5
Benutzerprofil schreibschützen?
Hallo zusammen,
wir haben den Auftrag unseren Domänen-Benutzern die Schreibrechte für das Benutzerprofil zu entziehen. Ich musste es auf die Schnelle machen und bin auf CACLS gestoßen.
Habe ein Script gebastelt und es in eine GPO (Benutzereinstellungen) integriert:
%SYSTEMROOT%\SYSTEM32\CACLS.EXE "%USERPROFILE%\desktop" /E /P %USERNAME%:R
%SYSTEMROOT%\SYSTEM32\CACLS.EXE "%USERPROFILE%\downloads" /E /P %USERNAME%:R
%SYSTEMROOT%\SYSTEM32\CACLS.EXE "%USERPROFILE%\documents" /E /P %USERNAME%:R
%SYSTEMROOT%\SYSTEM32\CACLS.EXE "%USERPROFILE%\pictures" /E /P %USERNAME%:R
%SYSTEMROOT%\SYSTEM32\CACLS.EXE "%USERPROFILE%\music" /E /P %USERNAME%:R
%SYSTEMROOT%\SYSTEM32\CACLS.EXE "%USERPROFILE%\videos" /E /P %USERNAME%:R
Damit werden die angegebenen Ordner im Benutzerprofil bei Anmeldung schreibgeschützt und der Benutzer hat keine Möglichkeit mehr neue Daten abzulegen. Natürlich kann sich der Benutzer einen neuen Ordner in seinem Userprofil anlegen und dort weiter Daten ablegen, aber das reichte der IT-Leitung erstmal aus.
Meine Frage ist jetzt: gibt es eine schönere Möglichkeit ein Benutzerprofil schreibzuschützen? Auch mit der Möglichkeit den Schreibschutz wieder rauszunehmen...?! Mit meinem Script oben werden dem Benutzer bei der Abmeldung die Schreibrechte entzogen; das wieder rückgängig zu machen ist etwas aufwändig.
Unsere Systeme: Windfows Server 2008 R2, Windows 7 Pro
Vielen Dank und viele Grüße
Lukas
wir haben den Auftrag unseren Domänen-Benutzern die Schreibrechte für das Benutzerprofil zu entziehen. Ich musste es auf die Schnelle machen und bin auf CACLS gestoßen.
Habe ein Script gebastelt und es in eine GPO (Benutzereinstellungen) integriert:
%SYSTEMROOT%\SYSTEM32\CACLS.EXE "%USERPROFILE%\desktop" /E /P %USERNAME%:R
%SYSTEMROOT%\SYSTEM32\CACLS.EXE "%USERPROFILE%\downloads" /E /P %USERNAME%:R
%SYSTEMROOT%\SYSTEM32\CACLS.EXE "%USERPROFILE%\documents" /E /P %USERNAME%:R
%SYSTEMROOT%\SYSTEM32\CACLS.EXE "%USERPROFILE%\pictures" /E /P %USERNAME%:R
%SYSTEMROOT%\SYSTEM32\CACLS.EXE "%USERPROFILE%\music" /E /P %USERNAME%:R
%SYSTEMROOT%\SYSTEM32\CACLS.EXE "%USERPROFILE%\videos" /E /P %USERNAME%:R
Damit werden die angegebenen Ordner im Benutzerprofil bei Anmeldung schreibgeschützt und der Benutzer hat keine Möglichkeit mehr neue Daten abzulegen. Natürlich kann sich der Benutzer einen neuen Ordner in seinem Userprofil anlegen und dort weiter Daten ablegen, aber das reichte der IT-Leitung erstmal aus.
Meine Frage ist jetzt: gibt es eine schönere Möglichkeit ein Benutzerprofil schreibzuschützen? Auch mit der Möglichkeit den Schreibschutz wieder rauszunehmen...?! Mit meinem Script oben werden dem Benutzer bei der Abmeldung die Schreibrechte entzogen; das wieder rückgängig zu machen ist etwas aufwändig.
