12
2008R2, nur eine bestimmte Anwendung darf auf Verzeichnis zugreifen. Der user über Explorer eben nicht!
Hallo Zusammen,
wir haben ein eigens für uns Entwickeltes CRM System. Der User kann über die SD-Karte Bilder in das System importieren.
Das System speichert die Bilder nach eigener Logik auf dem Fileserver. Mittlerweile sind es über 134000 Bilder und fressen 138GB.
Manche schlaue User versuchen ihr Glück über den Explorer eine Datei zu finden. Die Dateien sind jedoch umbenannt nach
einem bestimmten System vom CRM. Es ist auch schon vorgekommen dass ein User komplette Verzeichnisse verschoben hat durch
drag & drop. Jetzt ist die Frage wie kann verhindern das die User in das Verzeichnis kommen? Das CRM-System hat für die Verwaltung
alles implementiert, und hat einen integrierten File Manager. Die Anwendung greift auf das Filesystem normal zu wie auch der Explorer.
Eine Möglichkeit wäre natürlich wenn das CRM-System einen dienst hätte um auf die Files zugreifen zu können. Dann währe die
Kommunikation über TCP und ich könnte den User den Zugriff auf den Speicherort sperren. Doch diese Möglichkeit gibt es leider nicht.
Hat jemand eine Idee?
wir haben ein eigens für uns Entwickeltes CRM System. Der User kann über die SD-Karte Bilder in das System importieren.
Das System speichert die Bilder nach eigener Logik auf dem Fileserver. Mittlerweile sind es über 134000 Bilder und fressen 138GB.
Manche schlaue User versuchen ihr Glück über den Explorer eine Datei zu finden. Die Dateien sind jedoch umbenannt nach
einem bestimmten System vom CRM. Es ist auch schon vorgekommen dass ein User komplette Verzeichnisse verschoben hat durch
drag & drop. Jetzt ist die Frage wie kann verhindern das die User in das Verzeichnis kommen? Das CRM-System hat für die Verwaltung
alles implementiert, und hat einen integrierten File Manager. Die Anwendung greift auf das Filesystem normal zu wie auch der Explorer.
Eine Möglichkeit wäre natürlich wenn das CRM-System einen dienst hätte um auf die Files zugreifen zu können. Dann währe die
Kommunikation über TCP und ich könnte den User den Zugriff auf den Speicherort sperren. Doch diese Möglichkeit gibt es leider nicht.
Hat jemand eine Idee?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 169313
Url: https://administrator.de/contentid/169313
Printed on: April 24, 2024 at 17:04 o'clock
12 Comments
Latest comment
Wie wäre es mit Berechtigungen?
Beispiel :
Die User sind Mitglied in einer Sicherheitsgruppe "CRMUsers"
Ihr Admins seid Mitglied in der Sicherheitsgruppe "CRMAdmins".
Dann setzt du auf das Verzeichnis in das die Bilder von den SD-Cards importiert werden NTFS-Berechtigungen
CRMUsers "Lesen,Ausführen;Ordnerinhalt auflisten;Lesen"
CRMAdmins"Vollzugriff"
musst halt dann aufpassen, wie du das machst, das die CRM-Anwendung dann auch mit
"Vollzugriff" in das Verzeichnis schreiben kann.
ollip83
Beispiel :
Die User sind Mitglied in einer Sicherheitsgruppe "CRMUsers"
Ihr Admins seid Mitglied in der Sicherheitsgruppe "CRMAdmins".
Dann setzt du auf das Verzeichnis in das die Bilder von den SD-Cards importiert werden NTFS-Berechtigungen
CRMUsers "Lesen,Ausführen;Ordnerinhalt auflisten;Lesen"
CRMAdmins"Vollzugriff"
musst halt dann aufpassen, wie du das machst, das die CRM-Anwendung dann auch mit
"Vollzugriff" in das Verzeichnis schreiben kann.
ollip83
Hallo ollip83,
soweit ist das schon klar. Der User ist in der Gruppe CRMUsers. Somit starter er die CRM-Anwendung. Die CRM-Anwendung
läuft somit im Kontext CRMUsers. Also wir das CRM ebenfalls der Zugriff verwehr auf das Bilderarchiv.
Gibt es eine Möglichkeit dem CRM-System im Kontext CRMAdmins laufen zu lassen, wenn ja, währe das die beste Lösung.
Gruß Kostas
soweit ist das schon klar. Der User ist in der Gruppe CRMUsers. Somit starter er die CRM-Anwendung. Die CRM-Anwendung
läuft somit im Kontext CRMUsers. Also wir das CRM ebenfalls der Zugriff verwehr auf das Bilderarchiv.
Gibt es eine Möglichkeit dem CRM-System im Kontext CRMAdmins laufen zu lassen, wenn ja, währe das die beste Lösung.
