winlicli
Goto Top

Nicht Admins erlauben Verknüpfungen zu löschen

Hallo zusammen,

ich bin dabei den Usern die lokale Admin rechte zu entziehen.

Dabei stoße ich auf eine Probleme und somit Fragen.

Die Updates zb Java wären dann nicht mehr vom User aus möglich. Selbst wenn diese auf automatisch gestellt sind.

Vorallem würde ich gerne wissen, wie ich es erlauben kann, dass User Verknüpfungen löschen können.
Momentan kommt die Admin Abfrage.

Ich würde das auch als GPO verteilen wollen.

Hoffe auf Tipps.

Danke euch.

Lg

Content-Key: 333012

Url: https://administrator.de/contentid/333012

Ausgedruckt am: 19.03.2024 um 10:03 Uhr

Mitglied: DerWoWusste
DerWoWusste 23.03.2017 aktualisiert um 13:52:05 Uhr
Goto Top
Hi.

Ganz simpel:
Verknüpfungen auf dem eigenen Desktop (%username%\desktop) können sie bereits jetzt löschen. Verkn. auf c:\users\public\desktop (diese erscheinen dem User auch auf dem eigenen Desktop zu liegen) nicht, dazu braucht es Adminrechte. Willst Du das ändern, musst Du per GPO die Schreibrechte auf c:\users\public\desktop an User (bzw. Gruppe "auth. Benutzer") vergeben.

Für Software wie java JRE kannst Du den wsus package publisher (ein Addon für WSUS, open source und kostenlos) zum Verteilen nutzen.
Mitglied: WinLiCLI
WinLiCLI 23.03.2017 um 11:45:10 Uhr
Goto Top
Super danke.

Weist du auch welche GPO das genau ist?
Mitglied: DerWoWusste
Lösung DerWoWusste 23.03.2017 um 11:52:15 Uhr
Goto Top
Mitglied: WinLiCLI
WinLiCLI 23.03.2017 um 12:18:46 Uhr
Goto Top
Ich danke dir :D

Lg
Mitglied: WinLiCLI
WinLiCLI 23.03.2017 um 12:43:59 Uhr
Goto Top
Wie ist es wenn ich einer Gruppe das Recht "Ändern" gebe, dies auch funktioniert und nun möchte ich denen das Recht wieder entziehen.

Muss ich das in der GPO wieder umstellen und eine Zeit laufen lassen oder kann ich die GPO einfach entfernen?

In meinen Tests habe ich die GPO entfern, das Recht "Ändern" ist aber geblieben, weshalb ich mich frage ob es einfach nur dauert oder ob das nun so bleibt.

Lg
Mitglied: DerWoWusste
DerWoWusste 23.03.2017 um 12:54:09 Uhr
Goto Top
Du musst das rückgängig machen. Der GPO-Background-Refresh wird das dann nach einer Zeit (default 90 min) regeln.
Mitglied: WinLiCLI
WinLiCLI 23.03.2017 um 15:17:33 Uhr
Goto Top
Was mich sehr stark wundert ist, wenn ich auf dem ordner unter c:\users\public\desktop "Ändern" zulasse und ihm dieses danach wieder max. Schreiben gebe und gpupdate /force drüber laufen lasse, kann der User immer noch löschen.

Auch nach einem Neustart des Rechners kann der User immer noch löschen obwohl er maximal lesen, ausführen und schreiben kann.

Da stimmt doch was nicht.
Mitglied: DerWoWusste
DerWoWusste 23.03.2017 um 15:27:57 Uhr
Goto Top
1. wozu teilst Du ihm denn noch schreiben zu, wenn er nicht schreiben soll?
2. prüfe doch zunächst mal, ob A die neue GPO zieht, also die rechte angepasst wurden und B ob die Verknüpfung wirklich auf ...public\desktop liegt und nicht auf dem eigenen Desktop.
Mitglied: WinLiCLI
WinLiCLI 23.03.2017 um 15:52:44 Uhr
Goto Top
die Gpo greift wirklich.

Sobald ich Ändern und Schreiben weg ziehe kommt die Meldung "Zugriff verweigert"

Mit dem Recht "Ändern" hat der User ja automatisch auch schreiben.

Funktioniert es den bei Ihnen wenn Sie einem Benutzer "Ändern" auf einem Ordner erlauben und es dann wieder weg ziehen?

Lg
Mitglied: DerWoWusste
DerWoWusste 23.03.2017 um 15:55:52 Uhr
Goto Top
Ja, bislang haben Änderungen da immer funktioniert. Willst Du sagen, dass es bei Dir nur bei manueller Rechteänderung funktioniert?
Mitglied: WinLiCLI
WinLiCLI 23.03.2017 um 16:00:02 Uhr
Goto Top
Das was ich feststelle ist, das alleine mit dem Recht "Schreiben" man erstellen und auch löschen kann ohne das "Ändern" ausgewählt worden ist.

Das ist doch nicht normal.
Mitglied: DerWoWusste
DerWoWusste 23.03.2017 um 16:58:43 Uhr
Goto Top
Oh Mann face-wink Du kannst doch ein Dokument ändern und alles weglöschen und abspeichern - dann ist es auch leer. Was ist denn nun so schwer daran, schreiben auch wegzunehmen?
Mitglied: WinLiCLI
WinLiCLI 24.03.2017 um 08:59:25 Uhr
Goto Top
weil das Recht "Schreiben" nicht für löschen steht.

In diesem Fall aber schon.

Was wäre zb. wenn ich einem User Schreibrechte auf einem Ordner geben möchte, dieser aber nichts daraus löschen kann?
Das wäre ja dann so nicht möglich oder?

Lg
Mitglied: DerWoWusste
DerWoWusste 24.03.2017 aktualisiert um 09:19:32 Uhr
Goto Top
Das Recht "Schreiben" umfasst löschen. Will man das nicht(und ich betone, dass man das in der Regel schon will, denn die viele Anwendungen brauchen dies Recht, um überhaupt Dateien schreiben zu können), dann kann man in den erweiterten Berechtigungen den Haken bei "Löschen" entfernen.
Mitglied: WinLiCLI
WinLiCLI 24.03.2017 um 09:42:24 Uhr
Goto Top
Das Recht "Schreiben" umfasst nicht das löschen.
Ich habe es eben mal selbst auf einem Sever überprüft.

Hier steht es auch nochmal drin.

http://www.zdnet.de/39152927/grundlegendes-zu-ntfs-berechtigungen-und-d ...

https://www.windowspro.de/wolfgang-sommergut/berechtigungen-fuer-dateien ...
Mitglied: DerWoWusste
DerWoWusste 24.03.2017 aktualisiert um 09:46:45 Uhr
Goto Top
Doch, wenn wir von dem Selben "Schreiben" reden würden...
Ich spreche von dem, welches man direkt dort setzen kann, wenn man den Berechtigungsdialog öffnet. Also nicht in den erweiterten, granularen Berechtigungen - dort gibt es "Schreiben" noch einmal als "Einzelrecht", und das wirst Du meinen. Nein, das umfasst nichts weiter als schreiben, das ist richtig.

Haben wir nun genug diese Geschichte diskutiert? face-wink
Mitglied: WinLiCLI
WinLiCLI 24.03.2017 um 10:57:42 Uhr
Goto Top
Ja.

Du hast mir ja schon zur Lösung geholfen.

Danke dir.