ssd_rider 2 Geschrieben 17. Mai 2014 Melden Geschrieben 17. Mai 2014 Hallo, ich habe es endlich geschafft einen User in einer Domäne an einen Domänen Pc anzumelden mit einem persönlichen Laufwerk. Genau wie bei mntechblog.de erklärt. Nun ist es so dass der persönliche Ordner auf \\SERVER\User\username01 liegt. Wenn ich aber oben im Explorer \\SERVER eingebe dann kommt neben dem komplett freigegebenen Ordner User für die Domänen-Benutzer auch die Ordner sysvol und netlogon. Diese kann man auch öffnen und zum Beispiel das Loginskript ansehen. Wie kann ich das verhindern? MfG Zitieren
Dukel 461 Geschrieben 17. Mai 2014 Melden Geschrieben 17. Mai 2014 Gar nicht. Wie soll ein Client ein Logon Script ausführen, wenn es keinen Zugriff auf dieses hat? Was ist so schlimm an den Ordnern? Zitieren
ssd_rider 2 Geschrieben 17. Mai 2014 Autor Melden Geschrieben 17. Mai 2014 Ich möchte halt nicht das das die User sehen können. Kann man das irgendwie mit $ verstecken oder so? Zitieren
lefg 276 Geschrieben 17. Mai 2014 Melden Geschrieben 17. Mai 2014 (bearbeitet) Hallo, es gehört so wie es ist zum Design eines Domänencontrollers. Mein Rat, lasse es wie es ist, fasse es nicht an, Du könntest dir unabsehbare Folgen einhandeln. bearbeitet 18. Mai 2014 von lefg Zitieren
h-d.neuenfeldt 21 Geschrieben 17. Mai 2014 Melden Geschrieben 17. Mai 2014 Warum soll das Login-Script unsichtbar werden ? Zitieren
NilsK 2.982 Geschrieben 17. Mai 2014 Melden Geschrieben 17. Mai 2014 Moin, der Designfehler in deinem Beispiel liegt eher darin, dass die Anwenderfreigaben auf dem Domänencontroller liegen. In einem Testnetz ist das OK, in einem echten Netzwerk sollte man das nicht machen. Ein DC ist ein DC, und ein Dateiserver ist ein Dateiserver. SYSVOL und NETLOGON müssen freigegeben sein, und zwar unter genau diesen Namen. Außer Logonskripten legt man selbst dort auch nichts hin. Und in die Logonskripte gehören eben keine vertraulichen Daten. Gruß, Nils Zitieren
DLensing 14 Geschrieben 18. Mai 2014 Melden Geschrieben 18. Mai 2014 Hallo,Was man machen könnte, wäre das Loginscript in ein verschlüsseltes Kix-Skript umwandeln, so dass der Anwender zwar den Aufruf in der Batchdatei sieht, aber nicht den eigentlichen Ablauf.Als Suchwort solltest du "pre-tokenizing scripts" nutzen Liebe Grüße Daniel Zitieren
Sunny61 819 Geschrieben 18. Mai 2014 Melden Geschrieben 18. Mai 2014 Ich möchte halt nicht das das die User sehen können. Kann man das irgendwie mit $ verstecken oder so? Lass die Scripte Scripte sein und konfiguriere alles per GPP und/oder per GPP. Schon 'sehen' die User nichts. Zitieren
daabm 1.391 Geschrieben 19. Mai 2014 Melden Geschrieben 19. Mai 2014 SYSVOL und NETLOGON müssen freigegeben sein, und zwar unter genau diesen Namen. Außer Logonskripten legt man selbst dort auch nichts hin. Und in die Logonskripte gehören eben keine vertraulichen Daten. Da legt man "gar nichts" mehr hin - Skripts gehören in ein lokales Verzeichnis, damit ich bei Start/Anmeldung keine Netzwerkzugriffe machen muss. Wer mal die Verarbeitung einer Batchdatei über UNC per Netmon analysiert hat, der weiß, was ich meine... Zitieren
Doso 77 Geschrieben 1. Juni 2014 Melden Geschrieben 1. Juni 2014 Wo legt ihr denn dann Desktopverknüpfungen, kleine Init Dateien für Einstelungen und sowas ab, wenn nicht in Netlogon? Und nein, das kann man nicht alles mit GPO zusammenbauen. Zitieren
lefg 276 Geschrieben 2. Juni 2014 Melden Geschrieben 2. Juni 2014 (bearbeitet) Da legt man "gar nichts" mehr hin - Skripts gehören in ein lokales Verzeichnis, damit ich bei Start/Anmeldung keine Netzwerkzugriffe machen muss. Wer mal die Verarbeitung einer Batchdatei über UNC per Netmon analysiert hat, der weiß, was ich meine... Wo ist das verbindlich geregelt, in welcher ZDv/TDv,/TA/BA? :) bearbeitet 2. Juni 2014 von lefg Zitieren
NilsK 2.982 Geschrieben 2. Juni 2014 Melden Geschrieben 2. Juni 2014 Moin, Wo legt ihr denn dann Desktopverknüpfungen, kleine Init Dateien für Einstelungen und sowas ab, wenn nicht in Netlogon? Und nein, das kann man nicht alles mit GPO zusammenbauen. in einen eigenen Share. Netlogon ist Netlogon. Man packt eigene Richtlinien ja auch in separate GPOs und nicht in die Default Domain Policy. [Active Directory - "Tu mir das nicht an", sagte der Domänencontroller | TechDay@ice:2011]http://technet.microsoft.com/de-de/video/active-directory-tu-mir-das-nicht-an-sagte-der-domanencontrollerAb Minute 52. Gruß, Nils Zitieren
daabm 1.391 Geschrieben 2. Juni 2014 Melden Geschrieben 2. Juni 2014 Wo ist das verbindlich geregelt, in welcher ZDv/TDv,/TA/BA? :) Nirgends. Aber schnapp Dir mal Netmon und führ ne CMD über einen UNC-Pfad oder von einem Netzlaufwerk aus. Und dann staune... OT: Wir würden das per BFH regeln :D Zitieren
lefg 276 Geschrieben 3. Juni 2014 Melden Geschrieben 3. Juni 2014 Nirgends. Aber schnapp Dir mal Netmon und führ ne CMD über einen UNC-Pfad oder von einem Netzlaufwerk aus. Und dann staune... OT: Wir würden das per BFH regeln :D Ich hätte das mit der Frage nach Vorschriften doch besser sein gelassen, hätte noch dem Grund fragen sollen. :) Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.