Benutzerkonto nur für ein bestimmtes Verzeichnis freigeben - für Verbindung per Remote

Mitglied: imebro

imebro (Level 2)

24.09.2013, aktualisiert 12:02 Uhr, 1538 Aufrufe, 9 Kommentare

Guten Morgen...

Ich habe ein Problem mit den Freigaben für ein Benutzerkonto.

Es handelt sich um einen Server 2008 R2 Standard.
Für den Zugriff einer Firma von außen (per Remoteverbindung), soll nun ein Benutzerkonto erstellt werden.
Dabei soll diese Firma jedoch nur auf ein bestimmtes Verzeichnis Zugriff haben, welches auf dem Dateiserver liegt.

Nun habe ich im Reiter "Mitglied von" schon den "Remotedesktopbenutzer" hinzugefügt.
Weiterhin im Reiter "Remotedesktopdienste-Profil" unter "Basisordner / Lokaler Pfad" dann den Pfad des Verzeichnisses eingetragen, welches die Firma öffnen darf.

Im Reiter "Profil" unter "Basisordner / Lokaler Pfad" habe ich NICHTS eingetragen...
Im Reiter "Konto" habe ich für die lokale Anmeldung eine E-Mail-Adresse angegeben (Domäne).
Alle anderen Reiter haben die Standard-Einstellungen behalten.

Wenn ich mich nun mit diesem neuen Benutzerkonto an unserem Terminalserver anmelde, kann ich z.B. über das Netzwerk-Icon alle Verzeichnisse öffnen, die sich auf dem Server befinden, obwohl ich ja nur ein ganz bestimmtes freigeben wollte und auch freigegeben habe (s.o.).

Hat Jemand eine Idee, wie ich das hinbekomme?

Vielen Dank & schöne Grüße,
imebro
Mitglied: harmlos77
24.09.2013 um 12:26 Uhr
Hallo imebro,

das allgemeine Windows Problem "ich sehe alle Ordner, darf aber darauf nicht zugreifen" ist nicht ganz ohne.

Dazu habe ich folgende Logik entwickelt:
- Laufwerke werden per "subst" verbunden und nicht per "net use" (das geht auch deutlich schneller im Zugriff), zum Beispiel "M" für den Benutzer
- alle Benutzerbibliotheken werden manuell umgestellt, zum Beispiel C:\users\%username%...\Download nach M:\Download
- alle Serverlaufwerke werden ausgeblendet und Zugriff verweigert (GPO), zum Bespiel A+B+C+D

Damit kann der Anwender auf dem TS nichts mehr sehen bzw. wohin gehen wo er nichts zu suchen hat. Ebenfalls muss die Windows Firewall aktiv sein und die Netzwerkkennung ausgeschaltet sein. Dann kann der Anwender unter "Netzwerk" nichts mehr sehen (Meldung "Netzwerkkennung ist deaktiv. Netzwerkcomputer und -geräte sind nicht sichtbar. Klicken Sie hier um dies zu ändern") und da das Profil auf einem M liegt und nicht mit einem UNC-Namen verknüpft ist, von da aus wieder rückwärts gehen. Natürlich darf der User nicht das Recht haben, die Netzwerkkennung selbst einzuschalten (aber das können in der Regel nur Domänen-Admins).

Ich hoffe, das hilft Dir weiter....
Jörg
Mitglied: imebro
24.09.2013 um 12:43 Uhr
Hallo Jörg und schönen Dank für Deine detaillierte Antwort.

Das bedeutet also, dass es - so wie im Moment - nicht möglich ist, diese Firma auf unseren Terminalserver zu lassen, ohne dass die alle Daten einsehen könnten?

Seltsam finde ich jedoch die Tatsache, dass ich ja in der AD im Reiter ""Remotedesktopdienste-Profil" unter "Basisordner / Lokaler Pfad" den Pfad des Verzeichnisses eingetragen hatte, auf das die Firma öffnen darf. Das hat aber offenbar überhaupt keine Auswirkungen...

Gibt es also keine einfacherer Möglichkeit, dass diese Firma dann nur auf das Verzeichnis "X:\Daten\Daten2\Bank" zugreifen kann und auf sonst nichts?

Vielen Dank & schöne Grüße,
imebro
Mitglied: harmlos77
24.09.2013 um 12:51 Uhr
das ist ein komplexes Thema und mit Sicherheit geht das auch alles einfacher, das kommt auf die Anforderung genau an. Wir sitzen beide übrigens nicht weit auseinander. Kannst mich ja mal anrufen (+49 221 2903852)...
Mitglied: imebro
24.09.2013 um 14:00 Uhr
Hallo Jörg,

danke für die tel. Hilfe.
Wir werden versuchen, das Thema anders (und besser) zu lösen

- der Thread hat sich damit zunächst mal erledigt.

Gruss
imebro
Mitglied: DerWoWusste
25.09.2013 um 08:20 Uhr
Hi.

Wenn ich mich nun mit diesem neuen Benutzerkonto an unserem Terminalserver anmelde, kann ich z.B. über das Netzwerk-Icon alle Verzeichnisse öffnen, die sich auf dem Server befinden, obwohl ich ja nur ein ganz bestimmtes freigeben wollte und auch freigegeben habe (s.o.).
Freigaben haben keine Auswirkungen, wenn der Nutzer lokal oder von remote angemeldet ist - sie gelten nur für Netzwerkdateizugriff. Du musste ganz simpel mit NTFS-Berechtigungen arbeiten.
Mitglied: imebro
25.09.2013 um 10:36 Uhr
Hallo und danke...

das ist ja interessant. Wußte ich nicht, da ich mich leider nicht so wirklich gut mit Server 2008 auskenne.
Könntest Du mir denn ein bisschen dabei helfen, das umzusetzen mit den NTFS-Berechtigungen.

Ein neues Benutzerkonto habe ich ja bereits am Dateiserver eingerichtet.
Damit soll sich dann die Firma zu einem Verzeichnis in unserem Netzwerk Zugriff verschaffen können.
Wie setze ich das um, so... dass die Firma wirklich nur auf dieses Verzeichnis zugreifen kann?

Danke und Gruss,
imebro
Mitglied: DerWoWusste
25.09.2013 um 11:59 Uhr
"Ein bißchen helfen" ist hier nicht so angesagt. Setze Dich bitte mit NTFS auseinander.
Mitglied: imebro
25.09.2013 um 12:21 Uhr
...NTFS kenne ich schon...

Aber mir ist nicht klar, was genau Du meinst mit "...Du musste ganz simpel mit NTFS-Berechtigungen arbeiten...".

Ich brauche einen kurzen Hinweis darauf, WAS ich umsetzen soll... Dann kann ich mich auch damit befassen

Danke und Gruss,
imebro
Mitglied: DerWoWusste
25.09.2013 um 13:00 Uhr
Wie - Du kennst NTFS, aber nicht NTFS-Berechtigungen?
Rechtklick auf die zu schützenden Ordn/Datein/Laufwerke ->Eigenschaften ->Sicherheit. Dort nur berechtigte Nutzer eintragen und fertig.
Titel: Benutzerkonto nur für ein bestimmtes Verzeichnis freigeben - für Verbindung per Remote
Content-ID: 217727
Art des Inhalts: Frage
Ausgedruckt am: 17.09.2019 um 10:41:37 Uhr
URL: https://administrator.de/contentid/217727