atlantis
Goto Top

Festplatte verstecken???

Hallo ich habe eine Frage!!

Gibt es ein Tool womit ich auf Win 2000 lokal die Festplatte verstecken kann. Sodas die Benutzer die sich Anmelden diese dann nicht sehen können???

Content-ID: 9662

Url: https://administrator.de/contentid/9662

Ausgedruckt am: 22.11.2024 um 05:11 Uhr

Metzger-MCP
Metzger-MCP 19.04.2005 um 11:58:57 Uhr
Goto Top
Ja nein

Wirklich verstecken kann man eine Festplatte nicht!
Was man machen kann ist, die Berechtigungen in der Berechtigungsstruktur so abändern,
so das nur bestimmte User und Gruppen Zugriff auf die Verzeichnisse und Unterordner haben. Es gibt aber Einschränkungen.

Kein Administrationsuser kann die Berechtigung entzogen werden alles zu sehen.
Festplatten kann man nicht verstecken, aber man kann Dateien und Ordner verstecken und gegen durchsuchen sichern.

In den Eigenschaften der NTFS Berechtigungsstruktur eines Ordners ( Sicherheit ) gibt es den Button ERWEITERT. Dort kann man für Gruppen und Usern spezielle Berechtigungen vergeben oder entziehen. Dort gibt es dann einen Punkt Ordner Durchsuchen, Ordner auflisten ? Wenn man hier mit den Berechtigungen richtig hantiert, kann man den Zugriff und die Sicht auf die Ordner ausschließen.

Zu beachten ist nur, daß das VERWEIGERNRECHT Stärker ist als das ZULASSENRECHT.

Mit freundlichen Grüßen
Uwe Metzger
11078
11078 19.04.2005 um 13:11:19 Uhr
Goto Top
Hallo,


Gibt es ein Tool womit ich auf Win 2000
lokal die Festplatte verstecken kann. Sodas
die Benutzer die sich Anmelden diese dann
nicht sehen können???


ein reines "Ausblenden" von Laufwerken in "Arbeitsplatz" und "Explorer" kann man leicht über eine Gruppenrichtlinie einstellen. Eigentlich gibt es sogar zwei: Eine blendet Laufwerke nur aus, die andere ist ein Biest und versperrt generell den Zugriff auf die angegebenen Laufwerke: Das ist mit Vorsicht zu genießen!!!

Hier aber die Richtlinien:


gpedit.msc > Benutzerkonfiguration > Administrative Vorlagen > Windows Komponenten > Windows Explorer

"Diese angegebenen Laufwerke im Fenster 'Arbeitsplatz' ausbleden"
"Zugriff auf Laufwerke vom Arbeitsplatz nicht zulassen"

Bei beiden Richtlinien hast Du schon einige Laufwerke/-kombinationen zur Auswahl, die ausgeblendet werden sollen; Wenn es gerade andere sein sollen, kann man aber die ADM-Vorlage ganz einfach dahingehend abändern.


Wie gesagt: Diese Richtlinien blenden die angegebenen Laufwerke nur aus, bzw. sperren den Zugriff auf sie über den "Arbeitsplatz" und auch generell aus dem "Explorer". Im Falle der ersten Richtlinie können User aber den Buchstaben eines ausgeblendeten Laufwerkes ganz einfach in die Explorer-Adressleiste eintippen und es ist für sie wieder sichtbar. Im Falle der zweiten Vorlage geht dies nicht.

Das dürfte "quick and dirty" schon das tun, was Du haben willst, wenn es aber eine richtige Zugriffskontrolle über Laufwerke und Ordner sein soll, dann hilft da nur Rechtevergabe.


TIM
Guenni
Guenni 21.04.2005 um 00:36:37 Uhr
Goto Top
@Atlantis

Hi,

wenn du Partitionen mit bestimmten Daten vor Benutzern verstecken willst,
kannst du dir unter http://www.star-tools.de/bootstar/german/ einen Bootmanager
runterladen(30 Tage kostenlos), mit dem du versch. Boot-Profile definieren kannst.