Unsere Systeme: Windfows Server 2008 R2, Windows 7 Pro
Vielen Dank und viele Grüße
Lukas
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 282799
Url: https://administrator.de/contentid/282799
Printed on: April 18, 2024 at 05:04 o'clock
5 Comments
Latest comment
Hi,
es wäre mal interssant zu wissen, warum das so sein soll. Falls es darauf ankommt, das Profil schlank zu halten, kann man diverse Ordner aus der Synchronisation raus nehmen und ein Login Script schreiben, welches bei Anmeldung die lokale Kopie aufräumt. Wenn es darauf ankommt, die Datenspeicherung an bestimmten Orten zu erzwingen (z.B. Netzlaufwerke), dann wäre Ordnerumleitung vielleicht ein Weg. Und wenn es bloß darauf ankommt, dass die Benutzer bei Anmeldung eine fest definierte Umgebung haben, dann wären wohl Mandatory Profiles was.
E.
es wäre mal interssant zu wissen, warum das so sein soll. Falls es darauf ankommt, das Profil schlank zu halten, kann man diverse Ordner aus der Synchronisation raus nehmen und ein Login Script schreiben, welches bei Anmeldung die lokale Kopie aufräumt. Wenn es darauf ankommt, die Datenspeicherung an bestimmten Orten zu erzwingen (z.B. Netzlaufwerke), dann wäre Ordnerumleitung vielleicht ein Weg. Und wenn es bloß darauf ankommt, dass die Benutzer bei Anmeldung eine fest definierte Umgebung haben, dann wären wohl Mandatory Profiles was.
E.
Hallo
Meines Wissens kannst du auf dem servergespeicherten Profile die ntuser.dat der jeweiligen User in ntuser.man umbenennen.
Somit werden die Aenderungen nicht auf das Serverprofil zurückgespeichert.
https://technet.microsoft.com/de-de/library/gg241183(v=ws.10).aspx
Die User können wohl währen dem arbeiten Aenderungen vornehmen, nach einem Restart ist aber wieder alles beim alten.
Gruss Urs
Meines Wissens kannst du auf dem servergespeicherten Profile die ntuser.dat der jeweiligen User in ntuser.man umbenennen.
Somit werden die Aenderungen nicht auf das Serverprofil zurückgespeichert.
https://technet.microsoft.com/de-de/library/gg241183(v=ws.10).aspx
Die User können wohl währen dem arbeiten Aenderungen vornehmen, nach einem Restart ist aber wieder alles beim alten.
Gruss Urs
Meines Wissens kannst du auf dem servergespeicherten Profile die ntuser.dat der jeweiligen User in ntuser.man umbenennen
... was dann ein Mandatory Profile ist.
Das Ziel ist die Datenspeicherung an bestimmten Orten zu erzwingen (-> Netzlaufwerke).
Der Benutzer soll eine Meldung bekommen, dass der Zugriff verweigert ist, wenn er einen neuen Ordner/Datei auf den Desktop ablegen will.
Ich habe nur die Befürchtung, dass beim umschwenken des lokalen auf das servergespeicherte Profil alle Daten mitgezogen werden; einige User haben sicherlich mehrere GB an Daten auf Ihren Desktops, Dokumente, etc.
Der Benutzer soll eine Meldung bekommen, dass der Zugriff verweigert ist, wenn er einen neuen Ordner/Datei auf den Desktop ablegen will.
Ich habe nur die Befürchtung, dass beim umschwenken des lokalen auf das servergespeicherte Profil alle Daten mitgezogen werden; einige User haben sicherlich mehrere GB an Daten auf Ihren Desktops, Dokumente, etc.
Bei Ordnerumleitung kann man angeben, ob die vorhandenen Daten zum neuen Ziel verschoben werden sollen oder nicht.
Ich habe es zwar so nicht explizit probiert, aber theoretisch müsste es möglich sein, alle diese Ordner auf einen Ordner im Netz umzuleiten. Dieser könnte z.B. das Home Directory des Benutzers sein oder ein anderer Ordner in einer Abteilungsstruktur.
Erstell Dir Testbenutzer. Dann eine Test-GPO, welche nur für diese Benutzer gilt. Mittels dieser kleinen Test-Umgebung spielst Du die Ordnerumleitung einfach mal durch.
Ich habe es zwar so nicht explizit probiert, aber theoretisch müsste es möglich sein, alle diese Ordner auf einen Ordner im Netz umzuleiten. Dieser könnte z.B. das Home Directory des Benutzers sein oder ein anderer Ordner in einer Abteilungsstruktur.
Erstell Dir Testbenutzer. Dann eine Test-GPO, welche nur für diese Benutzer gilt. Mittels dieser kleinen Test-Umgebung spielst Du die Ordnerumleitung einfach mal durch.
