2
Ordnerfreigabe über GPO nur an bestimmtem Rechner
Hallo zusammen,
ich möchte in einem KMU mit ca. 50 Mitarbeitern und einer Windows-Domänenstruktur (Server 2012, WIn 10 Clients) die bisherige Freigabepraxis, dass alle Domänennutzer über Sicherheitsgruppen spezifizierte Fileserver-Freigaben haben, so umstellen, dass diese Freigaben nur noch bei Anmeldung an einem bestimmtem PC (PC1) wirken. An allen anderen PCs und auch an PC1 sollen die Nutzer ihr Homeverzeichnis sehen.
Einfach wäre es natürlich, einen bzw. mehrere neue Domänennutzer mit den bisherigen Freigaben zu erstellen und dessen Anmeldung auf PC1 zu beschränken (interessehalber: ist bei einer solchen Profilbeschränkung auch die Möglichkeit gesperrt, dass ein Nutzer die Freigabe etwa im Explorer an "seiner Maschine" aufruft und sich mit den Nutzerdaten von diesem neuen Domänennutzer anmeldet?) ; eleganter fände ich es, wenn es möglich wäre, den bisherigen Domänennutzern den Zugriff auf die Ordnerfreigabe außerhalb des PC1 zu entziehen.
Gedacht habe ich an einen Loopback auf PC1, allerdings habe ich keine passende GPO gefunden, die eine Ordnerfreigabe sperren könnte. Nur das entsprechende Netzlaufwerk auszublenden hilft materiell ja nicht weiter. Ebensowenig hilft die GPO, die den Zugriff auf Laufwerke über den Explorer sperrt, da diese mWn nicht verhindert, dass der Nutzer materiell doch noch Zugriffsrechte auf die Ordnerfreigabe hat.
Ansonsten könnte man mit Sicherheit über GPO die bestehende Freigabe bei Anmeldung an PC1 neu erstellen, allerdings sehe ich keine (einfache) Möglichkeit diese Freigabe dann ad-hoc wieder zu löschen, wenn der Nutzer etwa aus seinem RDP auf PC1 raustabt und auf seinem eigentlichen PC weiterarbeitet.
Am Liebsten wäre es mit, wenn das mit Loopback funktionieren würde, über jeden anderen Lösungsvorschlag bin ich aber gleichsam dankbar
Liebe Grüße
Alex
ich möchte in einem KMU mit ca. 50 Mitarbeitern und einer Windows-Domänenstruktur (Server 2012, WIn 10 Clients) die bisherige Freigabepraxis, dass alle Domänennutzer über Sicherheitsgruppen spezifizierte Fileserver-Freigaben haben, so umstellen, dass diese Freigaben nur noch bei Anmeldung an einem bestimmtem PC (PC1) wirken. An allen anderen PCs und auch an PC1 sollen die Nutzer ihr Homeverzeichnis sehen.
Einfach wäre es natürlich, einen bzw. mehrere neue Domänennutzer mit den bisherigen Freigaben zu erstellen und dessen Anmeldung auf PC1 zu beschränken (interessehalber: ist bei einer solchen Profilbeschränkung auch die Möglichkeit gesperrt, dass ein Nutzer die Freigabe etwa im Explorer an "seiner Maschine" aufruft und sich mit den Nutzerdaten von diesem neuen Domänennutzer anmeldet?) ; eleganter fände ich es, wenn es möglich wäre, den bisherigen Domänennutzern den Zugriff auf die Ordnerfreigabe außerhalb des PC1 zu entziehen.
Gedacht habe ich an einen Loopback auf PC1, allerdings habe ich keine passende GPO gefunden, die eine Ordnerfreigabe sperren könnte. Nur das entsprechende Netzlaufwerk auszublenden hilft materiell ja nicht weiter. Ebensowenig hilft die GPO, die den Zugriff auf Laufwerke über den Explorer sperrt, da diese mWn nicht verhindert, dass der Nutzer materiell doch noch Zugriffsrechte auf die Ordnerfreigabe hat.
Ansonsten könnte man mit Sicherheit über GPO die bestehende Freigabe bei Anmeldung an PC1 neu erstellen, allerdings sehe ich keine (einfache) Möglichkeit diese Freigabe dann ad-hoc wieder zu löschen, wenn der Nutzer etwa aus seinem RDP auf PC1 raustabt und auf seinem eigentlichen PC weiterarbeitet.
Am Liebsten wäre es mit, wenn das mit Loopback funktionieren würde, über jeden anderen Lösungsvorschlag bin ich aber gleichsam dankbar
Liebe Grüße
Alex
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 315706
Url: https://administrator.de/contentid/315706
Printed on: April 25, 2024 at 01:04 o'clock
2 Comments
Latest comment
Hi,
mir scheint, Du bringst da einiges durcheinander.
Mit Loopback kannst Du steuern, dass bestimmte Benutzer-GPO nur bei Anmeldung an bestimmten Computern wirken ja.
Man kann aber Zugriffsrechte, egal ob für Freigabe oder für NTFS, nicht abhängig vom Computer machen, von welchem aus der Zugriff erfolgt.
Du kannst höchstens die betreffenden Freigaben auf einen Server konsolidieren, und über Firewall regeln, von welchem Client aus darauf zugegriffen werden kann.
Über GPO, meinetwegen im Loopback-Modus, kannst Du dann diese Freigabe als Laufwerk verbinden oder nicht.
E.
mir scheint, Du bringst da einiges durcheinander.
Mit Loopback kannst Du steuern, dass bestimmte Benutzer-GPO nur bei Anmeldung an bestimmten Computern wirken ja.
Man kann aber Zugriffsrechte, egal ob für Freigabe oder für NTFS, nicht abhängig vom Computer machen, von welchem aus der Zugriff erfolgt.
Du kannst höchstens die betreffenden Freigaben auf einen Server konsolidieren, und über Firewall regeln, von welchem Client aus darauf zugegriffen werden kann.
Über GPO, meinetwegen im Loopback-Modus, kannst Du dann diese Freigabe als Laufwerk verbinden oder nicht.
E.
Ups falschen Button gedrückt.
Das war ja gerade meine Frage, ob man das Computer abhängig machen kann ;)
Firewall klingt gut, probiere ich mal aus, ist natürlich etwas unflexibel, naja.
Das war ja gerade meine Frage, ob man das Computer abhängig machen kann ;)
Firewall klingt gut, probiere ich mal aus, ist natürlich etwas unflexibel, naja.
