mz..09
Sep 28, 2021
view5024
view7
0
Goto Top

Ordner erstellen auf C: unterbinden

GermansolvedQuestionWindows NetworkMicrosoft
Hallo,
ich habe festgestellt, das "normale" AD-User bei uns in der Domäne auf C: neue Ordner erstellen können. Dies würde ich gerne abstellen, aber das erstellen von Ordnern auf dem Desktop z.B. soll weiterhin möglich sein. Das alles am liebsten per GPO.
Hab dort bereits den Punkt "Computerkonfiguration \ Richtlinien \ Windows-Einstellungen \ Sicherheitseinstellungen \ Dateisystem" und dort %SystemRoot% für Benutzer nur auf Lesen, ausführen und ändern und für Admins Vollzugriff. Hat aber keinen Erfolg gebracht.
Hat jemand einen Tipp für mich?
Besten Dank
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 1318480641

Url: https://administrator.de/contentid/1318480641

Printed on: May 10, 2024 at 23:05 o'clock

7 Comments
Latest comment
Goto Top
Member: support-m
support-m Sep 28, 2021 at 13:49:59 (UTC)
Goto Top
Hi,
müssen deine User überhaupt direkt auf C: zugreifen?
Wenn nicht, setzte die GPO "Zugriff auf lokale Laufwerke vom Arbeitsplatz nicht zulassen" unter Benutzerkonfiguration > Richtlinien > Administrative Vorlagen > Datei-Explorer.

Vielleicht reicht dir das schon?

MfG
Member: DerWoWusste
Solution DerWoWusste Sep 28, 2021 at 14:03:11 (UTC)
Goto Top
Dein Ansatz ist korrekt.

So machen wir's und es geht:
capture
Member: MaceWindu
MaceWindu Sep 28, 2021 at 14:04:41 (UTC)
Goto Top
Hallo,
Erstell eine AD-Gruppe "C_deny", schmeiß die User rein, bastel dir einen passenden Befehl per icacls welcher "C_deny" ein Schreiben auf C verweigert - idealerweise ohne Vererbung face-wink - und verteil per GPO.

SG
Member: MZ..09
MZ..09 Sep 29, 2021 at 06:39:08 (UTC)
Goto Top
Zitat von @support-it:

Hi,
müssen deine User überhaupt direkt auf C: zugreifen?
Wenn nicht, setzte die GPO "Zugriff auf lokale Laufwerke vom Arbeitsplatz nicht zulassen" unter Benutzerkonfiguration > Richtlinien > Administrative Vorlagen > Datei-Explorer.

Vielleicht reicht dir das schon?

MfG

Das ist keine Option, der Zugriff muss gegegeben sein.


Zitat von @DerWoWusste:

Dein Ansatz ist korrekt.

So machen wir's und es geht:
capture

Habe das so nachgebaut, mein Testuser (ja, GPO ist der richtigen OU zugeordnet face-wink ) kann aber immernoch auf C: einen Ordner erstellen.
c

Zitat von @MaceWindu:

Hallo,
Erstell eine AD-Gruppe "C_deny", schmeiß die User rein, bastel dir einen passenden Befehl per icacls welcher "C_deny" ein Schreiben auf C verweigert - idealerweise ohne Vererbung face-wink - und verteil per GPO.

SG

icacls werde ich mir mal ansehen, kannte ich bisher nicht (Schande auf mein Haupt)
Member: DerWoWusste
Solution DerWoWusste Sep 29, 2021 updated at 07:14:34 (UTC)
Goto Top
Habe das so nachgebaut, mein Testuser (ja, GPO ist der richtigen OU zugeordnet face-wink face-wink )
Und in der OU sind Computerobjekte?
Hast Du getestet, ob die GPO ankommt? Dazu
gpresult /h %temp%\result.html & %temp%\result.html
am Client ausführen.
Member: MZ..09
MZ..09 Sep 29, 2021 at 07:27:41 (UTC)
Goto Top
Zitat von @DerWoWusste:

Habe das so nachgebaut, mein Testuser (ja, GPO ist der richtigen OU zugeordnet face-wink face-wink )
Und in der OU sind Computerobjekte?
Hast Du getestet, ob die GPO ankommt? Dazu
gpresult /h %temp%\result.html & %temp%\result.html
am Client ausführen.

Peinlich. War nur mit einer Benutzer-OU verknüpft. Jetzt mit einem Computerobjekt funktioniert es. Danke für den Hinweis.
Member: DerWoWusste
DerWoWusste Sep 29, 2021 at 07:37:19 (UTC)
Goto Top
Keine Ursache face-smile
GermansolvedQuestionWindows NetworkMicrosoft
Hotly discussed
LinuxeroWireguard with systemd and nftablesLinuxero - 9 Comments