lk5000
Goto Top

Benutzerprofil schreibschützen?

Hallo zusammen,
wir haben den Auftrag unseren Domänen-Benutzern die Schreibrechte für das Benutzerprofil zu entziehen. Ich musste es auf die Schnelle machen und bin auf CACLS gestoßen.

Habe ein Script gebastelt und es in eine GPO (Benutzereinstellungen) integriert:

%SYSTEMROOT%\SYSTEM32\CACLS.EXE "%USERPROFILE%\desktop" /E /P %USERNAME%:R
%SYSTEMROOT%\SYSTEM32\CACLS.EXE "%USERPROFILE%\downloads" /E /P %USERNAME%:R
%SYSTEMROOT%\SYSTEM32\CACLS.EXE "%USERPROFILE%\documents" /E /P %USERNAME%:R
%SYSTEMROOT%\SYSTEM32\CACLS.EXE "%USERPROFILE%\pictures" /E /P %USERNAME%:R
%SYSTEMROOT%\SYSTEM32\CACLS.EXE "%USERPROFILE%\music" /E /P %USERNAME%:R
%SYSTEMROOT%\SYSTEM32\CACLS.EXE "%USERPROFILE%\videos" /E /P %USERNAME%:R


Damit werden die angegebenen Ordner im Benutzerprofil bei Anmeldung schreibgeschützt und der Benutzer hat keine Möglichkeit mehr neue Daten abzulegen. Natürlich kann sich der Benutzer einen neuen Ordner in seinem Userprofil anlegen und dort weiter Daten ablegen, aber das reichte der IT-Leitung erstmal aus.


Meine Frage ist jetzt: gibt es eine schönere Möglichkeit ein Benutzerprofil schreibzuschützen? Auch mit der Möglichkeit den Schreibschutz wieder rauszunehmen...?! Mit meinem Script oben werden dem Benutzer bei der Abmeldung die Schreibrechte entzogen; das wieder rückgängig zu machen ist etwas aufwändig.

Unsere Systeme: Windfows Server 2008 R2, Windows 7 Pro

Vielen Dank und viele Grüße
Lukas

Content-ID: 282799

Url: https://administrator.de/forum/benutzerprofil-schreibschuetzen-282799.html

Ausgedruckt am: 26.12.2024 um 13:12 Uhr

emeriks
emeriks 14.09.2015 aktualisiert um 08:30:52 Uhr
Goto Top
Hi,
es wäre mal interssant zu wissen, warum das so sein soll. Falls es darauf ankommt, das Profil schlank zu halten, kann man diverse Ordner aus der Synchronisation raus nehmen und ein Login Script schreiben, welches bei Anmeldung die lokale Kopie aufräumt. Wenn es darauf ankommt, die Datenspeicherung an bestimmten Orten zu erzwingen (z.B. Netzlaufwerke), dann wäre Ordnerumleitung vielleicht ein Weg. Und wenn es bloß darauf ankommt, dass die Benutzer bei Anmeldung eine fest definierte Umgebung haben, dann wären wohl Mandatory Profiles was.

E.
Meierjo
Meierjo 14.09.2015 um 08:32:13 Uhr
Goto Top
Hallo

Meines Wissens kannst du auf dem servergespeicherten Profile die ntuser.dat der jeweiligen User in ntuser.man umbenennen.

Somit werden die Aenderungen nicht auf das Serverprofil zurückgespeichert.
https://technet.microsoft.com/de-de/library/gg241183(v=ws.10).aspx

Die User können wohl währen dem arbeiten Aenderungen vornehmen, nach einem Restart ist aber wieder alles beim alten.

Gruss Urs
emeriks
emeriks 14.09.2015 um 09:30:19 Uhr
Goto Top
Meines Wissens kannst du auf dem servergespeicherten Profile die ntuser.dat der jeweiligen User in ntuser.man umbenennen
... was dann ein Mandatory Profile ist.
LK5000
LK5000 14.09.2015 um 10:52:19 Uhr
Goto Top
Das Ziel ist die Datenspeicherung an bestimmten Orten zu erzwingen (-> Netzlaufwerke).
Der Benutzer soll eine Meldung bekommen, dass der Zugriff verweigert ist, wenn er einen neuen Ordner/Datei auf den Desktop ablegen will.

Ich habe nur die Befürchtung, dass beim umschwenken des lokalen auf das servergespeicherte Profil alle Daten mitgezogen werden; einige User haben sicherlich mehrere GB an Daten auf Ihren Desktops, Dokumente, etc.
emeriks
emeriks 14.09.2015 um 11:24:23 Uhr
Goto Top
Bei Ordnerumleitung kann man angeben, ob die vorhandenen Daten zum neuen Ziel verschoben werden sollen oder nicht.
Ich habe es zwar so nicht explizit probiert, aber theoretisch müsste es möglich sein, alle diese Ordner auf einen Ordner im Netz umzuleiten. Dieser könnte z.B. das Home Directory des Benutzers sein oder ein anderer Ordner in einer Abteilungsstruktur.

Erstell Dir Testbenutzer. Dann eine Test-GPO, welche nur für diese Benutzer gilt. Mittels dieser kleinen Test-Umgebung spielst Du die Ordnerumleitung einfach mal durch.