home\geza, home \jozsi stb könyvtárakhoz nem, mert ott nincs tulajdonos megadva. Ez hogy lehet?

Oké, örökítem. De úgy se javlt meg. És mi van ha új alkönyvtárat hozok létre? Arra is érvényes lesz az örökítés?

Azt hiszem félreértettél. Nem azt szeretném hogy egy adott user csak egy adott gépre léphessen be. Bármelyik user beléphet bármelyik gépre, de egyidejűleg csak egyre.

Petya

A felhasznalok konyvtaraival a legegyszerubb talan az lenne ha atvenned a tulajdonjogot, beallitod a tulajdonsagokat (iras, olvasas) es utanna visszaadod a tulajdonjogot a felhasznalonak.

Igen en ugy ertettem hogy azt akarod hogy egy felhasznalo csak egy gepen lephessen be. Nem tudom hogy meg lehet tiltani egyszere tobb gepre valo belepest.

A felhasznalok konyvtaraival a legegyszerubb talan az lenne ha atvenned a tulajdonjogot, beallitod a tulajdonsagokat (iras, olvasas) es utanna visszaadod a tulajdonjogot a felhasznalonak.

Meg nem vettem fel felhasznalokat, csak egy teszt usert, de az torolheto. Lehetne ezt ugy is csinalni, hogy ne kelljen a 200 usert egyenkent vegigkattintgatni? Olyasmit szeretnek, hogy beallitom a \home konytar jogait, hogy Administrators group-nak full control, a Creator Owner-nek is full control, es utana minden ebben a konyvtarban letrehozott alkonyvtar orokolne ezt. Megoldhato?

Miert van az hogy egy adott konyvtarnak nincs tulajdonosa? Hogyan lehetseges ez?

Petya

Termeszetesen, erre van kitalalva az oroklodes. Biztos van a konyvtarnak tulajdonosa, csak legfeljebb valamiert nem tudja megmondani hogy ki az.

Beállítottam a jogokat. A home könyvtár Securtiy tab-ján a CREATOR OWNER bejegyzésnél minden checkbox üres, hiába jelölöm be őket, ha Apply-t nyomok eltűnik, újra mind üres lesz. Az Advanced gombra kattintva jó, ott a listában a helyes jogok szerepelnek. (ja, és előtte kikapcsoltam, hogy a home könyvtár a root-től örököljön.)

Ez bug vagy feature? :)

Petya

Nekem meg ilyesmit nem sikerult tapasztalni. Valami nincs jol nalad. Ha most letrehozol egy felhasznalot mi tortenik?

Rögtön kipróbálom. Most elhasalt a szerver, ezzel az üzenettel:

The system process 'C:\WINDOWS\system32\lsass.exe' terminated
unexpectedly with status code -1073741819. The system will now shut
down and restart.

Ez mi?

Petya

Esteleg itt az MS fix :
http://support.microsoft.com/kb/838501
Szvsz neked ez fog kelleni.

Köszönöm, megcsináltam a registry módosítást.
Feltettem az SP1-et is, talán abban már befoltozták a biztonsági lyukakat.

Apropó, szükséges egy ilyen szerverre antivirus szoftver? (A gép csak a helyi hálózatot látja, internetre nem lát ki) Ha igen, mit ajánlotok?

Más: SNMP-n szeretném monitorozni ezt a gépet. Bekapcsoltam az SNMP service-t, de az nmap még mindig nem lát nyitott 161-es portot rajta. Mit csinálok rosszul?

Petya

Nos,
a jogokkal bárhogy próbálkozom, semmi változás.

Az ownerrel lesz a gond. Ugyanis ha meglévő könyvtárt saját tulajdonba veszek (mást nem is tudok vele csinálni...), akkor bele tudok lépni, olvasni belőle,írni bele, csakhogy innentől kezdve a user nem tudja felmappelni. Tehát saját tulajdonba vettem a home könyvtárat rekurzívan. Ha csinálok új felhasználót, akkor annak a könyvtárába megint csak nem tudok belépni, mert ismeretlen a tulajdonos, és így a jogkat nem tudom megnézni se (!), vagyis a tulajdonos nem öröklődik.

