6
Verbergen von Ordnern im Netzwerk
Hallo,
folgende Situation: im Netzwerk können sich verschiedene Nutzer anmelden und haben dadurch Zugriff auf die Freigegebenen Ordner auf dem Windows 2003 Server. Nun kommt eine Gruppe "VPN-Nutzer" hinzu für die lediglich ein Ordner in der Verzeichnisstruktur freigegeben ist. Soweit klappt mit der Ordnerfreigabe auch alles. Gibt ein Mitglied der Gruppe "VPN-Nutzer" den Servernamen ("\\Server0815\") im Explorer ein, sieht er alle freigegebenen Verzeichnisse, auch wenn er keinen Zugriff darauf hat.
Gibt es nun eine Möglichkeit
1. den Zugriff auf das Wurzelverzeichnis ("\\Server0815\") für bestimmte Nutzer oder Gruppen zu verweigern, oder
2. Alle Ordner auszublenden auf die der Nutzer sowieso keinen Zugriff hat.
Version 1 wäre mir die Liebste.
Die Möglichkeit von "Access-based Enumeration" habe ich schon ausprobiert, diese blendet jedoch nur Unterordner aus. Somit müsste ich die "Access-based Enumeration" auf das Wurzelverzeichnis anwenden, dafür habe ich jedoch auch keine Möglichkeit gefunden.
Bin für alle Vorschläge und Hinweise dankbar.
Grüße Nebulus
folgende Situation: im Netzwerk können sich verschiedene Nutzer anmelden und haben dadurch Zugriff auf die Freigegebenen Ordner auf dem Windows 2003 Server. Nun kommt eine Gruppe "VPN-Nutzer" hinzu für die lediglich ein Ordner in der Verzeichnisstruktur freigegeben ist. Soweit klappt mit der Ordnerfreigabe auch alles. Gibt ein Mitglied der Gruppe "VPN-Nutzer" den Servernamen ("\\Server0815\") im Explorer ein, sieht er alle freigegebenen Verzeichnisse, auch wenn er keinen Zugriff darauf hat.
Gibt es nun eine Möglichkeit
1. den Zugriff auf das Wurzelverzeichnis ("\\Server0815\") für bestimmte Nutzer oder Gruppen zu verweigern, oder
2. Alle Ordner auszublenden auf die der Nutzer sowieso keinen Zugriff hat.
Version 1 wäre mir die Liebste.
Die Möglichkeit von "Access-based Enumeration" habe ich schon ausprobiert, diese blendet jedoch nur Unterordner aus. Somit müsste ich die "Access-based Enumeration" auf das Wurzelverzeichnis anwenden, dafür habe ich jedoch auch keine Möglichkeit gefunden.
Bin für alle Vorschläge und Hinweise dankbar.
Grüße Nebulus
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 81783
Url: https://administrator.de/contentid/81783
Printed on: April 23, 2024 at 17:04 o'clock
6 Comments
Latest comment
Normalerweise »sehen« Benutzer in der Auflistung der in der Freigabe eines Fileservers vorhandenen Unterordner auch solche, für die sie gar keine Berechtigung besitzen. Access-based Enumeration (ABE) ändert das grundlegend: Hiermit können Administratoren von Windows Server 2003 Service-Pack 1 für Netzwerkbenutzer die Sichtbarkeit von Unterordnern automatisch auf solche eingrenzen, auf die jeweiligen Benutzer auch tatsächlich Zugriff haben.
http://www.microsoft.com/germany/technet/sicherheit/newsletter/abe.mspx
http://www.microsoft.com/germany/technet/sicherheit/newsletter/abe.mspx
Eben, "Unterordner"... das Problem liegt aber in der Tatsache, daß die Freigegebenen Ordner quasi Unterordner vom Wurzelverzeichnis des (Datei-)Servers sind. Auf das Wurzelverzeichnis ("\\Server0815\") kann ich aber ABE nicht anwenden. Ich habe zumindest keine Möglichkeit gefunden.
Kenne ABE nicht muss ich mal probieren.
Habe das Problem eben auch.
Vielen Dank Supaman!!
Aber zum Problem, eine ganz simple und einfach Lösung ist:
Beim Freigabe-Name am Schluss ein $ einsetzten. Der Ordner ist nicht mehr sichtbar!
Nicht vergessen: Beim Mappen oder Zugreiffen auf den Ordner muss das $ eingegeben werden. Und der zweite Nachteil ist, dass Personen welche Zugriff haben diesen auch nicht mehr sehen.
Dageben kann der Ordner einfach mit dem Login Script als Netzwerklaufwerk gemappt werden und der Benutzer sieht in wieder.
Habe das Problem eben auch.
Vielen Dank Supaman!!
Aber zum Problem, eine ganz simple und einfach Lösung ist:
Beim Freigabe-Name am Schluss ein $ einsetzten. Der Ordner ist nicht mehr sichtbar!
Nicht vergessen: Beim Mappen oder Zugreiffen auf den Ordner muss das $ eingegeben werden. Und der zweite Nachteil ist, dass Personen welche Zugriff haben diesen auch nicht mehr sehen.
Dageben kann der Ordner einfach mit dem Login Script als Netzwerklaufwerk gemappt werden und der Benutzer sieht in wieder.
Ja, an die Möglichkeit mit dem $ am Ende hatte ich auch gedacht. Nur leider sind das zu viele Ordner und um Anderen gibt es zu viele Nutzer die darauf Zugriff haben und darauf angewiesen sind.
Ja dann ist diese Idee nicht wirklich befriedigend.
Hallo,
ein weiterer Ansatz bietet der Ansatz über die Einstellungen des DNS-Servers. Dort hat man über den Reiter "Sicherheit" die Möglichkeit Benutzer hinzuzufügen, für die der Zugang gewährt bzw. verboten wird (soweit die Theorie). Nur leider funktioniert das bei mir nicht. Ich habe als Nutzer "xyz" auch weiterhin Zugang zum Wurzelverzeichnis ("\\Server0815\") auch wenn für den Benutzer der Zugang explizit gesperrt wurde.
ein weiterer Ansatz bietet der Ansatz über die Einstellungen des DNS-Servers. Dort hat man über den Reiter "Sicherheit" die Möglichkeit Benutzer hinzuzufügen, für die der Zugang gewährt bzw. verboten wird (soweit die Theorie). Nur leider funktioniert das bei mir nicht. Ich habe als Nutzer "xyz" auch weiterhin Zugang zum Wurzelverzeichnis ("\\Server0815\") auch wenn für den Benutzer der Zugang explizit gesperrt wurde.
