[3 Bewertung, Durchschnitt: 4,67]Berechtigungen auf vermurxten Home Directorys setzen für Dummies
inkl. Übersiedelung von Home Directories auf einen neuen Fileserver
Heute mal etwas sehr Triviales…
Damit ich mich aber hinkünftig nicht mehr mit so Kram herumschlagen muss, soll dieses Kapitel ab nun zur Volksbildung gehören 
Ursprungszustand:
Auf Mirakulix sind die Home Directorys der Active Directory User im Ordner “C:\Home” mit der Freigabe \\Mirakulix\home$ hinterlegt, es gibt entsprechende Einträge im AD bei allen Usern.
Durch mangelhafte Sorgsamkeit wurden nun fehlerhafte Berechtigungen nach unten Vererbt, wodurch auf manche Home Directorys Vollzugriff für JEDER und vielerlei ähnliche Sicherheitsprobleme auftreten.
Wunsch:
Die Home Directorys sollen auf den neuen Fileserver Obelix verschoben werden, dabei sollen auch die Berechtigungen repariert werden.
Vorgangsweise:
(alle nun kommenden Parameter beziehen sich auf die hier angenommene Ausgangslage…)
am Ordner C:\Home werden folgende Einstellungen vorgenommen:
- Administrator übernimmt den Besitz für alle untergeordneten Objekte
B. Vererbung auf den Ordner C:\Home wie folgt entfernen:
- Berechtigungen für den Ordner C:\Home setzen:
Domänen-Admins haben Vollzugriff, Domänen-Benutzer Leserechte
- Berechtigungen nach unten Vererben:
- So, das wär geschafft! Jetzt haben alle Domänenbenutzer die selben Rechte im Share, die Domänenadmins müssen sich nicht länger mit “Zugriff verweigert” herumschlagen
Das Problem, das wir jetzt haben:
Die User können auf alle Home Directorys zugreifen mit Leserechten, in ihr eigenes können sie nicht mehr schreiben!
Die Lösung:
Wir lassen das Script aus diesem Eintrag durchlaufen!
Dadurch wird ermittelt, ob es einen Benutzer gibt, der zum Namen des Home-Directories gehört. Wenn eine Übereinstimmung erfolgt, werden die vererbten Rechte wieder entfernt, und durch die richtigen ersetzt!
* Die RICHTIGEN bedeutet: Domänen-Administrator >> Vollzugriff ; jeweilige Benutzer >> Ändern
So, das wär geschafft, die Berechtigungen stimmen wieder!
Jetzt gehts ans Migrieren der Home Directorys auf den neuen Server.
Worauf es aufzupassen gilt:
1.) Wir müssen die Berechtigungen mit verschieben!
2.) Wir müssen die Einträge bei den Benutzern im Active Directory ändern.
AD 1) Verwendet Total-Commander mit dem Hakerl bei “Kopiere NTFS-Permissions”
AD 2) Mein Script aus diesem Beitrag erledigt den Rest — es sind lediglich die 3 Variablen am Beginn zu verändern!
Fazit:
Eigentlich keine große Sache, je nach Infrastrukturgröße kann es natürlich ein bisschen dauern, aber dafür ist dann ein für allemal Schluß mit den Meldungen von wegen “der xy hat meinen Ordner gelöscht” u. ä. bzw. das Zittern, dass die alte Hardware demnächst den letzten Gang antritt, ist dann auch vorbei