festplatte.ch

Werden unter Windows Files verschoben, werden die Berechtigungen bekanntlich nicht neu gesetzt im neuen Ordner, sondern bleiben bestehen. Dies hat natürlich seine Vor- und Nachteile.

Will man dies umgehen, dass Files automatisch die neuen Berechtigunen des neuen Ordners übernehmen sollen, kann dies mit einer kleine Anpassung in der Registry erfolgen. Dies muss auf sämtlichen Clients eingetragen werden, bei welchen dies gewünscht wird.

1. Click Start, click Run, type regedit, and then press ENTER.
2. Locate and then click the following registry subkey:
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
3. On the Edit menu, click Add Value, and then add the following registry value:

   Value name: MoveSecurityAttributes
   Data type: DWORD
   Value data: 0

4. Exit Registry Editor.
5. Make sure that the user account that is used to move the object has the Change Permissions permission set. If the permission is not set, grant the Change Permissions permission to the user account.

Um den Key über GPO verteilen zu können, kann dies mittels einem ADM File durchgeführt werden.

CLASS MACHINE
	CATEGORY "RegKeySettings"
		POLICY "Moving Files"
			EXPLAIN "Get parent rights when moving files - Enable = get rights from partent folder"
			KEYNAME "SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer"
			PART "MoveSecurityAttributes" NUMERIC
				VALUENAME "MoveSecurityAttributes"
				MIN 0
				MAX 1
				DEFAULT 0
			END PART
		END POLICY

Link:
http://support.microsoft.com/kb/310316/en-us

Weshalb Freigabeberechtigungen und Sicherheitsberechtigungen?

Ersteres bewirkt, dass der Ordner im Netzwerk „sichtbar“ wird. Über die sehr laschen Berechtigungsmöglichkeiten (Vollzugriff, Ändern, Lesen) kann eingestellt werden, welche Benutzer/Gruppen aus welcher Maschine oder Domain über das Netzwerk darauf zugreifen können/dürfen.
Über letztere wird geregelt, welche Benutzer/Gruppen auf der lokalen Maschine in welcher Form zugreifen dürfen. In dieser Einstellung kann auf sämtliche effektiven Berechtigungsmöglichkeiten zurückgegriffen werden.

Aufgepasst:

Wenn ein Benutzer in der Sicherheitseinstellung nichts darf und in der Freigabeeinstellung alles, darf er übers Netz effektiv trotzdem nichts.

Hat ein Benutzer hingegen in der Freigabeberechtigung keine Rechte, dafür aber in der Sicherheitsberechtigung darf er zwar über das Netz nichts, aber lokal sehr wohl.

Und grundsätzlich gilt, dass eine Beschränkung von Rechten Vorrang vor einer Freigabe von Rechten hat.
Verbietet man einem Benutzer explizit etwas, ist es egal, ob es ihm an anderer Stelle wieder explizit erlaubt wird. Das Verbot gilt!

Bsp:
Mit einer Freigabe wird einen Ordner z.B “Dokumente” freigegeben. Nun will man aber, dass Mitarbeiter vom Versand im Unterordner Versand schreiben dürfen, der Student aber nur lesen. Im Unterordner public darf wieder jeder lesen und schreiben. Im Ordner “Dokumente\Intern” darf jeder lesen, aber nur der Admin was verändern.
Würde man nur mit Freigabeberechtigungen arbeiten, bräuchte es eine immense Anzahl an Shares.

