IThome

Schau mal in die Eingabe- und Ausgabefilter innerhalb der RRAS-Verwaltung ... Ist das auch ein Domänencontroller ? Ist er auch DNS- und WINS-Server ? Wieviele Netzwerkkarten hat er ?

Fast ;) Freigabeberechtigungen gelten nur, wenn man via Redirector darauf zugreift, vom Netzwerk aus etwa. Damit wird überhaupt im Netzwerk verfügbar gemacht. Ob jemand darauf zugreifen darf, hängt jetzt nicht nur mit der Freigabeberechtigung zusammen, sondern auch mit der NTFS-Berechtigungen des Ordners, der freigegeben wurde. Und hier gilt, dass die am meisten einschränkende Berechtigung die effektive Berechtigung ist. Ist das Dateisystem allerdingsw nicht NTFS, dann gilt nur die Freigabeberechtigung. Wird lokal auf den Ordner zugegriffen (beispielsweise man meldet sich am Terminalserver an, der auch Ordner freigegeben hat), dann gelten die Freigabeberechtigungen gar nicht, sondern nur die NTFS-Berechtigungen. Was man also mit Dateien und Ordnern machen darf, auf die man über eine Freigabe zugreift hängt immer vom Dateisystem des freigebenden Rechner und von beiden Berechtigungen ab (wenn man nicht gerade mit \\<server> darauf zugreift, sondern mit dem Explorer). Eine Verweigerung hat meistens Vorrang vor einer Erlaubnis, schau mal in meinem letzten Post, es gibt da eine Ausnahme (NTFS) ...

Dann hat niemand mehr Zugriff, da eine Verweigerung VOR einer Gewährung erfolgt. Erzeuge eine Gruppe, in der sich alle Benutzer befinden, die zugreifen sollen und berechtige sie auf Freigabe- wie auf NTFS-Ebene. Dann können nur die zugreifen, die sollen. Den gleichen Effekt erzielst Du aber auch, wenn Du auf Freigabeebene Jeder benutzt und auf NTFS-Ebene diese spezielle Gruppe (und auch umgekehrt), der erste Vorschlag ist aber sauberer ... - Berechtigungen sind kumulativ. Ist ein User Mitglied in Gruppe A und Gruppe B, Gruppe A hat Lesen und Gruppe B hat Ändern, hat er effektiv ändern. - Verweigerungen sind vorrangig. Ist ein User Mitglied in Gruppe A und Gruppe B, Gruppe A wird Lesen verweigert und Gruppe B hat Vollzugriff, wird er verweigert. - Im Zusammenspiel von Freigabe- und NTFS-Berechtigungen gilt, dass die am meisten einschränkende Berechtigung die effektive Berechtigung ist. Ist in der Freigabe Jeder - Vollzugriff definiert und im NTFS-Ordner (der freigegeben wurde) Jeder - Lesen, darf nur gelesen werden (restriktiver als Vollzugriff) - Ein explizites Erlauben überschreibt ein geerbtes Verweigern. Ist auf höherer Ebene für eine Gruppe der Zugriff verweigert worden und wird diese Verweigerung nacht unten veerbt und hake ich irgendwo weiter unten ein Erlauben für diese Gruppe an, darf sie ab dort zugreifen ...

Wenn die Freigabe auf Vollzugriff steht und die NTFS-Berechtigung auf Ändern, dann kann jeder Benutzer die Berechtigungen aller Dateien ändern, die er erstellt hat (er ist der Besitzer). Steht die Freigabe allerdings nur auf Ändern, kann er das selbst als Besitzer nicht (wenn er nicht gleichzeitig Administrator ist) ... Im Übrigen ist das Entfernen aller Haken auch kein implizites Verweigern, diese Gruppe wird einfach nur nicht berücksichtigt ...

Wenn Du z.B. Dinge ausführen möchtest, für die der angemeldete Benutzer keine Berechtigungen hat (Kopieren in bestimmte Orte oder so), denn ein Computerscript wird im Sicherheitskontext des lokalen Systems durchgeführt ...

