Discussion:
User Templates - default settings (SBS2003 - SP2)
(te oud om op te antwoorden)
Wouter van de Hoef
2009-10-10 15:07:01 UTC
Permalink
In een poging de toegangsrechten tot de folders op de server in te stellen
heeft een medewerker de standaard User Templates aangepast en lid gemaakt van
een aantal andere templates en Security Groups. Hierdoor heeft iedereen
Administrator rechten gekregen, wat niet de bedoeling is.

Is er ergens een overzicht te vinden met de standaard instellingen van de
User Templates en de Security Groups, zodat ik dit kan herstellen?
Marina Roos [SBS-MVP]
2009-10-10 18:22:16 UTC
Permalink
Hallo Wouter,

Ik hoop dat je die gebruiker ook onmiddellijk de adminrechten ontnomen hebt.
De User template heeft de volgende memberships:
Administrator Templates
Domain Users
Power User Templates
Remote Web Workplace Users
local domain distribution groep
--
Regards,

Marina Roos
Microsoft SBS-MVP
One of the Magical M&M's
www.smallbizserver.net
Take part in SBS forum: http://www.smallbizserver.net/Default.aspx?tabid=53
Post by Wouter van de Hoef
In een poging de toegangsrechten tot de folders op de server in te stellen
heeft een medewerker de standaard User Templates aangepast en lid gemaakt van
een aantal andere templates en Security Groups. Hierdoor heeft iedereen
Administrator rechten gekregen, wat niet de bedoeling is.
Is er ergens een overzicht te vinden met de standaard instellingen van de
User Templates en de Security Groups, zodat ik dit kan herstellen?
Wouter van de Hoef
2009-10-10 19:42:02 UTC
Permalink
Hallo Marina,

Dank voor je antwoord!

Heb je voor mij ook de "lid van" lijst voor de Mobile User Template en de
Administrator Template?

Ik zou willen dat ik dat ik hem die rechten kon ontnemen, maar het was een
medewerker van het bedrijf wat hier SBS2003 heeft geinstalleerd..... door
zijn acties heeft nu iedereen toegang tot alle mappen op de server, wat niet
de bedoeling is. Hij heeft duidelijk geen verstand van AD, Shares en de
Security instellingen onder NTFS.

Als een vriendendienst ben ik nu bezig om e.e.a. te corrigeren....

Nog een prettig weekend toegewenst!

Wouter
Marina Roos [SBS-MVP]
2009-10-10 20:16:46 UTC
Permalink
Hallo Wouter,

Dan zou ik per direct dat bedrijf de toegang ontzeggen. Ze hebben geen
verstand van SBS. Wie weet wat ze nog meer verkeerd gedaan hebben. Ga naar
www.sbsbpa.com en draai dat.
Mobile User template: zelfde als User template plus de Mobile Users groep.
Administrator Template: zelfde als Mobile User template plus Domain Admins,
min Power User Templates.
--
Regards,

Marina Roos
Microsoft SBS-MVP
One of the Magical M&M's
www.smallbizserver.net
Take part in SBS forum: http://www.smallbizserver.net/Default.aspx?tabid=53
Post by Wouter van de Hoef
Hallo Marina,
Dank voor je antwoord!
Heb je voor mij ook de "lid van" lijst voor de Mobile User Template en de
Administrator Template?
Ik zou willen dat ik dat ik hem die rechten kon ontnemen, maar het was een
medewerker van het bedrijf wat hier SBS2003 heeft geinstalleerd..... door
zijn acties heeft nu iedereen toegang tot alle mappen op de server, wat niet
de bedoeling is. Hij heeft duidelijk geen verstand van AD, Shares en de
Security instellingen onder NTFS.
Als een vriendendienst ben ik nu bezig om e.e.a. te corrigeren....
Nog een prettig weekend toegewenst!
Wouter
Wouter van de Hoef
2009-10-10 21:55:01 UTC
Permalink
Daar stuur ik wel op aan, ik probeer de CEO van dit bedrijf al een tijdje
daarvan te overtuigen.