Einziger "Haken" an der Sache: Wenn du deine Festplatte mit diesem Tool
einrichtest(und das mußt du), bleibt anschl. der windowseigene Partitionierer außen
vor, da dieses Tool mit virtuellen MBR-Tabellen arbeitet.

Aber lies' mal selber im Handbuch.

Wenn es nicht das ist, was du suchst, muß ich mich meinen Vorrednern anschließen.

Gruß
Günni
15051
15051 18.07.2005 um 11:26:41 Uhr
Goto Top
Bei mir werden nur die C: und die D: angezeigt ich will aber die G: verstecken!

Muss ich da die ADM-Vorlage Ändern? Wie gejt das?

mfg
Wolf
11078
11078 18.07.2005 um 12:03:07 Uhr
Goto Top
Hallo,

Öffne die Datei C:\Windows\System32\GroupPolicy\Adm\system.adm (Ordner "GroupPolicy" und "ADM" sind versteckt!) mit Notepad und suche über die Menüoption "Bearbeiten" und dann "Suchen" nach der Zeichenfolge "NoDrives". Die Suche wird Dich an folgende Stelle im Dokument führen:

     POLICY !!NoDrives
      #if version >= 4
       SUPPORTED !!SUPPORTED_Win2k
      #endif
       EXPLAIN !!NoDrives_Help
        PART !!NoDrivesDropdown    DROPDOWNLIST NOSORT REQUIRED
          VALUENAME "NoDrives"  
            ITEMLIST
            NAME !!ABOnly        VALUE NUMERIC    3
            NAME !!COnly         VALUE NUMERIC    4
            NAME !!DOnly        VALUE NUMERIC   8
            NAME !!ABConly        VALUE NUMERIC     7
            NAME !!ABCDOnly        VALUE NUMERIC    15
            NAME !!ALLDrives        VALUE NUMERIC    67108863 DEFAULT
                        ; low 26 bits on (1 bit per drive)
            NAME !!RestNoDrives     VALUE NUMERIC    0
            END ITEMLIST
            END PART            
     END POLICY

Wenn Laufwerk G ausgeblendet werden soll, dann folgende Zeile einfügen (am besten nach "NAME !!ABCDOnly VALUE NUMERIC 15"):

 NAME !!GOnly     VALUE NUMERIC    64

Die "64" ist das wichtige: Die Laufwerksbuchstaben werden als Zahlen dargestellt, die sich je aufeinander folgendem Buchstaben verdoppeln. Sollen mehrere Laufwerke ausgeblendet werden, dann werden die Zahlen einfach addiert

Beispiele:

Laufwerksbuchstabe      Zahlenwert
A                                   1
B                                   2
C                                   4
D                                   8
E                                  16
F                                   32
G                                   64
-----------------------------
C + D                                12


Dann muss am Ende des Dokumentes im Abschnitt [STRINGS] noch folgende Zeile eingesetzt werden:

GOnly="Laufwerk G beschränken"  


Die "NoDrives"-Richtlinie ist diejenige, die Laufwerke nur ausblendet (siehe meinen vorherigen Kommentar; die erste genannte Richtlinie). Es gibt da jedoch noch eine, die den Zugriff auf Laufwerke wirklich vollständig verweigert (siehe meinen vorherigen Kommentar; die zweite genannte Richtlinie). Diese findet sich in derselben ADM-Vorlage und die nötigen Manipulationen sind eins zu eins übernehmbar. Diese Richtlinie findet man (soweit ich mich erinnere) über das Stichwort "NoViewOnDrive".

Dann einfach wieder gpedit.msc öffnen und die Richtlinie(n) bieten nun auch Laufwerk G an.