Gruß Kostas
Evtl. die Anwendung (also die .exe o.ä.) mit dem Parameter "Ausführen als" auf ein ActiveDirectory bestendes Dienst-Konto laufen lassen, das Mitglied in der "CRMAdmins"- Gruppe ist?
Das würde mir jetzt so spontan einfallen.
Das würde mir jetzt so spontan einfallen.
oh, das hört sich ja nach einer echten Möglichkeit an.
Hast du eine Idee wie ich die Anwendung z.B.: über eine bat ausführen kann und dabei das Dienst-Konto angeben kann.
Gruß Kostas
Hast du eine Idee wie ich die Anwendung z.B.: über eine bat ausführen kann und dabei das Dienst-Konto angeben kann.
Gruß Kostas
Gute Frage, aber im Zeitalter von Win2008 noch mit .bat-Dateien zu arbeiten, ist glaub ich etwas veraltet. 
ein cmd file ist auch nichts anderes. Mal sehen ob jemand im Form weis ob und wie das geht.
Ich könnte mir wirklich vorstellen dass das geht. In Win7 ist das über den Explorer ja möglich "Ausführen als Administrator"
Gruß Kostas
Ich könnte mir wirklich vorstellen dass das geht. In Win7 ist das über den Explorer ja möglich "Ausführen als Administrator"
Gruß Kostas
runas
ist das Tool für "unter anderem Benutzernamen laufen lassen"
ist das Tool für "unter anderem Benutzernamen laufen lassen"
Hallo runas,
was meinst du bitte damit? git es eine Möglichkeit eine Anwendung "unter anderem Benutzernamen laufen lassen" ?
Gruß Kostas
was meinst du bitte damit? git es eine Möglichkeit eine Anwendung "unter anderem Benutzernamen laufen lassen" ?
Gruß Kostas
Moin moin
Die schnappst du dir Rechtklick Eigensschaften / Kompatibilität und bei "Programm als Administrator ausführen" einen Hacken setzen.
Gruß L.
Gibt es eine Möglichkeit dem CRM-System im Kontext CRMAdmins laufen zu lassen, wenn ja, währe das die beste Lösung.
Ich würde das jetzt nicht die Beste Lösung nennen, aber egal.git es eine Möglichkeit eine Anwendung "unter anderem Benutzernamen laufen lassen" ?
Die Anwender starten die Anwendung über eine Verknüpfung?Die schnappst du dir Rechtklick Eigensschaften / Kompatibilität und bei "Programm als Administrator ausführen" einen Hacken setzen.
Gruß L.
Hallo Logan,
eigentlich möchte ich die Anwendung nicht als Admin laufen lassen sondern auf ein bestimmtes Benutzerkonto oder Gruppe.
Mit rechtsklick Eigenschaften geht nur Admin. Mein Vorhaben ist wie oben erwähnt, nur das CRM-System, die Datensicherung
und der Admin darf in ein bestimmten Ordner eingreifen. Der User z.B.: über den Explorer oder sonst wie darf nicht hinein.
In der Vergangenheit haben wir einiges erlebt und wollen nach Möglichkeit hier ein Riegel vorschieben.
Ideal wäre halt wenn eine Anwendung im Kontext eines Benutzers oder Gruppe laufen kann, abweichend vom aktuell angemeldeten User.
Gruß Kostas
eigentlich möchte ich die Anwendung nicht als Admin laufen lassen sondern auf ein bestimmtes Benutzerkonto oder Gruppe.
Mit rechtsklick Eigenschaften geht nur Admin. Mein Vorhaben ist wie oben erwähnt, nur das CRM-System, die Datensicherung
und der Admin darf in ein bestimmten Ordner eingreifen. Der User z.B.: über den Explorer oder sonst wie darf nicht hinein.
In der Vergangenheit haben wir einiges erlebt und wollen nach Möglichkeit hier ein Riegel vorschieben.
Ideal wäre halt wenn eine Anwendung im Kontext eines Benutzers oder Gruppe laufen kann, abweichend vom aktuell angemeldeten User.
Gruß Kostas
Hi Logan,
das ist wirklich sehr interessant. Microsoft hat auch so ein tool namens runas. Das schein genau das zu sein was ich brauche. Werde demnächst
mal beide ausprobieren.
Super Dankeschön du hast mir sehr geholfen.
Die noch einen schönen Tag.
Gruß Kostas
das ist wirklich sehr interessant. Microsoft hat auch so ein tool namens runas. Das schein genau das zu sein was ich brauche. Werde demnächst
mal beide ausprobieren.
Super Dankeschön du hast mir sehr geholfen.
Die noch einen schönen Tag.
Gruß Kostas
