Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Schreibrechte auf Laufwerk C entziehen - Win 7 - Server 2008 R2

Frage Microsoft Windows Userverwaltung

Mitglied: hochmohr

hochmohr (Level 1) - Jetzt verbinden

06.12.2011 um 19:33 Uhr, 9237 Aufrufe, 8 Kommentare

Hallo,

meine Schüler sollen keine Dateien mehr auf Laufwerk C:\ anlegen können.
Leserechte sollen (auch für die Ausbildung) erhalten bleiben.

Unter Win 7 haben Domänenbenutzer aber das Recht, eigene Ordner anzulegen. Außerdem

. Kann man dieses Recht ohne Probleme zu verursachen entziehen?
. Wenn ja... geht das einfach über eine Gruppenrichtlinie (ohne dass man von PC zu PC "ziehen" muss)?





Danke für die Hilfe im Voraus

Thomas
Mitglied: gemini
06.12.2011 um 19:58 Uhr
Hallo Thomas,

unter Eigenschaften von C: > Sicherheit > Erweitert > Berechtigungen gibt es eine ACE, die Authentifizierten Benutzern das Anlegen von Ordnern unter C: explizit erlaubt.
Das könntest du versuchsweise mal entziehen. In Unterordnern von C: können sie weiterhin Ordner erstellen (das erlaubt die ACE darüber).

Die Rechte kannst du ggfs. mit den Policy Preferencies einstellen oder halt per Script mit xcacls oder fsutil.

Ich würde dir in jedem eine ausgiebige Testphase ans Herz legen bevor du da etwas in deiner Domäne ausrollst.
Insb. solltest du die Auswirkungen testen und dass die Rechte mit dem Mittel deiner Wahl auch richtig gesetzt werden.

Gruß,
gemini
Bitte warten ..
Mitglied: hochmohr
06.12.2011 um 20:31 Uhr
Hallo gemini,

danke für die Rückmeldung. Werde ich einmal ausprobieren.
Vielleicht hat ja auch schon jemand weitere Erfahrungen damit gemacht.

Ein ähnliches Problem stellt sich mir mit den "öffentlichen" Bibliotheken. Die Schüler sollen diese nicht nutzen können.
Ein einfaches Löschen des Pfades zerstört aber anscheinend die ganze Bibliotheks-Logik, so dass diese danach nicht mehr funktionieren.

Auch da muss ich versuchen, die Schreibrechte wegzunehmen.


Gruß

Thomas
Bitte warten ..
Mitglied: hmarkus
06.12.2011 um 20:55 Uhr
Guten Abend Thomas,

ich blende Laufwerk c: für die normalen Domänenbenutzer aus (via GPO). Das steht natürlich Deiner Anforderung entgegen, dass die Schüler auf C: Leserecht brauchen, Frage: wofür?

Die "Eigenen Dateien" der Benutzer liegen bei uns auf dem Server (Ordnerumleitung via GPO). Natürlich ist das für viele Ungewohnt (dass c: nicht da ist), aber aus Gründen des Datenschutzes brauchten wir eine sichere Möglichkeit zu verhindern, das jemand persönliche Daten allgemein zugänglich speichert.

Markus
Bitte warten ..
Mitglied: hochmohr
06.12.2011 um 22:05 Uhr
Hallo Markus,

gerade im Informatik-Unterricht kann es manchmal sinnvoll sein, auch einmal in das "Innenleben" reinschauen zu können.

Mal sehen, vielleicht blende ich das Laufwerk auch aus, werde es aber zunächst mit den Zugriffsrechten versuchen.

Eine Nachfrage: Was passiert mit so etwas wie TEMP-Verzeichnisse oder auch die öffentlichen Bibliotheken. Sind diese dann auch "verschwunden" ?


