5
Benutzerdateien mit eingeschränktem Administratorzugriff
Hallo liebe Administratoren und Administratorinnen,
ich hab mal wieder eine Frage und hoffe das ihr mir weiter helfen könnt.
Wenn man im AD (WIN 2k3 Server) einen Neuen Benutzer anlegt und im Profil wählt Laufwerk Verbinden und den UNC Pfad angibt wird (vorausgesetzt die Ordnerberechtigungen wurden richtig gesetzt) ein Ordner mit dem angegebenen Ordnername angelegt. So weit so gut. Dieser Ordner erlaubt dann automatisch Vollzugriff für den Benutzer der angelegt wurde und den Administrator. Jetzt der kniff.
Ist es irgendwie möglich das der Administrator von vorn herein automatisch nur den Ordnerinhalt auflisten darf? ( Fragt mich bitte nicht was für einen Sinn das macht, es muss nun mal so gemacht werden
)
Wie immer, dankbar für jeden konstruktiven Kommentar
mfg
PJM
ich hab mal wieder eine Frage und hoffe das ihr mir weiter helfen könnt.
Wenn man im AD (WIN 2k3 Server) einen Neuen Benutzer anlegt und im Profil wählt Laufwerk Verbinden und den UNC Pfad angibt wird (vorausgesetzt die Ordnerberechtigungen wurden richtig gesetzt) ein Ordner mit dem angegebenen Ordnername angelegt. So weit so gut. Dieser Ordner erlaubt dann automatisch Vollzugriff für den Benutzer der angelegt wurde und den Administrator. Jetzt der kniff.
Ist es irgendwie möglich das der Administrator von vorn herein automatisch nur den Ordnerinhalt auflisten darf? ( Fragt mich bitte nicht was für einen Sinn das macht, es muss nun mal so gemacht werden
)Wie immer, dankbar für jeden konstruktiven Kommentar
mfg
PJM
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 146096
Url: https://administrator.de/contentid/146096
Ausgedruckt am: 23.11.2024 um 08:11 Uhr
5 Kommentare
Neuester Kommentar
Moin,
nein, Du mußt ihm nachher die Rechte entziehen, aber ob das Sinn macht? Er kann schließlich den Besitz übernehmen und kommt wieder ran.
Die meisten Dienstprogramme (Backup etc.) laufen auch mit Adminrechten (und nur damit) - sonst kann man ja nix sichern, oder?
Gruß
24
nein, Du mußt ihm nachher die Rechte entziehen, aber ob das Sinn macht? Er kann schließlich den Besitz übernehmen und kommt wieder ran.
Die meisten Dienstprogramme (Backup etc.) laufen auch mit Adminrechten (und nur damit) - sonst kann man ja nix sichern, oder?
Gruß
24
Hi,
danke für deine Antwort. Das mit dem Sinn da hast du schon Recht, hab ich ja oben schon geschrieben. Beim Backup kommt es auf die Software an und wie deine Server aufgebaut sind, Stichwort VMWare
Ich hab schon ein wenig mit den Berechtigungen rum probiert aber es sieht tatsächlich so aus als wäre das ein Ding der "Unmöglichkeit". Das will ich (momentan zumindest) noch nicht so ganz wahr haben.
Ich werde weiter testen, falls ich zu einer Lösung gekommen bin werde ich sie hier posten.
mfg
PJM
danke für deine Antwort. Das mit dem Sinn da hast du schon Recht, hab ich ja oben schon geschrieben. Beim Backup kommt es auf die Software an und wie deine Server aufgebaut sind, Stichwort VMWare
Ich hab schon ein wenig mit den Berechtigungen rum probiert aber es sieht tatsächlich so aus als wäre das ein Ding der "Unmöglichkeit". Das will ich (momentan zumindest) noch nicht so ganz wahr haben.
Ich werde weiter testen, falls ich zu einer Lösung gekommen bin werde ich sie hier posten.
mfg
PJM
Hallo PJM,
bei einem unserer SBS mit TS-Umgebung klappt das beim Anlegen bzw. Angeben des Pfades zum Ordner "von selbst", der Admin kann nicht in das Verzeichnis der Eigenen Dateien des Users schauen. Klar kann der Admin den Besitz übernehmen, aber das ist wohl aus Datenschutzgründen? so gewollt.
Wenn Du die Anordnung von höherer Ebene hast, dann richte es doch so ein, daß Du Dir selbst die Rechte entziehst. Wenn dann der User ein Problem in dem Ordner hat (versehentliche gelöschte aber noch nicht gesicherte Dateien...), kannst Du ja dann sagen, daß Du hier nichts machen kannst
.