Habe ich so zwar noch nicht ausprobiert, aber ich denke nicht (und es funktioniert bei Dir ja auch nicht) ...

Ich denke, weil es ein Computerscript ist und der Buchstabe mit einem Benutzerscript zugewiesen wird. Wenn Du auf der OU mit den Notebooks eine Richtlinie definierst, Im Computerteil Loopback konfigurierst und im Benutzerteil das Abmeldescript, dann wird es nur ausgeführt, wenn jemand an dem Notebook angemeldet ist. Meldet sich dieser User an einem Desktop-PC an, wird das Script nicht ausgeführt ...

Aha, ein Firewallproblem (wie so oft), danke für die Rückmeldung ... :)

Nativer Modus bedeutet, dass sich keine NT4 BDCs mehr in der Domäne befinden dürfen. Im nativen Modus sind z.B. andere Gruppentypen/bereiche möglich, Gruppenverschachtelungen sind möglich und eben auch RAS-Richtlinien ...

Du kannst in das Anmeldescript auch /PERSISTENT:NO schreiben, dann gelten die Laufwerke nur für die Sitzung ... Ebenso kannst Du ein Abmeldescript via GPO verteilen, was nur für User gilt, die an den Notebooks angemeldet sind (Loopbackverarbeitung für die Notebooks).

Bin ich hier der einzige aus Kiel ? Das geht ja gar nich ... :D

Sowas kannst Du über eine RAS-Richtlinie ermöglichen - unter Einwähleinschränkungen - "Zugriff nur an folgenden Tagen und Uhrzeiten gewähren" ... Um RAS-Richtlinien benutzen zu können, muss sich die Domäne im nativen Modus befinden ...

Das funktioniert auch ohne RRAS. Du musst nur den Regkey "IpEnableRouter" erzeugen und auf 1 setzen ... How To Enable TCP/IP Forwarding in Windows Server 2003 Auf dem Server selbst müssen keine Routen gesetzt werden und wenn ein Default Gateway benutzt werden soll, dann nur auf einer Karte des Servers eintragen.

Meine ich doch, dann kann der TO sein Vorhaben nicht durchführen, weil er einen Server benötigt ...

Wenn das Modem direkt an den Rechner angeschlossen wurde, dann kannst Du den Siemens Router ausschliessen. Davon ausgehend, dass auf dem Rechner keine Personal Firewall läuft, ist Deine Seite wahrscheinlich sauber. Also muss Du zwangsläufig Deinen Administrator in der Firma ansprechen. Laufen denn VPN-Verbindungen anderer Benutzer oder bist Du der erste, der ein VPN zur Firma herstellt ?

Sharepoint Services lassen sich auf einer XP-Maschine installieren ?

Was für ein Server steht auf der Firmenseite ? Funktioniert es, wenn das Modem direkt am PC angeschlossen ist und Du eine "Wählverbindung" aufbaust ?

Sie dürfen nicht die Berechtigung "Löschen" haben und ebenso nicht die Berechtigung "Unterordner und Dateien löschen" im übergeordneten Folder . Du wirst aber sehen, dass das nicht praktikabel ist ...

Es macht also nichts, dass die Leute nicht umbenennen können und Temp-Dateien die Ordner füllen ?

Sehe ich genauso, geht nicht, alleine schon aus Lizenzgründen ...

Der Entzug der Löschen-Berechtigung zieht aber auch nach sich, dass User Dateien nicht mehr umbenennen können. Weiterhin werden temporäre Dateien natürlich auch nicht mehr gelöscht (von Word z.B.) ...

Was hast Du denn vor ?

Huch, das habe ich ja total überlesen , sorry

Oh ja, das ist er, ich weiss das jetzt ... :D

Ich habe den Regkey in dem obigen Post noch mal verbessert, das war erst der falsche (für XP) ...