37414
Sep 24, 2013, updated at 10:02:52 (UTC)
1871
9
0
Benutzerkonto nur für ein bestimmtes Verzeichnis freigeben - für Verbindung per Remote
Guten Morgen...
Ich habe ein Problem mit den Freigaben für ein Benutzerkonto.
Es handelt sich um einen Server 2008 R2 Standard.
Für den Zugriff einer Firma von außen (per Remoteverbindung), soll nun ein Benutzerkonto erstellt werden.
Dabei soll diese Firma jedoch nur auf ein bestimmtes Verzeichnis Zugriff haben, welches auf dem Dateiserver liegt.
Nun habe ich im Reiter "Mitglied von" schon den "Remotedesktopbenutzer" hinzugefügt.
Weiterhin im Reiter "Remotedesktopdienste-Profil" unter "Basisordner / Lokaler Pfad" dann den Pfad des Verzeichnisses eingetragen, welches die Firma öffnen darf.
Im Reiter "Profil" unter "Basisordner / Lokaler Pfad" habe ich NICHTS eingetragen...
Im Reiter "Konto" habe ich für die lokale Anmeldung eine E-Mail-Adresse angegeben (Domäne).
Alle anderen Reiter haben die Standard-Einstellungen behalten.
Wenn ich mich nun mit diesem neuen Benutzerkonto an unserem Terminalserver anmelde, kann ich z.B. über das Netzwerk-Icon alle Verzeichnisse öffnen, die sich auf dem Server befinden, obwohl ich ja nur ein ganz bestimmtes freigeben wollte und auch freigegeben habe (s.o.).
Hat Jemand eine Idee, wie ich das hinbekomme?
Vielen Dank & schöne Grüße,
imebro
Ich habe ein Problem mit den Freigaben für ein Benutzerkonto.
Es handelt sich um einen Server 2008 R2 Standard.
Für den Zugriff einer Firma von außen (per Remoteverbindung), soll nun ein Benutzerkonto erstellt werden.
Dabei soll diese Firma jedoch nur auf ein bestimmtes Verzeichnis Zugriff haben, welches auf dem Dateiserver liegt.
Nun habe ich im Reiter "Mitglied von" schon den "Remotedesktopbenutzer" hinzugefügt.
Weiterhin im Reiter "Remotedesktopdienste-Profil" unter "Basisordner / Lokaler Pfad" dann den Pfad des Verzeichnisses eingetragen, welches die Firma öffnen darf.
Im Reiter "Profil" unter "Basisordner / Lokaler Pfad" habe ich NICHTS eingetragen...
Im Reiter "Konto" habe ich für die lokale Anmeldung eine E-Mail-Adresse angegeben (Domäne).
Alle anderen Reiter haben die Standard-Einstellungen behalten.
Wenn ich mich nun mit diesem neuen Benutzerkonto an unserem Terminalserver anmelde, kann ich z.B. über das Netzwerk-Icon alle Verzeichnisse öffnen, die sich auf dem Server befinden, obwohl ich ja nur ein ganz bestimmtes freigeben wollte und auch freigegeben habe (s.o.).
Hat Jemand eine Idee, wie ich das hinbekomme?
Vielen Dank & schöne Grüße,
imebro
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 217727
Url: https://administrator.de/contentid/217727
Printed on: April 26, 2024 at 01:04 o'clock
9 Comments
Latest comment
Hallo imebro,
das allgemeine Windows Problem "ich sehe alle Ordner, darf aber darauf nicht zugreifen" ist nicht ganz ohne.
Dazu habe ich folgende Logik entwickelt:
- Laufwerke werden per "subst" verbunden und nicht per "net use" (das geht auch deutlich schneller im Zugriff), zum Beispiel "M" für den Benutzer
- alle Benutzerbibliotheken werden manuell umgestellt, zum Beispiel C:\users\%username%...\Download nach M:\Download
- alle Serverlaufwerke werden ausgeblendet und Zugriff verweigert (GPO), zum Bespiel A+B+C+D
Damit kann der Anwender auf dem TS nichts mehr sehen bzw. wohin gehen wo er nichts zu suchen hat. Ebenfalls muss die Windows Firewall aktiv sein und die Netzwerkkennung ausgeschaltet sein. Dann kann der Anwender unter "Netzwerk" nichts mehr sehen (Meldung "Netzwerkkennung ist deaktiv. Netzwerkcomputer und -geräte sind nicht sichtbar. Klicken Sie hier um dies zu ändern") und da das Profil auf einem M liegt und nicht mit einem UNC-Namen verknüpft ist, von da aus wieder rückwärts gehen. Natürlich darf der User nicht das Recht haben, die Netzwerkkennung selbst einzuschalten (aber das können in der Regel nur Domänen-Admins).
Ich hoffe, das hilft Dir weiter....
Jörg
das allgemeine Windows Problem "ich sehe alle Ordner, darf aber darauf nicht zugreifen" ist nicht ganz ohne.
Dazu habe ich folgende Logik entwickelt:
- Laufwerke werden per "subst" verbunden und nicht per "net use" (das geht auch deutlich schneller im Zugriff), zum Beispiel "M" für den Benutzer
- alle Benutzerbibliotheken werden manuell umgestellt, zum Beispiel C:\users\%username%...\Download nach M:\Download
- alle Serverlaufwerke werden ausgeblendet und Zugriff verweigert (GPO), zum Bespiel A+B+C+D
Damit kann der Anwender auf dem TS nichts mehr sehen bzw. wohin gehen wo er nichts zu suchen hat. Ebenfalls muss die Windows Firewall aktiv sein und die Netzwerkkennung ausgeschaltet sein. Dann kann der Anwender unter "Netzwerk" nichts mehr sehen (Meldung "Netzwerkkennung ist deaktiv. Netzwerkcomputer und -geräte sind nicht sichtbar. Klicken Sie hier um dies zu ändern") und da das Profil auf einem M liegt und nicht mit einem UNC-Namen verknüpft ist, von da aus wieder rückwärts gehen. Natürlich darf der User nicht das Recht haben, die Netzwerkkennung selbst einzuschalten (aber das können in der Regel nur Domänen-Admins).
