Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Schreibzugriff auf lokale Partitionen verbieten über GPO

Frage Microsoft Windows Server

Mitglied: ADStarter

ADStarter (Level 1) - Jetzt verbinden

25.10.2010, aktualisiert 15:43 Uhr, 6043 Aufrufe, 8 Kommentare

Ich habe mir ein Testsystem aufgebaut. 2 DC und 2 Client PC's. Die DC laufen jeweils mit Windows 2003 und die Client PC's mit Windows XP. Das AD läuft auch Fehlerfrei. Der User kann sich also an den Client PC ganz normal anmelden und hat dann auch Zugriff über das DFS. Jedoch hat der User außerdem auch vollen Zugriff auf die lokalen Partitionen in seinem Client PC. Ist es möglich über ein GPO, dass ich ganze Partition oder wenigstens Ordner auf seinem lokalen Rechner sperren kann. Also ich weiß, dass ich mich lokal auf dem Rechner als lokaler Admin anmelden kann und dann Ordner sperren kann etc. Aber so etwa müsste doch auch über die GPO's möglich sein oder?
Ich habe ja selbst schon einiges probiert aber konnten nicht die richtige Einstellung finden. Ich habe mir eine GPO erstellt und in ihr unter Computer Configuration->Windows Einstellungen->Sicherheitseinstellungen->Datei System mal rumprobiert. Aber anscheinend ist, diese Funktion für etas anderes da. Jedenfalls habe ich es damit nicht hinbekommen.
Mitglied: Didau23
25.10.2010 um 15:53 Uhr
Moin zurück!

Google lässt grüssen!

http://www.benutzer.de/Gruppenrichtlinie,_Laufwerke_sperren.html


Tschö!
Bitte warten ..
Mitglied: ADStarter
25.10.2010 um 16:04 Uhr
Das habe ich selbst schon gefunden^^

Es löst aber nicht mein Problem. Ich möchte die Festplatten/Partitionen nicht verstecken. Ich möchte zum Beispiel, dass die Gesamte Partition D für den User A gesperrt ist, er darauf also nicht schreiben kann. Er soll sich also die gesamte Partition anschauen können jedoch nicht darauf schreiben. Und auf dieser Partition möchte ich dann einen Ordner erstellen in dem er vollen Schreibzugriff hat.

Ich hoffe, ich habe mich jetzt besser ausgedrückt
Bitte warten ..
Mitglied: 60730
25.10.2010 um 16:18 Uhr
Auch dir keine Zeile des Grußes....

Zitat von ADStarter:
Ich hoffe, ich ahbe mich jetzt besser ausgedrückt

Besser könnte ich es auch nicht -aber deine Returntaste klemmt.

[OT]
in welchem Bundesland sind denn jetzt schon wieder Ferien?
[/OT]

Ich finde sowas extrem cacke, um nicht zu schreiben xcacls...
Bitte warten ..
Mitglied: ADStarter
26.10.2010 um 08:21 Uhr
Was genau stört dich denn an meiner Frage?
Bitte warten ..
Mitglied: 60730
26.10.2010 um 09:03 Uhr
Zitat von ADStarter:
Was genau stört dich denn an meiner Frage?
Nix,

  • nette Begrüßung
  • leicht zu lesender Text dank Zeilenschalter
  • den Sinn dahinter

Also alle Punkte die eine ordentliche Frage - die du so auch deinem Chef stellen würdest - haben muß.
Bitte warten ..
Mitglied: ADStarter
26.10.2010 um 09:27 Uhr
Okay, dann hätte ich gern eine zweite Chance^^

Hallo liebe Administratoren-Community.
Ich beschäftige mich seit ein paar Tagen mit Active Directory und bin dadurch auch auf diese Seite/Forum gestoßen. Viele Beiträge konnten mir schon helfen, jedoch habe ich ein Problem zu dem ich auch über die Suche nichts finden konnte. Möglichweise kann mir jemand von euch helfen.
Ich habe eine Domain. Diese besteht aus 2 Domaincontrollern und zwei Client-PC’s. Ich habe verschiedene Benutzerkonten eingerichtet. Im Moment beschäftige ich mich mit den GPO’s. Ist es möglich, dass ich einem User über die GPO’s untersagen kann bestimmte Ordner auf seinem lokalen Client PC zu verändern?
Als Beispiel:
Benutzer A soll sich an seinem Client PC an die Domain anmelden. Er soll jedoch nur in Ordner „Arbeit“ schreiben können. Ordner „Arbeit“ befindet sich auf seinem Client-PC auf Partition D. Alle anderen Ordner auf Partition D sollen für ihn zwar sichtbar sein, aber er soll dort nicht schreiben dürfen oder eine bestehende Datei verändern können.
Der Sinn liegt darin, dass die Nutzer daran gehindert werden sollen irgendwelche mist auf ihrem Client PC zu machen.
Ich könnte das ganze realisieren, indem ich mich als Lokaler Admin auf den Client PC’s anmelde und die Berechtigungen so setze. Jedoch denke ich, dass es auch mit einem GPO geht.

Ich hoffe ihr könnt mir helfen.
Bitte warten ..
Mitglied: 60730
26.10.2010 um 09:50 Uhr
Na geht doch

GPO gibt es viele Wege dir bleibt da eigentlich nur einer übrig.

  • Es gibt Startupscripte auch für Computer
  • Diese laufen vor der Anmeldung des Users mit Domainadminrechten
  • Der Befehl in meinem ersten dient dazu NTFS Rechte zu ändern/ersetzen.
  • Eine Gruppe deiner User - weil man nix auf Userebene immer auf Gruppenebene baut
  • Du brauchst also nur ein Startupscript für die Rechner - das intelligenterweise prüft ob es seinen Job schon erledigt hat - und nur einmalig laufen muß (das dauert ja logischerweise lange, wenn die Platte viele Daten hat).
  • Ein weiteres (Userbezogenes) Script, das dem User, der vor der Kiste ist innerhalb der vom vorherigen Script gesetzten Rechte Struktur zusätzliche Rechte gibt. (Wenn du das wirklich willst)
  • Diesen Xcacls Befehl der in beiden Scripten genutzt wird.

Gruß
Bitte warten ..
Mitglied: ADStarter
26.10.2010 um 10:11 Uhr
Da liegt ja noch einiges vor mir.
Danke für die zeitnahe und strukturierte Antwort.

Aber eine Frage hätte ich dazu noch. Wenn ich eine GPO erstelle/bearbeite gibt es doch bei Computer Configuration->Windows Settings->Security Settings->File System
Wofür ist das denn gut? Ich dachte bisher immer, das es etwas mit meinem Problem zu tun hat.
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Windows Server
AD: Lokale Anmeldung verbieten aber Freigabe mounten zulassen (10)

Frage von Hubert.Hasenfuss zum Thema Windows Server ...

Windows Userverwaltung
gelöst Lokale Laufwerksberechtigung via GPO (42)

Frage von WinWord zum Thema Windows Userverwaltung ...

Windows Netzwerk
Lokale Anmeldung an Server zulassen trotz GPO mit lokalem Benutzer (2)

Frage von jochenmuell zum Thema Windows Netzwerk ...

Windows Server
GPO - Lokale Gruppe mit immer gleichen SID (6)

Frage von fluluk zum Thema Windows Server ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (33)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...

Windows Netzwerk
Windows 10 RDP geht nicht (18)

Frage von Fiasko zum Thema Windows Netzwerk ...