Danke für die Anmerkung,

Thomas
Bitte warten ..
Mitglied: hmarkus
06.12.2011 um 22:24 Uhr
Zitat von hochmohr:
gerade im Informatik-Unterricht kann es manchmal sinnvoll sein, auch einmal in das "Innenleben" reinschauen zu
können.
genau das sehen bei uns einige Dozenten als Problem, die wollen Grundlagen (bei uns Windows XP) vermitteln und dann kann man noch nicht mal auf dem Laufwerk c: eine Ordnerstruktur anlegen.

Ich hab mich bisher stur gestellt und in der Chefetage zieht das Argument mit dem Datenschutz am meisten.

Eine Nachfrage: Was passiert mit so etwas wie TEMP-Verzeichnisse oder auch die öffentlichen Bibliotheken. Sind diese dann
auch "verschwunden" ?
Für Windows 7 kann ich da nicht viel zu sagen. Bei uns liegen "öffentliche" Ordner auch auf dem Server (z.B. ein Ordner Datentausch), die User haben eine Verknüpfung auf dem Desktop und können darauf zugreifen, allerdings auch hier ohne Schreibrecht.

Ich hab gerade mal gegoogelt, es gibt wohl auch die Möglichkeit, dem User das Schreibrecht für bestimmte Laufwerke zu entziehen. Ich hab das nie gemacht, aber hier http://www.ffb.shuttle.de/pluto/ovtgnetz/gruppenrichtlinien.htm im Unterpunkt "Berechtigungen für lokale Laufwerke und Dateien entziehen bzw. zuweisen" steht etwas dazu.

Der Unterschied ist, dass das Ausblenden der Laufwerke auf Benutzerebene Erfolgt, jedoch die Berechtigungen für das Dateisystem in den Computereinstellungen festgelegt werden.

Markus
Bitte warten ..
Mitglied: DerWoWusste
07.12.2011 um 08:44 Uhr
Moin.

Du kannst das ohne Weiteres lösen. Per GPO im Bereich Computerkonfig - Policies - Windows Settings - Security Settings - File System kannst Du Rechte auf beliebige Pfade verändern. Authenticated users oder Users kannst Du dort über "advanced" das Recht zum Ordner erstellen nehmen (anwenden auf: nur dieser Ordner). Teste es vorher aus!
Wir haben das so auf einigen PCs gelöst.
Bitte warten ..
Mitglied: hochmohr
07.12.2011 um 15:40 Uhr
Hallo,

danke für die Ideen.

Meine Lösung sieht jetzt zunächst so aus: Per GPO wird der Zugriff auf C:\ erst einmal generell verhindert.
Das führte aber zu einem "lustigen" Effekt: Man konnte danach noch in die öffentliche Bibliothek schreiben. Die Dateien waren da, aber beim erneuten Aufrufen der Bibliothek nicht mehr sichtbar :! Wenn man z.B. unter Excel die "zuletzt aufgerufenen" Dateien ansah, konnte man die Datei sogar wieder editieren.
Als Ausweg habe ich über die oben genannte GPO noch jedem die Zugriffsrechte auf die öffentlichen Bibliotheken explizit entzogen. Damit ist dieser Spuk auch vorbei.

Die Einschränkungen auf C:\ kann ich jetzt nach und nach bei Bedarf lockern. Aber für's Erste geht es jetzt.

Danke

Thomas
Bitte warten ..
Mitglied: DerWoWusste
07.12.2011 um 21:29 Uhr
Die Einschränkungen auf C:\ kann ich jetzt nach und nach bei Bedarf lockern
Oh Gott.
Aber für's Erste geht es jetzt.
Ja, für die ersten Minuten geht vieles. Sobald aber der erste Kollege in leitender Position irgendwas dringend machen muss und dann nicht kann, gibt's Senge. Das Vorgehen halte ich für sehr gefährlich. Ich habe genau beschrieben, was zu ändern ist, um zu erreichen, was Du willst.
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (14)

Frage von liquidbase zum Thema Windows Update ...