Zum Backup: Oft wird für den Backupjob ein eigener Benutzer verwendet, um für das Backup Zugriff auf (fast) alle Dateien zu bekommen.
Andreas
bei einem unserer SBS mit TS-Umgebung klappt das beim Anlegen bzw. Angeben des Pfades zum Ordner "von selbst", der Admin kann nicht in das Verzeichnis der Eigenen Dateien des Users schauen. Klar kann der Admin den Besitz übernehmen, aber das ist wohl aus Datenschutzgründen? so gewollt.
Wenn Du die Anordnung von höherer Ebene hast, dann richte es doch so ein, daß Du Dir selbst die Rechte entziehst. Wenn dann der User ein Problem in dem Ordner hat (versehentliche gelöschte aber noch nicht gesicherte Dateien...), kannst Du ja dann sagen, daß Du hier nichts machen kannst
.Zum Backup: Oft wird für den Backupjob ein eigener Benutzer verwendet, um für das Backup Zugriff auf (fast) alle Dateien zu bekommen.
Andreas
Hallo Andreas,
vielen Dank für deine Antwort. Es wurde in den Gruppenrichtlinien jedoch so eingerichtet das der Benutzer "Administrator" dem Benutzerprofil beigefügt wird. Es soll ja auch nicht so sein das der Admin gar nichts sehen darf sondern "Nur" sehen darf. Also er darf sehen was sich im Orner befindet und wie es heist, aber er darf es nicht öffnen. Klar kann mann sich nachdem der Benutzer erstellt wurde einfach reinklicken und das machen aber ich glaube ich habe eine relativ gute Lösung mit einem Script gefunden das ich allerdings noch zu Papier bringen muss.
Mit freundlichem Gruß
PJM
vielen Dank für deine Antwort. Es wurde in den Gruppenrichtlinien jedoch so eingerichtet das der Benutzer "Administrator" dem Benutzerprofil beigefügt wird. Es soll ja auch nicht so sein das der Admin gar nichts sehen darf sondern "Nur" sehen darf. Also er darf sehen was sich im Orner befindet und wie es heist, aber er darf es nicht öffnen. Klar kann mann sich nachdem der Benutzer erstellt wurde einfach reinklicken und das machen aber ich glaube ich habe eine relativ gute Lösung mit einem Script gefunden das ich allerdings noch zu Papier bringen muss.
Mit freundlichem Gruß
PJM
Hallo,
da ich "Nicht Gelöste" Beiträge nicht leiden kann, aber trotzdem im Moment ein kleines Zeitproblem habe kann ich nur einen Theoretischen Lösungsansatz liefern. Ich habe mir überlegt das man im Defaultuserprofil ein Startscript hinterlegen könnte das bei der ersten Anmeldung des Benutzernamen ausliest und auf einer Freigabe im Fileserver eine INI anlegt in der der Benutzername steht und sich anschließend selbst löscht. Auf dem Fileserver müsste dann ein Script laufen was kontrolliert ob was in der INI steht, wenn ja ändert er auf dem Ordner mit den Benutzerdateien die rechte des Admins auf nur lesen.
Soweit die Theorie :D die Praxis wird noch auf sich warten aber ich denke so gehts. Also wird der Beitrag mal als gelöst markiert, sollte ich irgendwann feststellen das es so nicht geht schreibe ich einen Neuen Beitrag und verlink ihn hier.
Gruß
PJM
da ich "Nicht Gelöste" Beiträge nicht leiden kann
, aber trotzdem im Moment ein kleines Zeitproblem habe kann ich nur einen Theoretischen Lösungsansatz liefern. Ich habe mir überlegt das man im Defaultuserprofil ein Startscript hinterlegen könnte das bei der ersten Anmeldung des Benutzernamen ausliest und auf einer Freigabe im Fileserver eine INI anlegt in der der Benutzername steht und sich anschließend selbst löscht. Auf dem Fileserver müsste dann ein Script laufen was kontrolliert ob was in der INI steht, wenn ja ändert er auf dem Ordner mit den Benutzerdateien die rechte des Admins auf nur lesen.Soweit die Theorie :D die Praxis wird noch auf sich warten aber ich denke so gehts. Also wird der Beitrag mal als gelöst markiert, sollte ich irgendwann feststellen das es so nicht geht schreibe ich einen Neuen Beitrag und verlink ihn hier.
Gruß
PJM
