BiZNIZ 17 Geschrieben 22. März 2005 Melden Geschrieben 22. März 2005 Moin ... ... wir haben für einen neuen Schulungsraum diverse Einstellungen vorzunehmen, über deren Umsetzung ich mir noch nicht ganz klar bin ... Zur Ausgangslage: Es wird ein LAN mit domain (Win2k3) verwendet. Auf den PCs ist WinXP Pro SP2 vorhanden. An Software ist neben Office 2k3 noch Dreamweaver MX und Photoshop CS installiert. Des weiteren noch diverse Freeware, die im Unterricht zum Einsatz kommt, wie z.B. Phase5. Da nicht alle User mit allen Programmen arbeiten, soll der Zugriff entsprechend eingeschränkt werden. Beispiel: 1. Für eine Office-Schulung soll der Zugriff auf das Office beschränkt werden, so dass Dreamweaver, Photoshop etc. nicht ausführbar sind. 2. Für eine HTML-Grundlagen-Schulung soll neben Office noch Phase5 ausführbar sein. 3. Für eine HTML-Fortgeschrittenen-Schulung soll zusätzlich Dreamweaver verfügbar sein. 4. Für eine Photoshop-Schulung soll zusätzlich zum Office noch Photoshop aktiviert sein. Die Realisierung bringt so einige Probleme mit sich, da ich natürlich den administrativen Aufwand so gering wie möglich halten will. Da auf den PCs ja alles komplett installiert ist, kann ich zwar z.B. lokale Gruppen anlegen und den Zugriff auf die Ordner und das Startmenü entsprechend einschränken. Und über GPO kann man ja dann über "Eingeschränkte Gruppen" die entsprechenden User den lokalen Gruppen zuordnen. Ist das die einfachste Lösung oder hat noch jemand eine andere Idee ??? Zitieren
overlord 10 Geschrieben 22. März 2005 Melden Geschrieben 22. März 2005 hi, wenn sich die user (für die versch. schulungen) unterscheiden, würd ich per gruppenrichtlinie machen. domain (und ADS?!) ist ja vorhanden. also zB 4 OU´s für die Schulungen anlegen, richtlinie per benutzer festlegen und gut.... Zitieren
BiZNIZ 17 Geschrieben 22. März 2005 Autor Melden Geschrieben 22. März 2005 Vielleicht habe ich ja mal wieder ein Verständnis-Problem ... aber so ganz leuchtet mir die Aussage 4 OU´s für die Schulungen anlegen, richtlinie per benutzer festlegen und gut.... nicht ein ... Lokal am Client nichts machen (keine lokalen Gruppen anlegen, keine Berechtigungen einstellen) und im ADS dann per GPO die Berechtigungen auf die Ordner einstellen ??? Tut mir leid ... ich bin zwar schon einige Zeit mit der einen oder anderen GPO vertraut ... aber hier muss ich passen ... ... könnte ich das vielleicht ein klein wenig detaillierter erläutert bekommen ??? Es geht teilweise (leider) um den gleichen Benutzer, der diverse Schulungen durchläuft ... Beispiel: In der HTML-Grundlagen-Schulung darf er noch keinen Zugriff auf Dreamweaver haben, in der Fortgeschrittenen-Schulung muss dieser dann hinzugefügt werden ... Zitieren
overlord 10 Geschrieben 22. März 2005 Melden Geschrieben 22. März 2005 Lokal am Client nichts machen (keine lokalen Gruppen anlegen, keine Berechtigungen einstellen) und im ADS dann per GPO die Berechtigungen auf die Ordner einstellen ??? genau! 1.) ne sinnvolle ADS-struktur anlegen falls noch net geschehen, bspw.: -OU (=organisationseinheit) OFFICE -OU HTMLBasis -OU HTMLPro -OU PHOTOSHOP 2.) in den OU´s die user anlegen und pro OU eine gruppe (wichtig für die spätere richtlinie). die user dieser gruppe(n) zuordnen 3.) die gruppenrichtlinien (start-ausführen-mmc-konsole-snapin-gruppenrichtl.) bearbeiten (am server!) pro gruppe != pro OU legst du dann deine einstellungen (benutzerkonfiguration!) wie desktop,laufwerke sperren usw.fest. Es geht teilweise (leider) um den gleichen Benutzer, der diverse Schulungen durchläuft ...Beispiel: In der HTML-Grundlagen-Schulung darf er noch keinen Zugriff auf Dreamweaver haben, in der Fortgeschrittenen-Schulung muss dieser dann hinzugefügt werden ... wenn der benutzer "in eine neue schulung" kommt, verschiebst du ihn einfach in die entsprechende OU. Zitieren