ID Description
—————————————–
624 A user account was created.
627 A user password was changed.
628 A user password was set.
630 A user account was deleted.
631 A global group was created.
632 A member was added to a global group.
633 A member was removed from a global group.
634 A global group was deleted.
635 A new local group was created.
636 A member was added to a local group.
637 A member was removed from a local group.
638 A local group was deleted.
639 A local group account was changed.
641 A global group account was changed.
642 A user account was changed.
643 A domain policy was modified.
644 A user account was auto locked.
645 A computer account was created.
646 A computer account was changed.
647 A computer account was deleted.
648 A local security group with security disabled was created.
649 A local security group with security disabled was changed.
650 A member was added to a security-disabled local security group.
651 A member was removed from a security-disabled local security group.
652 A security-disabled local group was deleted.
653 A security-disabled global group was created.
654 A security-disabled global group was changed.
655 A member was added to a security-disabled global group.
656 A member was removed from a security-disabled global group.
657 A security-disabled global group was deleted.
658 A security-enabled universal group was created.
659 A security-enabled universal group was changed.
660 A member was added to a security-enabled universal group.
661 A member was removed from a security-enabled universal group.
662 A security-enabled universal group was deleted.
663 A security-disabled universal group was created.
664 A security-disabled universal group was changed.
665 A member was added to a security-disabled universal group.
666 A member was removed from a security-disabled universal group.
667 A security-disabled universal group was deleted.
668 A group type was changed.
684 Set the security descriptor of members of administrative groups.
685 Name of an account was changed.
—————————————-

http://technet.microsoft.com/en-us/library/cc737542.aspx

Verbundene Netzlaufwerke werden bei nichtgebrauch auf einem Windows 2003 Server nach 15 Minuten automatisch getrennt. Danach erfolgt eine erneute Authentifizierung, welche Zugriffverzögerungen verursachen kann.

Dies kann auf dem entsprechenden Server, auf welchem sich die Shares befinden, entsprechend eingestellt werden.

How to:

1. Klicke auf Start und auf Ausführen, dann regedit eingeben, danach auf OK. 

2. Folgenden Registrierungsschlüssel suchen:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
             _Services\lanmanserver\parameters

Die angegebene Dezimalzahl entsprechen Minuten.

Hinweis: Mit der nächsten Methode kann die Autotuning-Funktion für den Serverdienst deaktiviert werden.

Wenn das Standardzeitlimit für den automatischen Verbindungsabbruch für den Serverdienst geändert werden soll, öffne eine Eingabeaufforderung, und folgenden Befehl eingeben:

net config server /autodisconnect:Zahl

wobei Zahl die Anzahl der Minuten ist, die der Server warten soll, bevor er die Verbindung mit einem zugeordneten Netzlaufwerk trennt. Der Höchstwert für diesen Befehl ist 65.535.

Hinweis: Wenn der automatischen Verbindungsabbruch den Wert 0 (Null) hat, wird die Funktion nicht deaktiviert, sondern der Serverdienst trennt zugeordnete Netzlaufwerke bereits nach wenigen Sekunden im Leerlauf.

Wenn der automatische Verbindungsabbruch deaktivieren werden soll, öffne die Eingabeaufforderung und gib folgendes ein:

net config server /autodisconnect:-1

Link: KB297684

Es bestand das Problem, dass der lokale Terminallizenserver (ohne AD) auf einem Windows 2003 Server nicht gefunden werden konnte.

Damit dies funktioniert kann in der Registry folgender Key hinzugefügt werden. Nach einem Reboot ist das Problem behoben:

Gehen Sie folgendermaßen vor, um einen bestimmten Lizenzserver auszuwählen, und beenden Sie danach den Registrierungseditor:

1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie  “regedit” (without the quotation marks) ein, und klicken Sie anschließend auf OK.

2. Suchen Sie den folgenden Registrierungsschlüssel, und klicken Sie ihn dann an:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Services\TermService\Parameters

3. Zeigen Sie im Menü Bearbeiten auf Neu, und klicken Sie dann auf
   Schlüssel.

4. Geben Sie dem neuen Schlüssel den Namen “LicenseServers”.

5. Suchen Sie den folgenden Registrierungsschlüssel, und klicken Sie ihn dann an:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
\TermService\Parameters\LicenseServers

6. Zeigen Sie im Menü Bearbeiten auf Neu, und klicken Sie dann auf Schlüssel.

7. Geben Sie dem neuen Schlüssel den Namen “”, wobei für den NetBIOS-Namen, besser noch noch die IP-Adresse des Lizenzservers steht, und drücken Sie anschließend die [EINGABETASTE]. Hinweis: Der einzige Datenwert, der in diesem Registrierungsschlüssel benötigt wird, ist der Name des Lizenzservers, den Sie verwenden möchten.