stefan12345
Goto Top

GPO Ausnahme definieren

Hallo zusammen,

ich würde mich freuen wenn mir jemand helfen kann. Folgendes Problem: Ich habe eine AD mit vier Servern, einem Exchange, DC, TS und SQL, alle laufen auf dem Betriebssystem Server 2016 Standard.

Nun sollte den Usern der Zugriff auf das Laufwerk C verboten werden, dies wurde über die Gruppenrichtlinie gesperrt. Die Benutzer möchten aber über den "Schnellzugriff" oder über "Dieser Pc"

auf den Desktop zugreifen. Dazu fehlen Ihnen jetzt die Berechtigungen. Meine Frage ist also ob ich eine Ausnahme definieren kann, das alles gesperrt ist bis auf den Desktop Zugriff?
unbenannt1

Content-Key: 398568

Url: https://administrator.de/contentid/398568

Ausgedruckt am: 19.03.2024 um 03:03 Uhr

Mitglied: departure69
departure69 17.01.2019 aktualisiert um 18:33:43 Uhr
Goto Top
@stefan12345:

Hallo.

Der Desktop ist Teil des Benutzerprofils. Wenn dieses auf C:\ (also C:\Users\<username>) liegt, dann ist es tatsächlich schwierig, den direkten Zugriff über Explorer/Arbeitsplatz/Dieser PC auf den Desktop zu ermöglichen, wenn der Zugriff auf C:\ komplett per GPO gesperrt ist.

Warum benötigen Deine User denn überhaupt direkten Zugriff über Explorer und Dateisystem nach C:\Users\<username>\Desktop? Sehen werden sie ihn ja wohl sicherlich, ihren Desktop, und damit stehen sie mitsamt Maus und Tastatur doch genau darin und können darin alles machen, was sie brauchen und/oder dürfen?

Ansonsten:

Bei uns sind Ordnerumleitungen für alle Profilverzeichnisse jedes Users außer für "Application Data" und "Appdata" eingerichtet. Die Umleitungen erfolgen ins User-Home auf dem Fileserver, das dem User als Netzlaufwerk H:\ verbunden ist (und das Mapping steht bei den Usereigenschaften im AD für den entsprechenden Serverpfad, also z. B. \\fileserver\homes$\<username>). Beim User ist der Desktop dann verzeichnismäßig z. B. als H:\Desktop zu sehen. Und dort lassen sich alle Zugriffe/Rechte wunderbar über NTFS regeln.

Ich würde entweder über Ordnerumleitung nachdenken, oder die GPO wieder abschaffen. User mit einfachen, unprivilegierten Rechten können in C:\ eigentlich nichts Schlimmes anrichten. Alles, was wirklich kritisch ist, verlangt Adminrechte. Man muß den Usern dann nur beibringen, daß auf C:\ nichts, absolut gar nichts gespeichert gehört (auch nicht in C:\temp oder sonstwo), da es für lokale Platten zumeist kein Backup gibt.


Viele Grüße

von

departure69
Mitglied: UnbekannterNR1
UnbekannterNR1 17.01.2019 um 18:46:03 Uhr
Goto Top
Ich hab ne GPO durchgezogen die jegliches Speichern auf C:\ für den User verbietet. Ausgenommen sein Profil versteht sich.
Die setzt halt die NTFS Rechte neu. Wenn Interesse daran besteht kann ich morgend mal ein Screen davon posten komme gerade nicht ran.
Mitglied: stefan12345
stefan12345 18.01.2019 um 13:22:31 Uhr
Goto Top
Danke erstmal, die Benutzer sind es gewöhnt und möchten diesen Zugriff nicht missen. Ich überlege mir mal ob ich die GPO dann direkt rausnehme und die ganze Sache über NTFS Berechtigungen löse.
Mitglied: UnbekannterNR1
UnbekannterNR1 18.01.2019 um 19:18:03 Uhr
Goto Top
So habe mal ein Paar Bildchen vorbereitet vielleicht kann es ja auch mal jemand brauchen. Läuft bei mir ohne Probleme auf allen Clients inkl. Windows 10.

So sieht es im Bericht aus:
anmerkung 2019-01-18 184954
Und nochmal die Details:
anmerkung 2019-01-18 185402
anmerkung 2019-01-18 185529

Damit sollte man das Problemlos nachbauen können.
Mitglied: stefan12345
stefan12345 19.01.2019 um 14:49:46 Uhr
Goto Top
Super, vielen Dank.