mrgentle 10 Geschrieben 21. Juni 2009 Melden Teilen Geschrieben 21. Juni 2009 Hallo zusammen, ich nutze seit einiger Zeit win2k3 und finde mich nachwievor noch nicht ganz zu recht was die Einrichtung von Benutzerrechten angeht. Vorab einige Infos wie das System derzeit genutzt wird: Insgesamt gibt es einschliesslich meiner Wenigkeit 4 Benutzer, welche alle per Remotedesktop auf dem Server arbeiten. Selbst habe ich volle Adminrechte. Die anderen User befinden sich in den Gruppen "User" und "Remotedesktop User". Nun zu den Punkten welche mir wichtig sind bzw. noch Probleme bereiten: 1. Ordner Zugriffsrechte a) Grundsätzlich würde ich gerne allen Usern den Zugriff auf die Systempartition c:\ komplett sperren. Allerdings bereitet dies leider Probleme, da Windows alle Benutzerkonten unter c:\ speichert und somit bei einer kompletten Sperrung von c:\ nichtmal mehr eigene Links auf dem Desktop verändert oder entfernt werden können. Auch benötigen diverse Programme Zugriff auf c:\. Gibt es eine Möglichkeit zu verhindern, dass die User Einsicht auf c:\ erhalten und dennoch oben genannte Dinge problemlos funktionieren? Ich habe auch schon versucht die Pfade der Benutzerkonten auf eine andere Partition zu legen, jedoch leider wenig erfolgreich. Eine detailierte Anleitung dazu würde mich sehr freuen. b) Desweiteren gibt es leider Probleme auf der anderen Partition. Ich kann dort zwar festlegen auf welche Verzeichnisse die User welche Rechte haben, allerdings entsteht immer dann ein Problem, wenn ich in einen dieser Ordner Verzeichnisse verschiebe, welche zuvor innerhalb eines gesperrten Ordners mit meinem Admin Account angelegt wurden. Diese erhalten dann leider nicht automatisch die selben Zugriffsrechte wie der Ordner in den sie verschoben werden, sondern sind noch mit den Rechten des Ursprungsordners versehen und somit für die Gruppe "User" nicht veränderbar. Kann man hier eine Lösung realisieren, dass grundsätzlich die Berechtigungen beim Verschieben automatisch übernommen/geändert werden? Per FTP ist das alles einfacher zu realisieren und funktioniert auch so wie ich mir das vorstelle. 2. Manuelle Rechtevergabe für Systemkritische Änderungen Es gibt zwar vorgefertigte Usergruppen, allerdings finde ich leider keine Möglichkeit die Gruppenrechte anzupassen bzw eine neue Gruppe mit individuellen Rechten zu versehen. gpedit.msc ist mir zwar bekannt und dort kann man gewisse Rechte für einzelne Gruppen festlegen, aber ich finde zum Beispiel keine Möglichkeit wie ich gruppenspezifisch Zugriffe auf die "Systemsteuerung" oder auch auf einzelne Programme wie den "Internet-Explorer" unterbinden/erlauben kann. Auch würde ich gerne ein Gruppe haben, welche nur von mir vorher festgelegte Anwendungen ausführen darf und nicht zum Beispiel irgendwelche eigene Portable Software ausführen kann. Derzeit sind sogar noch normale Installationen möglich sofern die Software keine Admin Rechte benötigt. Beides soll zukünftig nicht mehr möglich sein. Ich bedanke mich schonmal für eure Antworten. Sollten einige meiner Fragen bereits hier im Forum beantwortet worden sein möchte ich mich schonmal entschuldigen. Kleiner Nachtrag: Gibt es möglicherweise auch Software, welche diese Rechtevergaben etwas einfacher macht? Also ein benutzerfreundlicher Ersatz für die Boardmittel von Windows? Zitieren Link zu diesem Kommentar
robotto7831a 10 Geschrieben 21. Juni 2009 Melden Teilen Geschrieben 21. Juni 2009 Hallo! zu 1 b: Das die NTFS Rechte nicht geändert werden ist beim Verschieben von Dateien so. Anders beim Kopieren. zu 2: Solange die Software für die Installation keine Admin Rechte benötigt, kann man nicht verhindern das Benutzer z. B. portable Software installiert. Warum arbeiten deine Benutzer eigentlich direkt auf dem Server? Frank Zitieren Link zu diesem Kommentar
substyle 20 Geschrieben 21. Juni 2009 Melden Teilen Geschrieben 21. Juni 2009 zu 2: Solange die Software für die Installation keine Admin Rechte benötigt, kann man nicht verhindern das Benutzer z. B. portable Software installiert. Kann man schon, allerdings ist das mir Boardmitteln nur sehr umständlich zu lösen. (Administrative Vorlagen\System\ -> Angegebene Windows-Anwendungen nicht ausführen) oder Richtlinien für Softwareeinschränkung (Übersicht) Schau dir das mal an: https://www.uni-rostock.de/Rechenzentrum/sware/WindowsNT/Security/SoftRestrict.shtml subby Zitieren Link zu diesem Kommentar
mrgentle 10 Geschrieben 21. Juni 2009 Autor Melden Teilen Geschrieben 21. Juni 2009 Hmm aber wenn ich das nun alles richtig verstanden habe sperre ich damit ja global für alle User und User-Gruppen (inkl. Admin Acc) die Ausführung aller Programme (whitelist) und müsste dann sehr viel manuell erlauben. Was in der Tat sehr sehr umständlich ist wenn ich mir diese Step by Step Anleitung anschaue. Viel einfacher wäre es wenn ich speziell für eine Usergruppe eine whitelist definieren könnte und die betreffenden Programme einfach per rklick->eigenschaften für diese Gruppe erlauben könnte (also im Prinzip so wie bei den Ordnerfreigaben). Weitere Vorschläge, gerne auch für geeignete Sicherheitssoftware die die Rechteverwaltung vereinfacht, würden mich freuen. @robotto7831a Das ist doch der Sinn eines Terminal-Servers ;) Meine Benutzer müssen unter andereme Daten verarbeiten die sich direkt auf dem Server befinden. Da die Dateien relativ gross sind ist es nicht zumutbar, dass diese Lokal verarbeitet und dann wieder auf den Server hochgeladen werden. Zitieren Link zu diesem Kommentar
robotto7831a 10 Geschrieben 21. Juni 2009 Melden Teilen Geschrieben 21. Juni 2009 OK bei einem Terminalserver. Frank Zitieren Link zu diesem Kommentar
substyle 20 Geschrieben 21. Juni 2009 Melden Teilen Geschrieben 21. Juni 2009 Schau dir das mal an: itWatch GmbH - CDWatch Hat ein Kunde im Einsatuz und ist sehr zufrieden damit. subby Zitieren Link zu diesem Kommentar
Dukel 457 Geschrieben 22. Juni 2009 Melden Teilen Geschrieben 22. Juni 2009 Gruppenrichtlinien - Übersicht, FAQ und Tutorials Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.