waechter
Goto Top

Wie können sich Windows10 Clients bw. User geänderte Domänen Benutzerrechte "in Realtime" vom DC hohlen

Guten Tag zusammen,

Wie können sich Windows10 Clients/User geänderte Domänen Benutzerrechte "in Realtime" vom DC holen.

Ich ändere tagsüber über Scripte die Benutzerrechte auf verschiedene Freigaben für bestimmte Domänenmitglieder.
Das Problem ist, dass sich die Benutzer immer an- und abmelden müssen, um die neuen Benutzerrechte zu erhalten.
Das ist bei uns ein riesen Problem, da wir große offene Dateien und Programme schliessen müssen.
Ich will das vermeiden. Gibt es dafür eine Lösung?

Vielen Dank im Voraus,
Jürgen

Content-Key: 544064

Url: https://administrator.de/contentid/544064

Ausgedruckt am: 28.03.2024 um 18:03 Uhr

Mitglied: Bitboy
Bitboy 06.02.2020 um 17:08:28 Uhr
Goto Top
Hi,

so wie es klingt änders dus ja mehrfach die Berechtigungen.
Da frage ich mich schonmal wieso das mehrmals am Tag nötig ist.

Grüße
Mitglied: Lochkartenstanzer
Lochkartenstanzer 06.02.2020 um 17:22:19 Uhr
Goto Top
Moin,

Ich denke, Dein Problem ist eher die nicht durchdachte Berechtigungsstruktur, die mehrmals täglich geändert wird. Nirmalerweise legt man die einmal fest und macht dann nur noch ab und zu Feintuning.

Waa ist denn der Grund, daß das mehrmals täglich passieren muß?

Vielleicht kann man ja die Ursache beheben anstatt dem Symptom nachzuhecheln.

lks
Mitglied: em-pie
em-pie 06.02.2020 um 18:51:33 Uhr
Goto Top
Moin,

Die Frage stelle ich mir auch, weshalb du mehrmals am Tag an bestehenden Rechten herumschrauben musst.

Wir handhaben es so, dass wir
  • User in "Abteilungsgruppen" hinzufügen
  • Gruppen für Ordnerberechtigungen anlegen
  • Die "Orderngruppen" in den Freigaben/ NTFS-Rechten Berechtigen
  • Die Abteilungsgruppen als Mitlglieder der Ordnergruppen hinzufügen

Dadurch greifen die Berechtigungen zwar auch erst mit dem nächsten Login, aber wenn der Zugriff für die User dann so wichtig ist, dass die UNBEDINGT jetzt darauf zugreifen müssen, dann sollen die sich auch einmal ab- und wieder anmelden.

Ansonsten hat sich das Problem am nächsten Tag ja von selbst gelöst.

Alternativ könnte man auch die Abteilungsgruppen direkt auf die Ordner berechtigen, dann greifen die Änderungen auch sofort, da die User ja bereits zum Zeitpunkt der ANmeldung Mitglied der Gruppe gewesen sind.

Gruß
em-pie
Mitglied: Spirit-of-Eli
Spirit-of-Eli 06.02.2020 um 19:19:04 Uhr
Goto Top
Moin,

es ist ohnehin best pratice das Gruppen für die Berechtigung genutzt werden.

Gruß
Spirit
Mitglied: DerWoWusste
DerWoWusste 06.02.2020 um 22:11:29 Uhr
Goto Top
Wenn man einen Nutzer in eine Gruppe packt bzw. aus einer entfernt und möchte, dass dies sofort wirkt ohne Abmeldung, dann muss man das Kerberos-Ticket des Nutzers erneuern.
Kann der Nutzer selbst machen über das Kommando
klist purge
Mitglied: Waechter
Waechter 07.02.2020 um 16:42:50 Uhr
Goto Top
Hallo Zusammen,

danke für Eure Antworten, allerdings bringt mich das nicht so richtig weiter. Auf die häufig gestellte Frage: Warum mach ich das? Auf jeden Fall nicht zum Spass. Ich würde mir auch wünschen meinen Benutzergruppen einmal ein Recht zu vergeben und dann alles gut. ABER, wir arbeiten hier teilweise mit hoch sensiblen Daten. Diese Projekte bekommen von uns eine eigene Sicherheitsgruppe. Nun kommt es vor, dass auch tagsüber ein Mitarbeiter über unsere Planungsoftware dazu geplant wird. Diese Software triggert die Änderung der Sicherheitgruppe und fügt den Mitarbeiter dazu. So, und das sollte ohne An- und Abmeldung des Benutzers funtionieren.

@DerWoWusste
Danke, "klist purge" hatte ich schon probiert, und hat leider nicht funtioniert ...
... und du brauchst Admin Rechte um den Befehl auszuführen.

Gruß,
Jürgen
Mitglied: DerWoWusste
DerWoWusste 07.02.2020 um 16:46:24 Uhr
Goto Top
Danke, "klist purge" hatte ich schon probiert, und hat leider nicht funtioniert... und du brauchst Admin Rechte um den Befehl auszuführen.
Hier geht es! Und Adminrechte brauche ich dafür selbstverständlich nicht, wie kommst Du darauf?
Mitglied: em-pie
em-pie 07.02.2020 um 16:48:18 Uhr
Goto Top
Wäre dann ein Projektmanagement-Tool nicht besser?
Oder zumindest ein DMS/ECM?
Da brauch man dann auch nichts auf Dateiebene zu handhaben sondern alles wird innerhalb des PM-Tools/ ECM definiert...
Mitglied: Waechter
Waechter 07.02.2020 um 17:21:52 Uhr
Goto Top
Da müssten wir bei uns en größeres Faß aufmachen ...
Mitglied: Waechter
Waechter 07.02.2020 um 17:24:02 Uhr
Goto Top
Seltsam, ich habe unter dem entsprechen User "klist purge" ausführen wollen und der Befehl wurde nicht erkannt. Als lAdmin ging es dann ...
Da muss ich wohl noch einmal ran ...
Mitglied: Bitboy
Bitboy 11.02.2020 um 11:27:48 Uhr
Goto Top
Hm. Ok. Der Sicherheitsgewinn ist natürlich nur mäßig. Auch wenn ein Mitarbeiter nur kurz Zugriff auf die Daten hat so reicht das doch um die zu kopieren aber andere Baustelle.

Vllt ist die Idee ja blöd aber eventuell funktionierts auch.
Du machst für jeden Mitarbeiter eine eigene Sicherheitsgruppe in der dieser Mitglied ist. Und zwar immer.
Werden nun die Rechte gebraucht, dann gibst du dieser Mitarbeitergruppe Zugriff auf den Ordner, da sich die Gruppenmitgliedschaft ja nicht ändert sollte das sofort funktionieren und du brauchst kein neues Ticket.