Ik heb de BPA voor SBS en Exchange Server eerder deze week al gedraaid en
alle Wizards laten lopen, daar kwam al een hoop mee naar boven.

Je had moeten zien hoe Exchange Server draaide: de POP3 boxen werden niet
door de server opgehaald, maar alle users hadden POP3 mailboxen gedefineerd
die dan in de OST werden opgeslagen, zodat het toch op de server kwam.
Iedereen verstuurde de uitgaande email direct naat de SMTP van de ISP. OWA
draaide niet, firewall etc allemaal handmatig ingesteld, zonder de wizards te
gebruiken.

De complete AD is messed up, geen van de computers zit in het juiste deel en
de file shares zitten allemaal onder een map, die alle rechten naar onderen
heeft doorgegeven en alle users vrij toegang geeft, waardoor de groepering in
Accounting, Sales, etc geen enkele uitwerking meer heeft.

Dit ICT bedrijf staat in iedergeval op mijn blacklist.... en ik ben nog wel
een paar uurtjes zoet om alles op de rit te krijgen... ;-)

Een prettig weekend gewenst!
Wouter
Marina Roos [SBS-MVP]
2009-10-10 22:05:08 UTC
Permalink
Je zei dat je dit voor een vriend deed? Toch niet onbetaald mag ik hopen? En
hoe lang ben je dan al bezig om de CEO van het bedrijf ervan te overtuigen
dat ie cowboys had ingehuurd (en blijkbaar nog steeds gebruik van ze wil
maken)?
--
Regards,

Marina Roos
Microsoft SBS-MVP
One of the Magical M&M's
www.smallbizserver.net
Take part in SBS forum: http://www.smallbizserver.net/Default.aspx?tabid=53
Post by Wouter van de Hoef
Daar stuur ik wel op aan, ik probeer de CEO van dit bedrijf al een tijdje
daarvan te overtuigen.
Ik heb de BPA voor SBS en Exchange Server eerder deze week al gedraaid en
alle Wizards laten lopen, daar kwam al een hoop mee naar boven.
Je had moeten zien hoe Exchange Server draaide: de POP3 boxen werden niet
door de server opgehaald, maar alle users hadden POP3 mailboxen gedefineerd
die dan in de OST werden opgeslagen, zodat het toch op de server kwam.
Iedereen verstuurde de uitgaande email direct naat de SMTP van de ISP. OWA
draaide niet, firewall etc allemaal handmatig ingesteld, zonder de wizards te
gebruiken.
De complete AD is messed up, geen van de computers zit in het juiste deel en
de file shares zitten allemaal onder een map, die alle rechten naar onderen
heeft doorgegeven en alle users vrij toegang geeft, waardoor de groepering in
Accounting, Sales, etc geen enkele uitwerking meer heeft.
Dit ICT bedrijf staat in iedergeval op mijn blacklist.... en ik ben nog wel
een paar uurtjes zoet om alles op de rit te krijgen... ;-)
Een prettig weekend gewenst!
Wouter
Wouter van de Hoef
2009-10-11 09:10:01 UTC
Permalink
vriend = CEO en het gaat inderdaad niet uurtje-faktuurtje. Toen hij dit
bedrijf oprichte heb ik hem SBS geadviseerd, omdat ik daar bij mijn vorige
werkgever mee had gewerkt. Dat was alleen 4.0 en 4.5 en als programmeur deed
ik de server "erbij". Indertijd had het huidige ICT bedrijf een HP server
aangeboden inclusief SBS2003 en aangegeven dat ze daar de installatie wel
voor zouden doen, maar gaandeweg bleek mij op verjaardagen dat het helemaal
niet liep. Ik roep al zo'n twee jaar dat hij een MS Certified Partner in de
arm moet nemen, maar het kostenplaatje houdt hem tegen. Nu heb ik de boel
laten escaleren en hem een rapportje geschreven waarin de tekortkomingen van
de huidige setup (geen UPS, geen NAS of tape voor lokale backup (ging via
512Kbps ADSL naar KPN.....). Vervolgens heb ik laten zien dat met behulp van
de Wizards OWA etc in een handomdraai was te installeren, waarna de mening
eindelijk is omgeslagen. Ik zoek nu alleen nog een gecertificeerde SBS
partner voor hem die in de buurt van Barneveld zit. Ik zit te kijken naar
ServerZonderZorgen, die hebben wel goede referenties.

