Windows - Besitz / Berechtigung setzen in der cmd

Problem : Man möchte den Besitz eines Ordners und dessen Unterordners übernehmen oder Berechtigungen setzen. In meinem Fall hatte sich ein Mitarbeiter aus seiner eigenen Backup Platte ausgesperrt.

Lösung :
Den Besitz übernehmen kann man mit dem kleinen Tool takeown.exe hier ein Beispiel für die externe HDD die bei mir als Z:\ gemountet wurde.

Der hier vorgeschlagene Weg wurde mit Windows 10 ausgeführt es kann sein das einige der Parameter bei anderen Programmversionen nicht zur Verfügung stehen.

takeown.exe /F Z:\ /R /A /SKIPSL

Dieser Aufruf bewirkt das der Besitzer des Laufwerkes Z:\ auf die Gruppe Administratoren (/A) geändert wird. Der Parameter /SKIPSL bewirkt das keiner symbolischen Verknüpfung gefolgt wird. Das /R steht für rekursiv, d.h. alle Dateien und Unterordner bekommen den selben Besitzer. /F definiert eine Datei oder einen Ordner. Sollte der Parameter /A weggelassen werden wird der aktuell angemeldete Benutzer als Besitzer gesetzt.

Die Berechtigung kann man schön mit dem Tool icacls.exe ändern. Hier wieder das Beispiel mit der externen HDD die auf Z:\ gemountet ist.

icacls.exe Z:\* /grant Jeder:(OI)(CI)(F) /L

Dieser Aufruf schlüsselt sich so auf. icacls.exe ist das Programm Z:\* bedeutet das die Berechtigung auf das Laufwerk Z:\ und alles Dateien & Unterordner geändert wird. /grant setzt die Berechtigung. Jeder:(OI)(CI)(F) das ist die Gruppe Jeder mit den Einstellungen (OI)=Objektvererbung (CI)=Containervererbung (F)=Vollzugriff. Der Parameter /L bewirkt das die Berechtigung auf den symbolischen Link geändert wird nicht aber auf das Ziel des symbolischen Links.

ICACLS Parameter : https://technet.microsoft.com/de-de/library/cc753525(v=ws.10).aspx
TAKEOWN Parameter : https://technet.microsoft.com/de-de/library/cc753024(v=ws.10).aspx

Windows Client: Benutzer erhält nur „temporäres Profil“ bei der Anmeldung

Problem:
Wenn man einen Benutzer anmelden möchte, dann erhält dieser nur ein „temporäres Profil“ und alle Einstellungen sind weg.

Lösung:
Irgendwie wurde das Profil beschädigt und wird nun nicht mehr von Windows geladen. Zur Lösung bitte folgende Schritte durchführen:
- Anmelden als Administrator an dem PC (darf nicht der betroffene Benutzer sein!!)
- Umbenennen des fehlerhaften Profile unter C:\Users\
- Neuanmeldung des Benutzers – Profil sollte wieder generiert werden

Wenn danach immer noch das temporäre Profil geladen wird, dann ist der Eintrag in der ProfileList in der Registry noch beschädigt.Das Problem kann wie folgt behoben werden:

- Als Admin Registry öffnen
- Navigieren zu: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList

- Hier werden alle SIDs der Profile angezeigt, die auf dem Rechner angelegt wird
- Suchen Sie nach dem entsprechenden Profil, meistens zu erkennen mit der Endung „.bak“


- Exportieren Sie diesen Schlüssel zur Sicherheit
- Danach können Sie diesen Schlüssel löschen
- Melden Sie sich mit dem betroffenen Benutzer an – Verzeichnis und Profil-Pfad werden wieder generiert
- Kopieren Sie die Daten von dem zuvor umbenannten Profil wieder in das neu generierte Profil
- FERTIG!

DNS Server (Windows 2008 R2) Backup

Um ein Backup eines DNS Servers der unter Windows 2008 R2 (sollte bei anderen Systemen ähnlich sein) läuft, muss man erstmal unterscheiden um welche Art DNS Server es sich handelt. Ist die Zone die gesichert werden soll nicht im Active Directory (AD) integriert reicht hier ein kleiner copy Befehl. Für eine AD integrierte Zone muss man das Tool dnscmd verwenden.

Copy Befehl :
robocopy %systemroot%\system32\dns d:\backups\dns /S /ZB /XJ /R:2 /W:3 


Backup mit dnscmd :
dnscmd /zoneexport domain.de backup\domain.de.backup

Dieser Befehl erstellt die Datei %systemroot%\system32\dns\backup\domain.de.backup wichtig ist hierbei das die Datei nicht überschrieben wird sollte sie bereits existieren. Wenn man die Sicherung in einem Skript automatisiert ablaufen lassen will sollte man die Datei weg kopieren oder mit Datum ablegen.

Wenn man eine AD integrierte Zone wieder herstellen möchte geht man diesen Weg :

dnscmd /zoneadd domain.de /primary /file domain.de.backup /load

Hier gilt es zu beachten das die Datei %systemroot%\system32\dns\backup\domain.de.backup vorhanden ist. Der Parameter /load bewirkt das die Konfiguration aus der vorhandenen Datei übernommen wird. Vergisst man diesen wird eine neue Zonen Datei erstellt und das Backup File ist leer ...

Um diese Zone nun wieder auf AD integriert zu konvertieren nimmt man diesen Befehl :
dnscmd /zoneresettype domain.de /dsprimary


Quelle : mcpmap.com

“Das einzig sichere System müsste ausgeschaltet, in einem versiegelten und von Stahlbeton ummantelten Raum und von bewaffneten Schutztruppen umstellt sein.”
Gene Spafford (Sicherheitsexperte)