BiZNIZ 17 Geschrieben 22. März 2005 Autor Melden Geschrieben 22. März 2005 ... ich verstehe das Prinzip der Gruppenrichtlinien ja einigermaßen, denke ich ... Und ich kann ja eine Menge an Desktop/Startmenü einstellen, wie. z.B. "Standardprogrammgruppen aus dem Startmenü entfernen" Aber wie soll ich auf dem Server in der GPO verhindern, dass ein User das lokal auf seinem PC installierte Programm "C:\Programme\Macromedia\Dreamweaver MX 2004\Dreamweaver.exe" ausführen darf bzw. keinen zugriff auf diesen Startmenü-Eintrag und den entsprechenden Programm-Ordner hat ??? Zitieren
overlord 10 Geschrieben 22. März 2005 Melden Geschrieben 22. März 2005 hmm, notfalls irgendwie tricksen. a) alle icons im startmenü anzeigen, aber die verknüpfung bzw. exe für die anderen gruppen sperren b) über servergespeicherte profile (pro gruppe) lösen c) ein eigenes template in den richtlinien importieren -> hier kommen dann die scripter ins spiel! :-) d) vielleicht wärs auch einfacher, das per anmeldeskript (natürlich OU abhängig) zu realisieren?!....aber keine genaue idee so spontan .....hmmm? Zitieren
lefg 276 Geschrieben 22. März 2005 Melden Geschrieben 22. März 2005 Hallo, eine alternative Überlegung zur OU-Regelung ist die Einstellung von Berechtigungen auf den Ordner Programme und dessen Unterordner Microsoft Office etc. Gruß Edgar Zitieren
BiZNIZ 17 Geschrieben 22. März 2005 Autor Melden Geschrieben 22. März 2005 Genau das hier ... a) alle icons im startmenü anzeigen, aber die verknüpfung bzw. exe für die anderen gruppen sperren ... versuche ich ... Aber diese entsprechenden Berechtigungen kann ich doch nur mit lokal auf dem Client vorhandenen Gruppen erreichen. Und dann muss ich ja doch wieder jeden Rechner per "Turnschuh-Administration" verwalten ... Beispiel: Ich lege eine Gruppe "HTMLPRO" an. Dann bearbeite ich die Berechtigungen auf den Programm-Pfaden so, dass nur noch Admins, SYSTEM und HTMLPRO Zugriff haben. Das gleiche mache ich mit den Startmenü-Einträgen. Abschließend kommt dann der "Turnschuh-Admin-Bereich", wo ich der lokalen Gruppe "HTMLPRO" dann die User der DomainGruppe "HTMLPRO-Users" hinzufüge ... Das klappt dann ja auch ... aber ich hoffte, dass ich mir diesen Aufwand ersparen könnte, in dem ich die "Eingeschränkten Gruppen" verwende, aber dort kann ich ja nur die "Standard-Gruppen" eintragen - keine am Client individuell hinzugefügten Gruppen, wie z.B. "HTMLPRO" ... Alternativ wäre noch die Variante möglich, das die "Dreamweaver.exe" erst mit einem Login-Script auf den Client kopiert wird und beim Abmelden wieder "entsorgt" wird ... Aber da fehlt mir noch die Lösung, wie ein "Standard-Domain-User" nach Laufwerk C: schreiben darf und dann auch die entsprechenden Berechtigungen auf die Datei hat. Zitieren
BiZNIZ 17 Geschrieben 22. März 2005 Autor Melden Geschrieben 22. März 2005 Hallo, eine alternative Überlegung zur OU-Regelung ist die Einstellung von Berechtigungen auf den Ordner Programme und dessen Unterordner Microsoft Office etc. Gruß Edgar Wenn ich das regeln könnte, ohne der "Turnschuh-Administration" verfallen zu müssen, wäre mir auch schon geholfen ;) Aber genau das kriege ich per GPO ja nicht geregelt ... Zitieren
lefg 276 Geschrieben 22. März 2005 Melden Geschrieben 22. März 2005 Wenn ich das regeln könnte, ohne der "Turnschuh-Administration" verfallen zu müssen, wäre mir auch schon geholfen ;)Aber genau das kriege ich per GPO ja nicht geregelt ... Da habe ich eben nicht aufgepasst. Aber es gibt (fast) immer eine Lösung. Berechtigungen vergeben auf Ordner und Dateien kann man auch von der Kommandozeile mit cacls. Siehe cacls /? Dem ersten Anschein nach ist das Tool nur für Dateien gedacht, ist aber auch für Ordner. Was mit der Kommandozeile geht, ist auch per Batch möglich. Eine Batch kann von der Gruppenrichtlinie, Computerconfiguration unter Berechtigung das Systems ausgeführt werden. Gruß Edgar Edit: Mein Vorschlag sollte nur für den Fall sein, es ist mit der Gruppenrichtlinie nicht auf die Schnelle lösbar und Du brauchst eine Alternative. Früher unter NT haben wir solche Sachen gebaut. Das war teilweise einfacher als mit der Benutzer-Richtlinie. Und es war auch in einer Arbeitsgruppe nutzbar. Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.