In SBS 4.5 zat alleen nog geen AD, daar moet ik me nu ook nog in gaan
verdiepen, maar daar leer je wel weer wat van ;-)

Betreffende de rechten op die Data share: op dit moment is dat een share in
de root van de Data partitie, waaronder alle folders zitten, ook de User
Profiles, User Homes. Zelf had ik die los in de root gezet, om de
toegangsrechten wat beter in de hand te hebben. Nu alles onder die hoofd
share zit (en door de overerving van de rechten voor iedereen openstaat) zal
ik alleen de rechten op de folders handmatig opnieuw moeten instellen.

Wat raad je mij aan? Top to Bottom, of Bottom up te werken?

Ik heb vijf gebruikersgroepen (Classified, Administratie, Bedrijf A, Bedrijf
B en Bedrijf C). Afhankelijk van voor welk bedrijf iemand werkt, moet hij of
zij toegang krijgen. De gebruikers zijn allemaal al aan de juiste Security
Group toegevoegd.

Is de volgende procedure correct:

1) Share permissions voor de hele Data share:
Administrators en Iedereen "Full Controle"

2) Security permissions:
Administrators, Creator-Owner, System "Full Control", alle rechten van de
onderliggende mappen eenmalig overschrijven en terugzetten daar deze
instellingen.

3) Dan per tree naar beneden één of meerdere groepen toegang geven

4) Voor de user homes de bijbehorende gebruiker weer owner maken en samen
met de Administrator en SYSTEM Full Control geven

5) De profile folders per gebruiker dezelfde rechten geven als bij 4)

Betreffende AD: wat gebeurd er als ik een computer verplaats uit de folder
Computers naar SBS Computers onder de juiste Afdeling? Heeft dat gevolgen
voor de gebruiker?

mvg
Wouter
Jetze Mellema [MS MVP]
2009-10-11 10:48:38 UTC
Permalink
Post by Wouter van de Hoef
eindelijk is omgeslagen. Ik zoek nu alleen nog een gecertificeerde SBS
partner voor hem die in de buurt van Barneveld zit. Ik zit te kijken naar
ServerZonderZorgen, die hebben wel goede referenties.
In die regio kan ik je CTS uit Ede aanbevelen: http://www.cts-bv.nl/. Ik ken
ze goed omdat ik er gewerkt heb, ze hebben ruim voldoende kennis en ervaring
in het MKB en MKB+ segment. Staar je niet blind op certificering en
partnerschappen trouwens, vraag liever om referenties en bel eens 1 of 2
klanten van hun die vergelijkbaar zijn met je eigen situatie.
--
Met vriendelijke groet,

Jetze Mellema (MS MVP)
Lees mijn blog: http://jetzemellema.blogspot.com/
Mijn hobby: http://www.mellema.net/homecomputers
How to ask a question: http://support.microsoft.com/?id=555375
Marina Roos [SBS-MVP]
2009-10-11 11:25:48 UTC
Permalink
Helemaal eens wat Jetze zei over de certificering. Dat zegt namelijk
helemaal niets. Overigens is een SBS server uitstekend remote te beheren. Ik
heb er heel wat over de hele wereld verspreid.
--
Regards,

