HKCU Berechtigungen

08/01/2008 - 15:51 von Empulsed | Report spam
Hallo,

ich befinde mich derzeit in einer Migration

Ausgangsumgebung :
Netwareanmeldung der Benutzer von PC's die sich in einer Arbeitsgruppe
befinden

Zielumgebung: Netwareanmeldung und AD Anmeldung der Benutzer (Computerkonten
werden von der Arbeitsgruppe in das AD migriert. (Benutzerkonten werden via
Meta-Verzeichnissynchronisation zwischen Netware und AD synchron gehalten)

Die Verzeichnisse der Roaming Profile liegen auf Netwareservern, haben daher
keine NTFS Rechte. Die User authentisieren sich nach wie vor über Ihre
Netwareanmeldung an Ihren Profilen. Alle Dateien und Ordner der Roaming
Profile sind daher durch die neue AD-Authentisierung nicht berührt.

Außnahme sind die HKCU Bestandteile der ntuser.dat, in der sehr wohl ACL's
der Windowskonten enthalten sind.

Ich möchte keine Zeitpunkt-X Migration, sondern, dass sich die Benutzer
sowohl an den PC's die noch Arbeitsgruppenmitglieder als auch an PC's die
schon AD-Mitglieder (dann auch AD-Benutzeranmeldung) anmelden können.

Meine Vorgehensweise war daher HKCU zusàtzlich zu den
Arbeitsgruppen-benutzern auch auf die AD-Benutzer zu berechtigen. Das
realisiere ich via SetACL, was auch gut funktioniert

.. ABER (und jetzt kommt mein Problem)


Unter
HKCU\Software\Policies
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies
HKCU\Software\Classes

ist die Rechtevererbung deaktiviert und ab dem Pfad der Benutzer nur noch
lesend auf die registry berechtigt (klar)
Das bedeutet jedoch, dass der User an diesen Stellen per SETACL natürlich
auch nicht den AD-Benutzer in die Berechtigungen hinzufügen kann.
Versuche ich via RunAs oder àhnlichen Tools diesen vorgang als Benutzer mit
Administrativen Berechtigungen auszuführen wird nicht der Userkontext
gezogen, sondern der HKCU-Kontext des mit RunAs ausführenden Administrators


...

so und da stehe ich gerade und wiess nicht weiter

Hat wer evtl einen Tipp für mich ?

Gruß, jan

PS.: Tools wie USMT etc. helfen mir nicht weiter, da hier NUR der neue
AD-User rechte aufs HKCU erhàlt.. ich benötige jedoch den ArbeitsgruppenUser
weiterhin


PPS.: Danke fürs lesen ^^
 

Lesen sie die antworten

#1 Mark Heitbrink [MVP]
08/01/2008 - 16:22 | Warnen spam
Hi,

Empulsed schrieb:
... ABER (und jetzt kommt mein Problem)
Unter
HKCU\Software\Policies
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies
HKCU\Software\Classes
ist die Rechtevererbung deaktiviert und ab dem Pfad der Benutzer nur noch
lesend auf die registry berechtigt (klar)
Das bedeutet jedoch, dass der User an diesen Stellen per SETACL natürlich
auch nicht den AD-Benutzer in die Berechtigungen hinzufügen kann.



Was auch nach Design so sein muss. Er braucht dort KEINERLEI BErechtigungen
ausser LesenRechte.

Versuche ich via RunAs oder àhnlichen Tools diesen vorgang als Benutzer mit
Administrativen Berechtigungen auszuführen wird nicht der Userkontext
gezogen, sondern der HKCU-Kontext des mit RunAs ausführenden Administrators



... weil der HKCU eben der angemeldete User ist, der der den Befehl
ausführt und das ist der im RunAs angegebene.

so und da stehe ich gerade und wiess nicht weiter
Hat wer evtl einen Tipp für mich ?



Ich verstehe dein Problem nicht.

Die Profile werden auf einem NetWare Server abgelegt. Ja und? Deswegen
muss der User dort schreiben dürfen, was Netware ohne Stress zulàsst.
Du hast ein Problem mit den Berechtigungen "innerhalb" der Datei.
Die "sieht" dein NEtware Server garnicht.
Warum làsst du es nicht so wie es ist? Jeder User hat bis auf die
\Policies Hives Vollzugriff und das reicht auch.

Wozu sollte er unter \Policies schreiben dürfen? Er hat da ÜBERHAUPT
GARNICHTS zu suchen. Wenn du ihm an diesen Ordnern/Schlüsseln
Berechtigungen vergibst, kannst du sie auch gleich zu lokalen Admins
machen.

Tschö
Mark
Mark Heitbrink - MVP Windows Server - Group Policy

Homepage: www.gruppenrichtlinien.de - deutsch
Blog: gpupdate.spaces.live.com - english

Ähnliche fragen