Jump to content

Laufwerk c: dichtmachen?

warbird001

Von warbird001
in Windows Server Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

warbird001 Rising Star

warbird001   10

Geschrieben
Geschrieben

Hallo Alle

 

Um zu vermeiden das Nutzer Daten auf der Lokalen Platte ablegen will ich die

Zugriffsrechte auf der lokalen Festplatte Einschraenken.

 

Habe nun per GPO auf %SystemDrive%

 

Lesen/Ausfuehren

Ordnerinhalt Auflisten

Lesen

 

fuer "Jeder" erlaubt.

 

Abgesehen von System(Vollz.) und den Administratoren(Vollz.)

gibt es keine weiteren Eintraege.

Zusaetzlich habe ich auf %SystemDrive%\RECYCLER

Vollzugriff fuer "Jeder" gestattet.

 

Auf den ersten Blick scheint alles Normal zu sein und gut zu funktionieren.

 

Was meint ihr, sind mit diesen Einstelllungen Probleme zu Erwarten?

 

Ich wuerde das gleiche gerne mit c:\windows (%SystemRoot%)

und c:\programme machen.

Ist das eine gute Idee?

 

ciao

Stefan:wq

Link zu diesem Kommentar
Hansi Experienced

Hansi   10

Geschrieben
Geschrieben

mahlzeit und willkommen am Board,

 

 

du könntest die Laufwerke auch per GPO "ausblenden"! So brauchst du keine Befürchtung haben, das durch fehlende Sicherheitseinstellungen Probleme enstehen.

 

Beschreib mal ein wenig deine Umgebung? Hast du einen DC laufen oder gehts dir um einen lokalen client? Denke non domain PC..wegen der Gruppe "Jeder"!oder?

Link zu diesem Kommentar
Neomis Contributor

Neomis   10

Geschrieben
Geschrieben

 

 

du könntest die Laufwerke auch per GPO "ausblenden"! So brauchst du keine Befürchtung haben, das durch fehlende Sicherheitseinstellungen Probleme enstehen.

 

Das alleine hilft nicht viel...ne Verknüpfung auf C: ist schnell erstellt.

 

Also bei dem Windows- und dem Programme-Ordner, sowie dem Ordner Dokumente & Einstellungen, würde ich den Schreibzugriff gestatten, da du sonst wohl über kurz oder lang Probleme bekommen wirst.

Letzendlich kannst du den Zugriff nur erschweren, aber nicht unterbinden.

Link zu diesem Kommentar
grizzly999 Grand Master

grizzly999   11

Geschrieben
Geschrieben
Also bei dem Windows- und dem Programme-Ordner, sowie dem Ordner Dokumente & Einstellungen, würde ich den Schreibzugriff gestatten, da du sonst .

Auf Windows und Programme gibt nicht mal Microsoft selber dem User Schreibzugriff (außer einem Unterordner und ein oder zwei Dateien im Wndows). Warum sollte man das also tun.

 

Wenn man da gut und sicher sein will, dann am besten das Security Handbook runterladen, dot stehen die standardmäßigen und empfohlenen Einstellungen bis hin zum einzelnen Ordner und teilweise für einzelne Dateien drin ;)

 

 

grizzly999

Link zu diesem Kommentar
Neomis Contributor

Neomis   10

Geschrieben
Geschrieben
Auf Windows und Programme gibt nicht mal Microsoft selber dem User Schreibzugriff (außer einem Unterordner und ein oder zwei Dateien im Wndows). Warum sollte man das also tun.

 

 

Ist das so?

Hm..ich hätte schwören können, dass ich als normaler user problemlos im Ordner "Windows" einen neuen Ordner oder ne textdatei oder sonst was erstellen kann...

 

Und tatsächlich: Ein kurzer Test mit einem eingeschränkten Account in WinXP, dem herrlich tief im System verankerten internet explorer und dem runAs-service bestätigt meine Theorie. Wenn ich also Dateien in besagtem Ordner erstelle, dann "schreibe" ich doch in diesem Moment quasi auf die Festplatte, oder hab ich da was verwechselt?

 

Edit: selbiges funktioniert übrigends auch bei Win2000. Weiss ich aus eigener Erfahrung in einem scharfen Domänen-Umfeld.

Link zu diesem Kommentar
Neomis Contributor

Neomis   10

Geschrieben
Geschrieben
Wenn du über eine Policy Laufwerk C ausblendest, kommt der Benutzer auch nicht mit einer Verknüpfung drauf!