Marina Roos
Microsoft SBS-MVP
One of the Magical M&M's
www.smallbizserver.net
Take part in SBS forum: http://www.smallbizserver.net/Default.aspx?tabid=53
Post by Jetze Mellema [MS MVP]
Post by Wouter van de Hoef
eindelijk is omgeslagen. Ik zoek nu alleen nog een gecertificeerde SBS
partner voor hem die in de buurt van Barneveld zit. Ik zit te kijken naar
ServerZonderZorgen, die hebben wel goede referenties.
In die regio kan ik je CTS uit Ede aanbevelen: http://www.cts-bv.nl/. Ik
ken ze goed omdat ik er gewerkt heb, ze hebben ruim voldoende kennis en
ervaring in het MKB en MKB+ segment. Staar je niet blind op certificering
en partnerschappen trouwens, vraag liever om referenties en bel eens 1 of
2 klanten van hun die vergelijkbaar zijn met je eigen situatie.
--
Met vriendelijke groet,
Jetze Mellema (MS MVP)
Lees mijn blog: http://jetzemellema.blogspot.com/
Mijn hobby: http://www.mellema.net/homecomputers
How to ask a question: http://support.microsoft.com/?id=555375
Wouter van de Hoef
2009-10-11 13:01:01 UTC
Permalink
Dat het remote via VPN gaat is mijn geluk, anders had ik thuis mijn koffers
al kunnen pakken ;-)

Bestaat er trouwens een tool waarmee je de gebruikersrechten van een
complete tree grafisch inzichtelijk kunt maken?
Wouter van de Hoef
2009-10-11 17:26:01 UTC
Permalink
Hallo Marina,

Ik was in de veronderstelling dat je bij Microsoft werkte, maar zie elders
dat je een eigen bedrijf hebt. In dat geval wil ik je wegens de eerdere
support niet passeren. Ben jij ook in de markt om bij dit bedrijf het
systeembeheer te doen? Doe je naast remote ook on-site support? Er moet nl
nog een UPS en een NAS worden geinstalleerd en ook de machines van de
gebruikers moeten worden nagelopen. Sommige moeten nog worden aangemeld op
het domein (staan nog op workgroup). Op alle machines stikt het van de
zwervende profielen. Geen van de machines heeft een virusscanner, ook de
server niet. Office 2007 en 2003 worden door elkaar gebruikt in Pro en
Standaard uitvoering. Kortom: er is nog wel wat te doen....

Laat me maar even weten of je geinteresseerd bent, dan zet ik e.e.a. in gang.

Met vriendelijke groet,
Wouter
Marina Roos [SBS-MVP]
2009-10-11 17:43:52 UTC
Permalink
Hallo Wouter,

Ik ben in de markt.
--
Regards,

Marina Roos
Microsoft SBS-MVP
One of the Magical M&M's
www.smallbizserver.net
Take part in SBS forum: http://www.smallbizserver.net/Default.aspx?tabid=53
Post by Wouter van de Hoef
Hallo Marina,
Ik was in de veronderstelling dat je bij Microsoft werkte, maar zie elders
dat je een eigen bedrijf hebt. In dat geval wil ik je wegens de eerdere
support niet passeren. Ben jij ook in de markt om bij dit bedrijf het
systeembeheer te doen? Doe je naast remote ook on-site support? Er moet nl
nog een UPS en een NAS worden geinstalleerd en ook de machines van de
gebruikers moeten worden nagelopen. Sommige moeten nog worden aangemeld op
het domein (staan nog op workgroup). Op alle machines stikt het van de
zwervende profielen. Geen van de machines heeft een virusscanner, ook de
server niet. Office 2007 en 2003 worden door elkaar gebruikt in Pro en
Standaard uitvoering. Kortom: er is nog wel wat te doen....
Laat me maar even weten of je geinteresseerd bent, dan zet ik e.e.a. in gang.
Met vriendelijke groet,
Wouter
Wouter van de Hoef
2009-10-11 13:04:01 UTC
Permalink
Dank je Jetze, ik laat ze er komende week contact mee opnemen, e.e.a. gaat
mijn kennis te boven en het 8hx5d beheer is niet te combineren met mijn
huidige werk.
Loading...