carsten242
Goto Top

Hauptbenutzer kann Dateien von Mitbenutzern einsehen

Hallo !

Wollte auf einigen W2K prof Clients ( Domäne ) Benutzerkonten als "Hauptbenutzer" einrichten, da diese Benutzer die Dateien ( Dokumente und Einstellungen ) anderer Benutzer nicht sehen sollen. Dies klappt aber nicht, der Zugriff auf die Dateien der anderen Benutzer bleibt trotzdem bestehen.

Beim "querlesen" stolperte ich über die Aussage, dass Hauptbenutzerkonten ausschliesslich lokal gelten.
Allerdings melden sich hier die Benutzer ( egal ob Administrator- oder Hauptbenutzerkonten ) mit lokalen Benutzerkonten/Einstellungen an die Domäne an.
Irgendwas beisst sich da.
Angemeldet an der Domäne sind diese dann unter ihrem Benutzernamen und der entsprechenden Kontoeigenschaft ( Administrator/Hauptbenutzer, lokale benutzereigenschaften )

Hat jemand noch einen Tipp, wie das genau zu verstehen ist ?

Gruss und Dank

Carsten

Content-ID: 27048

Url: https://administrator.de/forum/hauptbenutzer-kann-dateien-von-mitbenutzern-einsehen-27048.html

Ausgedruckt am: 23.12.2024 um 04:12 Uhr

meinereiner
meinereiner 28.02.2006 um 22:25:24 Uhr
Goto Top
Auf die Eigenen Dateien andere User können nur lokale Administratoren zugreifen.
Zum lokalen Admin kann man bei Standardeinstellungen werden, indem das Benutzerkonto Mitglied der lokalen Gruppe Administratoren ist, oder indem es Mitgied in der "Domänengruppe" "Domänen-Administratoren" ist. Letzteres funktioniert nur weil die "Domänen Admistratoren" automatisch in der Gruppe der lokalen Administratoren sind.

Hauptbenutzer kann man nur werden, wenn das Userkonto in der lokalen Gruppe der Hauptbenutzer ist. Eine Gruppe "Domänen Hauptbenutzer" gibt es nämlich nicht.
carsten242
carsten242 01.03.2006 um 07:45:14 Uhr
Goto Top
hmmh, in den lokalen Client Einstellungen=>Benutzer und Kennwörter ist USER A als Standardbenutzer ( Hauptbenutzergruppe ) eingerichtet.
Unter "ERWEITERT"=>lokale Benutzer und Gruppen=>Benutzer sind vordefinierte Konten zu finden: Administrator, ASPNET, Gast...unter Gruppen=>Administratoren, Hauptbenutzer, Benutzer, etc.

Serverseitig im AD ist USER A Mitglied von Domänenbenutzer und einer GRUPPE A (von mir eingerichtet ). GRUPPE A beinhaltet eine Anzahl von USERN, die Zugriff auf ein bestimmtes, freigegebenes Laufwerk im Netz haben sollen. USER A gehört auch dazu.

Eigentlich nichts verdächtiges, evtl. sind die "Sicherheitseinstellungen" von USER A noch von genauerem Interesse ?!
Joggele
Joggele 01.03.2006 um 15:46:41 Uhr
Goto Top
sry hab net viel Zeit, will aber trotzdem geschwind antworten!

Ist die Client Festplatte FAT32 oder NTFS?? Wenn sie nämlich FAT32 ist dann würde das dein Problem erklären!

Gruss Jörg
meinereiner
meinereiner 01.03.2006 um 19:02:28 Uhr
Goto Top
Wie sind denn die Berechtigungen auf den Profilen, wo der User reinkommt obwohl er nicht soll?
carsten242
carsten242 02.03.2006 um 08:12:09 Uhr
Goto Top
@Joggele

Ist alles NTFS formatiert, geht das überhaupt ohne in einer Domäne ? Weiss nicht...egal

@meinereiner

Ich habe nicht genau verstanden, was Du meinst.

USER A ist (im AD) Mitglied von "Domänen-Benutzer" und von "GRUPPE A".

In den Sicherheitseinstellungen der Domänen-Benutzer sind noch Diverse Gruppen mit diversen Berechtigungen zu finden: Administratoren, Authentifzierte Benutzer,SELBST, SYSTEM, etc. wobei die Einstellungen "Authentifzierten Benutzer" wohl relevant sind...denke ich.

Diese dürfen "lesen", "telefon- und Postoptionen lesen" und "senden an".
Die Gruppe SYSTEM z. B. hat Vollzugriff.

Frage mich gerade, was überhaupt Gültigkeit hat. Lokal ist USER A als Hauptbenutzer eingerichtet und steht auch in der Gruppe der Hauptbenutzer.
Wahrscheinlich muss ich "lokale Einstellungen" und "AD" völlig trennen.
meinereiner
meinereiner 02.03.2006 um 08:49:28 Uhr
Goto Top
Ist alles NTFS formatiert, geht das
überhaupt ohne in einer Domäne ?
Weiss nicht...egal

Ja, würde gehen..


In den Sicherheitseinstellungen der
Domänen-Benutzer sind noch Diverse

Da bist du jetzt gaanz wo anders. Das sind die Rechte die für das Objekt im AD dienen. Authentifizierte Benutzer können so den Account überhaupt sehen. MIt dem Filesystem hat das nichts zu tun.


Wahrscheinlich muss ich "lokale
Einstellungen" und "AD"
völlig trennen.

Auf dem lokalen PC trägt erstellt man eigentlich keine User in einer Domäne. Man nimmt höchstens User aus der Domäne und ordnet sie einer lokalen Gruppe zu.


Was ich aber meinte: Geh im Explorer auf "Dokumente und Einstellungen\username". Markier den Ordner - rechte Maustaste - Eigenschaften - dann die Karte Sicherheit. Dort steht wer auf den Ordner wie zugreifen darf.