Gruß,
TIM
The-Warlord
The-Warlord 04.04.2006 um 07:53:44 Uhr
Goto Top
In einer Domain-Struktur kann dies per Gruppenrichtline geschehen, ob dies auch auf einm einzelenen System möglich ist weiss ich leider nicht.
ANW
ANW 08.11.2006 um 16:29:12 Uhr
Goto Top
Hallo,

ein paar Kleinigkeiten hätte ich noch zu Deinem Vorschlag, der übrigens sehr gut ist.

In meinem System DC Win2k finde ich die ADM Dateien nur im c:\WINNT\inf Verzeichnis. Was laut www.gruppenrichtlinien.de scheinbar auch so sein soll?
Dort habe ich dann nach einer Sicherheitskopie der original System.ADM, diese nach deiner Anleitung bearbeitet und die entsprechenden Einträge ergäzt.
Wenn ich dann lokal an dem DC gpedit.msc ausführe, bekomme ich auch die entsprechend ergänzten Laufwerke zum ausblenden, bzw. verweigern angezeigt.

Sobald ich aber mit dem Tool gpmc.msc diese GP in der Domäne erstellen will und auf die Clients anwenden will bekomme ich die o.g. Auswahl der Laufwerke nicht mehr angezeigt.
Erst wenn ich eine neue GP erstelle, anschließend auf dem DC in dem Verzeichnis c:\WINNT\SYSVOL\sysvol\....\Policies\{2B9BB077-42E5-43B7-BE76-5AAE2E97FB67}\Adm die dort vorhanden system.adm mit meiner bearbeiteten ersetzte, kann ich anschließend mit dem Tool gpmc.msc diese GP bearbeiten und habe die benötigte auswahl.

Meine Clients reagieren aber überhaupt nicht auf diese GP, die GP wird zwar geladen (GPResult.EXE), wird scheinbar aber nicht umgesetzt.

Muss ich diese System.ADM auch auf die Clients aufspielen, bzw. was mich wundert, wenn ich die System.ADM des DC's bearbeite und das ohne Wirkung bleibt.

Hoffe mich verständlich ausgedrückt zu haben.
Wäre für weitere Vorschläge sehr Dankbar.

MfG
ANW
11078
11078 08.11.2006 um 16:51:12 Uhr
Goto Top
Hallo,


In meinem System DC Win2k finde ich die ADM
Dateien nur im c:\WINNT\inf Verzeichnis. Was
laut www.gruppenrichtlinien.de scheinbar auch
so sein soll?

also bei der Desktop-OS Version von w2k Prof. sind die ADMs am oben genannten Ort. Allerdings ist - wie oben gesagt - der Ordner "GroupPolicy" in C:\winnt\System32 versteckt (Extras > Ordneroptionen > Ansicht > "Alle Dateien und Ordner anzeigen" und Haken weg bei "Geschützte Systemdateien ausblenden"). Allerdings sehe ich hier auch eine Kopie der Datei in \inf - keine Ahnung, was das für eine Kopie ist?! Jedenfalls erscheint es mir komisch, dass bei der Server-Version des OS plötzlich so ein Unterschied in der Handhabung der ADM-Vorlagen existieren soll.

Ich bin leider aber gar kein Experte für Windows Server.

Eventuell müsstest Du das Problem noch einmal als neuen Beitrag posten (evtl. unter Verweis auf diesen Thread hier), damit sich die Win-Server und AD Spezialisten mal darauf stürzen können.

Was Du aber theoretisch immer machen kannst, ist, das ganze in eine eigene ADM-Vorlage auzugliedern und sie manuell in die Gruppenrichtlinien-Editoren zu importieren. Dann hättest Du zumindest theoretisch nicht das Problem, dass eventuell eine falsche Kopie der ADM bearbeitet wurde und die gewünschten Änderungend eshalb nicht übernommen werden.


Sorry!
Tim
15051
15051 01.07.2008 um 07:50:00 Uhr
Goto Top
Hallo Tim!

Unter Vista kann ich diese system.adm nicht finden!

Wie geht das unter Vista, sonst ist nämlich alles gleich?!

mfg Wolf