tt7 10 Geschrieben 30. Januar 2007 Melden Teilen Geschrieben 30. Januar 2007 Guten abend ich habe eine W2k3 Domäne und XP Clients. Ich arbeite mit servergespeicherten Profilen. Auf dem PC WS01 melden sich 2 User an. User1 und User2. Beiden Usern habe ich per GPO aus folgenden Gründen lokale Administrationsrechte eingeräumt: - die User sollen Software installieren können - einige Prgramme laufen nicht sauber auf dem PC als normale Benutzer Nun habe ich folgendes Problem. Wenn sich User1 an dem PC anmeldet, kann er über Dokumente Einstellungen usw. auf das Profil von User2 zugreifen. Wie kann ich das verhindern? Vielen Dank im Vorraus für Eure Hilfe. tt7 Zitieren Link zu diesem Kommentar
colarum 10 Geschrieben 31. Januar 2007 Melden Teilen Geschrieben 31. Januar 2007 mit ntfs rechten würd ich mal sagen wenn du dich als user "administrator" anmeldest und dann die ace`s für jeder usw... löschst. dann gibst du nur dem jeweiligen user z.b. user1 vollzugriff und bei allen anderen einträgen nimmst du die häkchen raus. aber sperr dich dabei als user "administrator" selber nicht aus. ich würd das so machen denke das funktioniert. Zitieren Link zu diesem Kommentar
schaedld 10 Geschrieben 31. Januar 2007 Melden Teilen Geschrieben 31. Januar 2007 Ich würde ein Login-Script erstellen welche zuerst folgendes prüft: 1. Welcher Benutzer hat sich angemeldet? 2. Ist er in der Administratoren-Gruppe? 3. Wenn ja, dann Überprüfung ob das Verzeichnis in C:\Documents & Settings existiert 4. Die Benutzerrechte nur für den angemeldeten Benutzer auf sein Profil legen. Denke so könntest Du, ohne dass Du bei diversen Clients die ACL's abändern musst, automatisieren. Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 31. Januar 2007 Melden Teilen Geschrieben 31. Januar 2007 Noch eine Möglichkeit: konfiguriere serverbasierte Profile und lösche nach dem Abmelden die zwischengespeicherte, lokale Kopie des Profils via GPO, dann gibt es nix mehr zum Gucken. Den Ordner Eigene Dateien kannste auch umleiten, dann wird das Profil nicht so gross beim Übertragen ... Zitieren Link zu diesem Kommentar
tt7 10 Geschrieben 31. Januar 2007 Autor Melden Teilen Geschrieben 31. Januar 2007 Vielen Dank für eure schnellen Antworten: @colarum ich habe das Problem leider an mehreren PC´s mit mehreren Benutzern. Das wäre dann ne ziemlich aufwendige Sache. Hinzukommen die eventuell neuen Benutzer. @schaedld die idee ist gut, vielen dank. Ich kenn mich da nur nich so gut aus. wenn ich richtig liege, wäre es die einfachste möglichkeit, wenn man da das sicherheitsrecht WS01\Administrator verweigern könnte. Geht das? @IThome das habe ich bei dem Kunden schon mal angesprochen. Er meint, seine Mitarbeiter würden Ihre Daten nicht mehr finden, wenn Sie auf einem Netzlaufwer wären astatt im Ordner. Hinzu kommt, dass manche Profile bis zu 4GB haben, und manche Dateien 200-300MB. Die dann übers Netz zu öffen, das wäre nich so gut. Folgendes habe ich schon probiert. Ich habe per GPO dem lokalen Administrator in der loklen Richtlinie, das Recht genommen den Besitz zu übernehmen. Zusätzlich habe ich ein Default Profil im Ordner Netlogon angelegt und dort die Sicherheitsrechte geändert, und mit einem neuen User getestet. Hat nicht wirklich funktioniert. Dann habe ich per GPO auf dem Ordner Doku & Einst. mit Vererbung die Sicherheitsrechte geändert. Danach konnte ich mit dem Administrator nicht mehr wiklich viel anfangen. Also auch nichts. Dann habe ich nur den Profil Ordner beschränkt, Problem ist dass auf verschiedenen PC´s die Ordner anders heißen z.B. User1.001 und ähnliches, hat also auch nicht sauber funktioniert. Dann habe ich die Richlinie deaktiviert, die dem User Profil bei Erstellung Administratoren Sicherheistrechte hinzufügt. Das hat auch nichts gebracht, da sich das nur auf den Ordner auf dem Server auswirkt, und nicht auf dem Client. Was ich mir als nächstes überlegt habe, ist den User nur Hauptbenutzerrechte zu geben. Da ist jetzt die Frage, was da genau der Unteschied ist. Sind das nur die Sicherheitsrechte und die Registry, oder gibt es da noch mehr? Zitieren Link zu diesem Kommentar
schaedld 10 Geschrieben 31. Januar 2007 Melden Teilen Geschrieben 31. Januar 2007 die idee ist gut, vielen dank.Ich kenn mich da nur nich so gut aus. wenn ich richtig liege, wäre es die einfachste möglichkeit, wenn man da das sicherheitsrecht WS01\Administrator verweigern könnte. Geht das? Sobald der Anmeldename bekannt ist, kannst Du dann sagen C:\Doucments & Settings\Administrator mit Deny Rechten versehen. Ich verwende meistens C# und schreibe mir für solche Fälle ne kleine EXE oder wenn Du XP hast versuche mal mit der PowerShell ein Script zu erstellen, sollte eigenltich auch gehen. Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 31. Januar 2007 Melden Teilen Geschrieben 31. Januar 2007 Deswegen ja die Ordnerumleitung der Eigenen Dateien, wenn die Leute ihre riesigen Dateien dort speichern. Ausserdem merken die gar nicht, dass ihre Dateien im Netz sind. Um eine automatische Synchronisierung der Dateien zu verhindern kannst Du eine Richtlinie setzen ... Mit dem Öffnen übers Netz hast Du allerdings recht ... Zitieren Link zu diesem Kommentar
Das Urmel 10 Geschrieben 31. Januar 2007 Melden Teilen Geschrieben 31. Januar 2007 Hi tt7, Folgendes habe ich schon probiert.Ich habe per GPO dem lokalen Administrator in der loklen Richtlinie, Das bringt absolut nichts! Ein lokaler Admin ist Admin auf der lokalen Maschine und kann - sofern er nicht nur CB liest - alles darauf machen und sich die nötigen Rechte verschaffen. Deswegen ist er ja Admin ;) Einzig der Weg von IThome ist gangbar, Profile ins Netz und nichts davon mehr lokal lassen. Das Risiko dass die Benutzer aus den Maschinen Achterbahnen machen, ist dir klar? Ist der besonders fit hängt er den Domainadmin ab, dann hast du ein kleines aber lösbares Problem. Bezüglich der unterschiedlichen Rechte Benutzer versus Hauptbenutzer und Admin wer darf was? GruRili Tutorial Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.