5
GPO Ausnahme definieren
Hallo zusammen,
ich würde mich freuen wenn mir jemand helfen kann. Folgendes Problem: Ich habe eine AD mit vier Servern, einem Exchange, DC, TS und SQL, alle laufen auf dem Betriebssystem Server 2016 Standard.
Nun sollte den Usern der Zugriff auf das Laufwerk C verboten werden, dies wurde über die Gruppenrichtlinie gesperrt. Die Benutzer möchten aber über den "Schnellzugriff" oder über "Dieser Pc"
auf den Desktop zugreifen. Dazu fehlen Ihnen jetzt die Berechtigungen. Meine Frage ist also ob ich eine Ausnahme definieren kann, das alles gesperrt ist bis auf den Desktop Zugriff?
ich würde mich freuen wenn mir jemand helfen kann. Folgendes Problem: Ich habe eine AD mit vier Servern, einem Exchange, DC, TS und SQL, alle laufen auf dem Betriebssystem Server 2016 Standard.
Nun sollte den Usern der Zugriff auf das Laufwerk C verboten werden, dies wurde über die Gruppenrichtlinie gesperrt. Die Benutzer möchten aber über den "Schnellzugriff" oder über "Dieser Pc"
auf den Desktop zugreifen. Dazu fehlen Ihnen jetzt die Berechtigungen. Meine Frage ist also ob ich eine Ausnahme definieren kann, das alles gesperrt ist bis auf den Desktop Zugriff?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 398568
Url: https://administrator.de/contentid/398568
Ausgedruckt am: 25.11.2024 um 10:11 Uhr
5 Kommentare
Neuester Kommentar
@stefan12345:
Hallo.
Der Desktop ist Teil des Benutzerprofils. Wenn dieses auf C:\ (also C:\Users\<username>) liegt, dann ist es tatsächlich schwierig, den direkten Zugriff über Explorer/Arbeitsplatz/Dieser PC auf den Desktop zu ermöglichen, wenn der Zugriff auf C:\ komplett per GPO gesperrt ist.
Warum benötigen Deine User denn überhaupt direkten Zugriff über Explorer und Dateisystem nach C:\Users\<username>\Desktop? Sehen werden sie ihn ja wohl sicherlich, ihren Desktop, und damit stehen sie mitsamt Maus und Tastatur doch genau darin und können darin alles machen, was sie brauchen und/oder dürfen?
Ansonsten:
Bei uns sind Ordnerumleitungen für alle Profilverzeichnisse jedes Users außer für "Application Data" und "Appdata" eingerichtet. Die Umleitungen erfolgen ins User-Home auf dem Fileserver, das dem User als Netzlaufwerk H:\ verbunden ist (und das Mapping steht bei den Usereigenschaften im AD für den entsprechenden Serverpfad, also z. B. \\fileserver\homes$\<username>). Beim User ist der Desktop dann verzeichnismäßig z. B. als H:\Desktop zu sehen. Und dort lassen sich alle Zugriffe/Rechte wunderbar über NTFS regeln.
Ich würde entweder über Ordnerumleitung nachdenken, oder die GPO wieder abschaffen. User mit einfachen, unprivilegierten Rechten können in C:\ eigentlich nichts Schlimmes anrichten. Alles, was wirklich kritisch ist, verlangt Adminrechte. Man muß den Usern dann nur beibringen, daß auf C:\ nichts, absolut gar nichts gespeichert gehört (auch nicht in C:\temp oder sonstwo), da es für lokale Platten zumeist kein Backup gibt.
Viele Grüße
von
departure69
Hallo.
Der Desktop ist Teil des Benutzerprofils. Wenn dieses auf C:\ (also C:\Users\<username>) liegt, dann ist es tatsächlich schwierig, den direkten Zugriff über Explorer/Arbeitsplatz/Dieser PC auf den Desktop zu ermöglichen, wenn der Zugriff auf C:\ komplett per GPO gesperrt ist.
Warum benötigen Deine User denn überhaupt direkten Zugriff über Explorer und Dateisystem nach C:\Users\<username>\Desktop? Sehen werden sie ihn ja wohl sicherlich, ihren Desktop, und damit stehen sie mitsamt Maus und Tastatur doch genau darin und können darin alles machen, was sie brauchen und/oder dürfen?
Ansonsten:
Bei uns sind Ordnerumleitungen für alle Profilverzeichnisse jedes Users außer für "Application Data" und "Appdata" eingerichtet. Die Umleitungen erfolgen ins User-Home auf dem Fileserver, das dem User als Netzlaufwerk H:\ verbunden ist (und das Mapping steht bei den Usereigenschaften im AD für den entsprechenden Serverpfad, also z. B. \\fileserver\homes$\<username>). Beim User ist der Desktop dann verzeichnismäßig z. B. als H:\Desktop zu sehen. Und dort lassen sich alle Zugriffe/Rechte wunderbar über NTFS regeln.
Ich würde entweder über Ordnerumleitung nachdenken, oder die GPO wieder abschaffen. User mit einfachen, unprivilegierten Rechten können in C:\ eigentlich nichts Schlimmes anrichten. Alles, was wirklich kritisch ist, verlangt Adminrechte. Man muß den Usern dann nur beibringen, daß auf C:\ nichts, absolut gar nichts gespeichert gehört (auch nicht in C:\temp oder sonstwo), da es für lokale Platten zumeist kein Backup gibt.
Viele Grüße
von
departure69
Ich hab ne GPO durchgezogen die jegliches Speichern auf C:\ für den User verbietet. Ausgenommen sein Profil versteht sich.
Die setzt halt die NTFS Rechte neu. Wenn Interesse daran besteht kann ich morgend mal ein Screen davon posten komme gerade nicht ran.
Die setzt halt die NTFS Rechte neu. Wenn Interesse daran besteht kann ich morgend mal ein Screen davon posten komme gerade nicht ran.
Danke erstmal, die Benutzer sind es gewöhnt und möchten diesen Zugriff nicht missen. Ich überlege mir mal ob ich die GPO dann direkt rausnehme und die ganze Sache über NTFS Berechtigungen löse.
So habe mal ein Paar Bildchen vorbereitet vielleicht kann es ja auch mal jemand brauchen. Läuft bei mir ohne Probleme auf allen Clients inkl. Windows 10.
So sieht es im Bericht aus:
Und nochmal die Details:
Damit sollte man das Problemlos nachbauen können.
So sieht es im Bericht aus:
Damit sollte man das Problemlos nachbauen können.
Super, vielen Dank.
