ssd_rider 2 Geschrieben 17. Mai 2014 Melden Teilen Geschrieben 17. Mai 2014 Hallo, ich habe es endlich geschafft einen User in einer Domäne an einen Domänen Pc anzumelden mit einem persönlichen Laufwerk. Genau wie bei mntechblog.de erklärt. Nun ist es so dass der persönliche Ordner auf \\SERVER\User\username01 liegt. Wenn ich aber oben im Explorer \\SERVER eingebe dann kommt neben dem komplett freigegebenen Ordner User für die Domänen-Benutzer auch die Ordner sysvol und netlogon. Diese kann man auch öffnen und zum Beispiel das Loginskript ansehen. Wie kann ich das verhindern? MfG Zitieren Link zu diesem Kommentar
Dukel 454 Geschrieben 17. Mai 2014 Melden Teilen Geschrieben 17. Mai 2014 Gar nicht. Wie soll ein Client ein Logon Script ausführen, wenn es keinen Zugriff auf dieses hat? Was ist so schlimm an den Ordnern? Zitieren Link zu diesem Kommentar
ssd_rider 2 Geschrieben 17. Mai 2014 Autor Melden Teilen Geschrieben 17. Mai 2014 Ich möchte halt nicht das das die User sehen können. Kann man das irgendwie mit $ verstecken oder so? Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 17. Mai 2014 Melden Teilen Geschrieben 17. Mai 2014 (bearbeitet) Hallo, es gehört so wie es ist zum Design eines Domänencontrollers. Mein Rat, lasse es wie es ist, fasse es nicht an, Du könntest dir unabsehbare Folgen einhandeln. bearbeitet 18. Mai 2014 von lefg Zitieren Link zu diesem Kommentar
h-d.neuenfeldt 21 Geschrieben 17. Mai 2014 Melden Teilen Geschrieben 17. Mai 2014 Warum soll das Login-Script unsichtbar werden ? Zitieren Link zu diesem Kommentar
NilsK 2.934 Geschrieben 17. Mai 2014 Melden Teilen Geschrieben 17. Mai 2014 Moin, der Designfehler in deinem Beispiel liegt eher darin, dass die Anwenderfreigaben auf dem Domänencontroller liegen. In einem Testnetz ist das OK, in einem echten Netzwerk sollte man das nicht machen. Ein DC ist ein DC, und ein Dateiserver ist ein Dateiserver. SYSVOL und NETLOGON müssen freigegeben sein, und zwar unter genau diesen Namen. Außer Logonskripten legt man selbst dort auch nichts hin. Und in die Logonskripte gehören eben keine vertraulichen Daten. Gruß, Nils Zitieren Link zu diesem Kommentar
DLensing 14 Geschrieben 18. Mai 2014 Melden Teilen Geschrieben 18. Mai 2014 Hallo,Was man machen könnte, wäre das Loginscript in ein verschlüsseltes Kix-Skript umwandeln, so dass der Anwender zwar den Aufruf in der Batchdatei sieht, aber nicht den eigentlichen Ablauf.Als Suchwort solltest du "pre-tokenizing scripts" nutzen Liebe Grüße Daniel Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 18. Mai 2014 Melden Teilen Geschrieben 18. Mai 2014 Ich möchte halt nicht das das die User sehen können. Kann man das irgendwie mit $ verstecken oder so? Lass die Scripte Scripte sein und konfiguriere alles per GPP und/oder per GPP. Schon 'sehen' die User nichts. Zitieren Link zu diesem Kommentar
daabm 1.354 Geschrieben 19. Mai 2014 Melden Teilen Geschrieben 19. Mai 2014 SYSVOL und NETLOGON müssen freigegeben sein, und zwar unter genau diesen Namen. Außer Logonskripten legt man selbst dort auch nichts hin. Und in die Logonskripte gehören eben keine vertraulichen Daten. Da legt man "gar nichts" mehr hin - Skripts gehören in ein lokales Verzeichnis, damit ich bei Start/Anmeldung keine Netzwerkzugriffe machen muss. Wer mal die Verarbeitung einer Batchdatei über UNC per Netmon analysiert hat, der weiß, was ich meine... Zitieren Link zu diesem Kommentar
Doso 77 Geschrieben 1. Juni 2014 Melden Teilen Geschrieben 1. Juni 2014 Wo legt ihr denn dann Desktopverknüpfungen, kleine Init Dateien für Einstelungen und sowas ab, wenn nicht in Netlogon? Und nein, das kann man nicht alles mit GPO zusammenbauen. Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 2. Juni 2014 Melden Teilen Geschrieben 2. Juni 2014 (bearbeitet) Da legt man "gar nichts" mehr hin - Skripts gehören in ein lokales Verzeichnis, damit ich bei Start/Anmeldung keine Netzwerkzugriffe machen muss. Wer mal die Verarbeitung einer Batchdatei über UNC per Netmon analysiert hat, der weiß, was ich meine... Wo ist das verbindlich geregelt, in welcher ZDv/TDv,/TA/BA? :) bearbeitet 2. Juni 2014 von lefg Zitieren Link zu diesem Kommentar
NilsK 2.934 Geschrieben 2. Juni 2014 Melden Teilen Geschrieben 2. Juni 2014 Moin, Wo legt ihr denn dann Desktopverknüpfungen, kleine Init Dateien für Einstelungen und sowas ab, wenn nicht in Netlogon? Und nein, das kann man nicht alles mit GPO zusammenbauen. in einen eigenen Share. Netlogon ist Netlogon. Man packt eigene Richtlinien ja auch in separate GPOs und nicht in die Default Domain Policy. [Active Directory - "Tu mir das nicht an", sagte der Domänencontroller | TechDay@ice:2011]http://technet.microsoft.com/de-de/video/active-directory-tu-mir-das-nicht-an-sagte-der-domanencontrollerAb Minute 52. Gruß, Nils Zitieren Link zu diesem Kommentar
daabm 1.354 Geschrieben 2. Juni 2014 Melden Teilen Geschrieben 2. Juni 2014 Wo ist das verbindlich geregelt, in welcher ZDv/TDv,/TA/BA? :) Nirgends. Aber schnapp Dir mal Netmon und führ ne CMD über einen UNC-Pfad oder von einem Netzlaufwerk aus. Und dann staune... OT: Wir würden das per BFH regeln :D Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 3. Juni 2014 Melden Teilen Geschrieben 3. Juni 2014 Nirgends. Aber schnapp Dir mal Netmon und führ ne CMD über einen UNC-Pfad oder von einem Netzlaufwerk aus. Und dann staune... OT: Wir würden das per BFH regeln :D Ich hätte das mit der Frage nach Vorschriften doch besser sein gelassen, hätte noch dem Grund fragen sollen. :) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.