Mitől lehet ez? Én még ilyen el****ott rendszert nem láttam, hogy az adminnak nincs joga valamihez...

Petya

snmp beallitasoknal, aszem meg kell adnod honnan akar elerni, alapertelmezesben asszem csak a localhost van engedelyezve. Most nincs in egy win server hogy megnezzem :) s nem mostanaban csinaltam.

Nos.

Ugye normális ember úgy fog neki az ilyesminek, hogy 4 dolgot csekkol:

- A home mappa meg van-e osztva
- A mindenki csoportnak nincsen semmilyen joga rajta (Share, Secu)
- A Domain Admins csoportnak Full Access joga van
- A Domain Users csoportnak Full Access joga van.

Természetesen ugyanez érvényes a profil mappákra is, ha vannak

Ezután jönnek az userek

ADUC > Konténer > jobbklikk > új user

A Profile-nál a profile mappa helyét úgy adom meg, hogy : \\serverem\profiles\%USERNAME%
A HOME mappa esetében katt arra a sorra, ahol egy szürke combo van, és a betű kiválasztása után a profilmappához hasonlókat mondunk: \\serverem\profiles\%USERNAME%

Kész

Ezek után, ha jók a share és a secu jogok a mappákon, akkor a két mappa közül az egyik default létrejön (home) a másik meg akkor jön létre, ha az user először belóg (profile, értelemszerű)

Ezen metódus szerint a létrejövő mappák tulaja az adott user lesz, és szerintem az admin bele tud pillantani a mappába, hiszen a secu fülön full access-t adtunk a home-okhoz, ez pediglen öröklődik.

Nos, kipróbáltam: így a user home könyvtárak nem is jönnek létre. Töröltem minden beállítást a könyvtárra, újrakezdtem.
Most a share-nél mindenkinek full elérése van rá, a \home könyvtár tulajdonosa Administrator, és az Administrators és a Users csoportnak full joga van rá. Ebben jön létre a user_neve könyvtár, ebben látszik az Admins és Users csoportokra az örölölt Full Access, de a user_neve usernek külön bejegyzés van, neki semmi joga nincs a könyvtárra. Az ezen belül található könyvtárakra (My Documents, Desktop stb.) ismeretlen az owner... Ha a home könyvtárat rekurzívan tulajdonba veszem (replace ownership on all subfolders), akkor ugye Administrator lesz az owner a \home\user_neve\My Docoments-en például, és itt csak az Administratornak lesz full elérése, senki másnak semmi. Így persze a user nem tudja elérni...

Mi lehet a baj?

Petya

Tessen már az Users-t elfelejteni. Ha van AD, van Domain Users.

Amúgy le fogom demózni. Mindenképp le kell... majd beszámolok.

Üdv!

Sikerült megoldanom. Azért leírom, hétha valakinek szüksége lesz rá:

Szóval: User Policy > User Configuration > Folder Redirection > %folder% > Properties > Settings > Grant the user exlusive rights to %folder%

Ez felülbírálja az öröklődést, ezért nem tudtam belépni. Ezt kikapcsolva már rendesen figyelembe veszi az örökölt jogokat.

Amúgy véletlenül találtam meg, persze egy szó nincs erről a beállításról semmilyen manualban.

Petya

Enged meg hogy feltegyek egy kerdest: az administrator felhasznalo amivel probalkozol az a lokalis vagy pedig a tartomany beli?

Taromány beli Admin-nal próbálkozom, bejelentkezéskor legalábbis a dropdown menüben a taromány nevét választottam ki. A hrgy84 által javasolt eljárást kipróbálom máris.

Vírus/spyware/stb. védelemre mit tudtok ajánlani? (ez is új nekem, hogy szervernél ilyenre egyáltalán gondolni kell :( )

Petya

Akkor a jogokkal valamit nagyon elszurtal :)

A felhasználói profilokhoz a Group Policyn keresztül tudsz az adminnak jogosultságokat adni. GPMC: Computer Configuration, Admin Templates, System/User Profiles, "A Rendszergazdák biztonsági csoport hozzáadása a központi felhasználói profilokhoz". A beállítás alkalmazása után minden létrehozott új profil ACL-jébe bekerül az Admins csoport Full Controll jogokkal.