Ausnahme: Einige Stellen in Office 97 erlauben den Zugriff auf C:

 

Bei Win2000 funktioniert das definitiv. Bei 2003 weiss ich's nicht genau, aber er hat ja auch kein Sys genannt.

Ich weiss das, weil ich die Lücke letzt erst selbst unserem Admin vorgeführt hab !!

Rechtsklick -> Neu -> Verknüpfung -> C: -> oO

Link zu diesem Kommentar
warbird001 Rising Star

warbird001   10

Geschrieben
  • Autor
Geschrieben
Bei Win2000 funktioniert das definitiv. Bei 2003 weiss ich's nicht genau, aber er hat ja auch kein Sys genannt.

Ich weiss das, weil ich die Lücke letzt erst selbst unserem Admin vorgeführt hab !!

Rechtsklick -> Neu -> Verknüpfung -> C: -> oO

 

Bei meinem Fall geht es um Windows XP SP2. (in einer W2K3 Domaene)

Vor dem Setzen der oben schon angegebenen Berechtigungen ist es

Problemlos moeglich Ordner auf c:\ anzulegen.

Und das will ich wie auch in c:\windows und c:\programme moeglichst vermeiden.

Aber ohne das dabei Teile des Systems zu Spinnen anfangen.

 

ciao

Stefan:wq

Link zu diesem Kommentar
Neomis Contributor

Neomis   10

Geschrieben
Geschrieben
Was meinst du mit " .... und dem runas-Service ..."?

 

Auch bekannt als "Ausführen als". Kennst bestimmt ;)

 

Und dann hast du keinen Standard user gehabt, oder kein Standard XP. Oder du hast genau in die Ausnahme geschrieben, wo der user darf.

 

Aber sicher. Ganz normaler User in nem ganz normalen XP.

 

Wo hast du denn den Ordner/die Dateio hingespeichert?

 

Is wurscht. Kannst unter C:\Windows oder tiefer.

 

Und schau oder poste doch mal die NTFS-Berechtigungen deines Windows ordner an ....

 

Ok, du kommst nich drauf :D Microsoft gibt zwar keinen direkten Schreibzugriff, ABER...

du hast die Speziellen Berechtigungen übersehen! Da wird dem "Otto-Normal-Benutzer" das erstellen von Ordnern und schreiben von Daten sehr wohl gestattet. Du kannst dem Benutzer ja mal testweise das Recht entziehen, allerdings wird dann wohl nicht mehr viel gehen. Wenn ich mich recht entsinne, scheitert es dann schon an der Anmeldung.

 

Screen

Link zu diesem Kommentar
Neomis Contributor

Neomis   10

Geschrieben
Geschrieben
Bei meinem Fall geht es um Windows XP SP2. (in einer W2K3 Domaene)

Vor dem Setzen der oben schon angegebenen Berechtigungen ist es

Problemlos moeglich Ordner auf c:\ anzulegen.

Und das will ich wie auch in c:\windows und c:\programme moeglichst vermeiden.

Aber ohne das dabei Teile des Systems zu Spinnen anfangen.

 

ciao

Stefan:wq

 

Also, jetzt genug gespielt :D

Mal im ernst: Sicherlich kannst du in Teilen die Schreibberechtigung entziehen. Aber es ist sehr mühsam die Ordner bei denen du es darfst und bei denen nicht zu selektieren. einen falschen Ordner erwischt und die Anmeldung funktioniert schon nicht mehr.

Da würde ich eher mit diversen GPs versuchen, das laufwerk auszublenden und umwege wie RunAs, IE, CMD, Verknüpfungen etc. zu versperren

Link zu diesem Kommentar
IThome Grand Master

IThome   10

Geschrieben
Geschrieben

In der Root kann er einen Ordner anlegen (das geht auch auf einem 2003 Standalone Server als normaler Benutzer). Im Windows-Ordner allerdings nicht, da dort die Vererbung unterbrochen wird und der Benutzer hier keine speziellen NTFS-Berechtigungen hat (Ordner erstellen/Daten anhängen für Diesen Ordner, Unterordner und Dateien erstellen/Daten schreiben für Nur Unterordner, also die Berechtigungen für Benutzer in der Root). Im Programme-Ordner gilt das auch. Falls die Default-Berechtigungen nicht vorhanden sind, kann man sie via SECEDIT mit dem Parameter /AREAS FILESTORE und der entsprechenden INF-Datei auf Standard setzen ...

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...