Ich hoffe, das hilft Dir weiter....
Jörg
Hallo Jörg und schönen Dank für Deine detaillierte Antwort.
Das bedeutet also, dass es - so wie im Moment - nicht möglich ist, diese Firma auf unseren Terminalserver zu lassen, ohne dass die alle Daten einsehen könnten?
Seltsam finde ich jedoch die Tatsache, dass ich ja in der AD im Reiter ""Remotedesktopdienste-Profil" unter "Basisordner / Lokaler Pfad" den Pfad des Verzeichnisses eingetragen hatte, auf das die Firma öffnen darf. Das hat aber offenbar überhaupt keine Auswirkungen...
Gibt es also keine einfacherer Möglichkeit, dass diese Firma dann nur auf das Verzeichnis "X:\Daten\Daten2\Bank" zugreifen kann und auf sonst nichts?
Vielen Dank & schöne Grüße,
imebro
Das bedeutet also, dass es - so wie im Moment - nicht möglich ist, diese Firma auf unseren Terminalserver zu lassen, ohne dass die alle Daten einsehen könnten?
Seltsam finde ich jedoch die Tatsache, dass ich ja in der AD im Reiter ""Remotedesktopdienste-Profil" unter "Basisordner / Lokaler Pfad" den Pfad des Verzeichnisses eingetragen hatte, auf das die Firma öffnen darf. Das hat aber offenbar überhaupt keine Auswirkungen...
Gibt es also keine einfacherer Möglichkeit, dass diese Firma dann nur auf das Verzeichnis "X:\Daten\Daten2\Bank" zugreifen kann und auf sonst nichts?
Vielen Dank & schöne Grüße,
imebro
das ist ein komplexes Thema und mit Sicherheit geht das auch alles einfacher, das kommt auf die Anforderung genau an. Wir sitzen beide übrigens nicht weit auseinander. Kannst mich ja mal anrufen (+49 221 2903852)...
Hallo Jörg,
danke für die tel. Hilfe.
Wir werden versuchen, das Thema anders (und besser) zu lösen
- der Thread hat sich damit zunächst mal erledigt.
Gruss
imebro
danke für die tel. Hilfe.
Wir werden versuchen, das Thema anders (und besser) zu lösen
- der Thread hat sich damit zunächst mal erledigt.
Gruss
imebro
Hi.
Wenn ich mich nun mit diesem neuen Benutzerkonto an unserem Terminalserver anmelde, kann ich z.B. über das Netzwerk-Icon alle Verzeichnisse öffnen, die sich auf dem Server befinden, obwohl ich ja nur ein ganz bestimmtes freigeben wollte und auch freigegeben habe (s.o.).
Freigaben haben keine Auswirkungen, wenn der Nutzer lokal oder von remote angemeldet ist - sie gelten nur für Netzwerkdateizugriff. Du musste ganz simpel mit NTFS-Berechtigungen arbeiten.
Hallo und danke...
das ist ja interessant. Wußte ich nicht, da ich mich leider nicht so wirklich gut mit Server 2008 auskenne.
Könntest Du mir denn ein bisschen dabei helfen, das umzusetzen mit den NTFS-Berechtigungen.
Ein neues Benutzerkonto habe ich ja bereits am Dateiserver eingerichtet.
Damit soll sich dann die Firma zu einem Verzeichnis in unserem Netzwerk Zugriff verschaffen können.
Wie setze ich das um, so... dass die Firma wirklich nur auf dieses Verzeichnis zugreifen kann?
Danke und Gruss,
imebro
das ist ja interessant. Wußte ich nicht, da ich mich leider nicht so wirklich gut mit Server 2008 auskenne.
Könntest Du mir denn ein bisschen dabei helfen, das umzusetzen mit den NTFS-Berechtigungen.
Ein neues Benutzerkonto habe ich ja bereits am Dateiserver eingerichtet.
Damit soll sich dann die Firma zu einem Verzeichnis in unserem Netzwerk Zugriff verschaffen können.
Wie setze ich das um, so... dass die Firma wirklich nur auf dieses Verzeichnis zugreifen kann?
Danke und Gruss,
imebro
"Ein bißchen helfen" ist hier nicht so angesagt. Setze Dich bitte mit NTFS auseinander.
...NTFS kenne ich schon...
Aber mir ist nicht klar, was genau Du meinst mit "...Du musste ganz simpel mit NTFS-Berechtigungen arbeiten...".
Ich brauche einen kurzen Hinweis darauf, WAS ich umsetzen soll... Dann kann ich mich auch damit befassen
Danke und Gruss,
imebro
Aber mir ist nicht klar, was genau Du meinst mit "...Du musste ganz simpel mit NTFS-Berechtigungen arbeiten...".
Ich brauche einen kurzen Hinweis darauf, WAS ich umsetzen soll... Dann kann ich mich auch damit befassen
Danke und Gruss,
imebro
Wie - Du kennst NTFS, aber nicht NTFS-Berechtigungen?
Rechtklick auf die zu schützenden Ordn/Datein/Laufwerke ->Eigenschaften ->Sicherheit. Dort nur berechtigte Nutzer eintragen und fertig.
Rechtklick auf die zu schützenden Ordn/Datein/Laufwerke ->Eigenschaften ->Sicherheit. Dort nur berechtigte Nutzer eintragen und fertig.
