6
Kann man einen Computer eines AD in einem Verzeichnis Freigabe-Rechte zuweisen?
Hallo Admins,
ich habe vier Computerräume und ich möchte, dass die User, wenn sie in einem der Räume sind, Zugang zu einem Tauschordner in diesem Raum bekommen.
Außerhalb des Raumes sollen sie aber keinen Zugang zu diesem Tauschordner haben. Im zweiten, dritten und vierten Raum soll der User ebenfalls, solange er im entsprechendem Raum ist, auf den jeweiligen Tauschordner Zugriff haben. Außerhalb der Räume nicht.
Ideal wäre es nun, alle Computer eines Raumes als "Computer-User-Gruppe" anzulegen und ihnen auf das Tauschverzeichnis ihres Raumes Zugriff zu geben, egal welcher Realuser angemeldet ist. Arbeitet der Realuser außerhalb des Raumes verliert er ja dadurch die Rechte wieder.
Ich kann die Computer-Gruppe im AD eintragen und ich kann sie bei der Rechtevergabe des Ordners eintragen, aber der Ordner bleibt gesperrt, wenn ich von einem berechtigten Computer zuggreifen will. Den User hab ich dabei nicht bei den Rechten auf den Tauschordner eingetragen.
Heißt das nun, dass ich einen Computer grundsätzlich nicht als User behandeln kann oder gibt es für mein Szenario eine Alternative.
Bin für jede Hilfe dankbar.
Marco
ich habe vier Computerräume und ich möchte, dass die User, wenn sie in einem der Räume sind, Zugang zu einem Tauschordner in diesem Raum bekommen.
Außerhalb des Raumes sollen sie aber keinen Zugang zu diesem Tauschordner haben. Im zweiten, dritten und vierten Raum soll der User ebenfalls, solange er im entsprechendem Raum ist, auf den jeweiligen Tauschordner Zugriff haben. Außerhalb der Räume nicht.
Ideal wäre es nun, alle Computer eines Raumes als "Computer-User-Gruppe" anzulegen und ihnen auf das Tauschverzeichnis ihres Raumes Zugriff zu geben, egal welcher Realuser angemeldet ist. Arbeitet der Realuser außerhalb des Raumes verliert er ja dadurch die Rechte wieder.
Ich kann die Computer-Gruppe im AD eintragen und ich kann sie bei der Rechtevergabe des Ordners eintragen, aber der Ordner bleibt gesperrt, wenn ich von einem berechtigten Computer zuggreifen will. Den User hab ich dabei nicht bei den Rechten auf den Tauschordner eingetragen.
Heißt das nun, dass ich einen Computer grundsätzlich nicht als User behandeln kann oder gibt es für mein Szenario eine Alternative.
Bin für jede Hilfe dankbar.
Marco
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 606105
Url: https://administrator.de/contentid/606105
Printed on: April 24, 2024 at 13:04 o'clock
6 Comments
Latest comment
Hallo Marco
Ich sehe bei diesem Szenario keine Möglichkeit dies so umzusetzen, da du die User ja berechtigen musst, damit sie Zugriff haben, den Computern nützt das hier nichts und diese würde ich auch wieder entfernen.
Mit eine Script auf jedem Computer könnte man dies evtl. automatisieren, dass der User berechtigt wird, wenn er sich vom entsprechenden Raum aus anmeldet.
Am einfachsten wäre es wohl, wenn die User verschiedene Accounts hätten, sprich User1_Raum1, User1_Raum2 etc..
Ich vermute mal, dass bei dir auch kein Active Directory verfügbar ist?
Edit:
Im Titel steht ja AD, sorry..
Dann würde ich dies mit Gruppen, Scripts und GPO versuchen zu lösen.
Gruss Raphael
Ich sehe bei diesem Szenario keine Möglichkeit dies so umzusetzen, da du die User ja berechtigen musst, damit sie Zugriff haben, den Computern nützt das hier nichts und diese würde ich auch wieder entfernen.
Mit eine Script auf jedem Computer könnte man dies evtl. automatisieren, dass der User berechtigt wird, wenn er sich vom entsprechenden Raum aus anmeldet.
Am einfachsten wäre es wohl, wenn die User verschiedene Accounts hätten, sprich User1_Raum1, User1_Raum2 etc..
Ich vermute mal, dass bei dir auch kein Active Directory verfügbar ist?
Edit:
Im Titel steht ja AD, sorry..
Dann würde ich dies mit Gruppen, Scripts und GPO versuchen zu lösen.
Gruss Raphael
Ja. Geht über Firewallregeln.
Wir haben das ganze ähnlich abgebildet, jedoch nicht für Schüler/Lehrer sondern für Auszubildende/Ausbilder - aber das Prinzip ist das selbe. Es gibt einen unsichtbaren Share-Ordner, auf den die Auszubildenden über Ordnerberichtigungen nicht direkt draufzugreifen können, sondern nur auf die Unterordner. Unsere Clients haben haben eine Namensstruktur (Raumnummer-Clientnummer z.B. R1-01) und eine Gruppenmitgliedschaft (Raum01).
In den User-GPO´s haben wir festgelegt, dass ein Netzlaufwerk verbunden wird (das Share-Verzeichnis des Raums (\\filserver\roomshare$\Raum01), wenn der Computer Mitglied der Gruppe Raum01 ist. Selbiges für die darauffolgenden Räume.
Man könnte nun noch ein Skript schreiben, welches z.B. nach dem Abmelden an der Lehrerstation (wenn vorhanden) der Raumordner geleert werden soll.
Eventuell hab ich dir ein paar Anreize gegeben.
Strenggenommen haben die User so noch einen Zugriff auf den Ordner, in dem die Dateien liegen, jedoch ist es nicht sichtbar für die jenigen. Ich weiß nicht, wie begabt die Schüler bei euch sind, um so etwas zu durchschauen und sich einen Zugriff erlangen können.
In den User-GPO´s haben wir festgelegt, dass ein Netzlaufwerk verbunden wird (das Share-Verzeichnis des Raums (\\filserver\roomshare$\Raum01), wenn der Computer Mitglied der Gruppe Raum01 ist. Selbiges für die darauffolgenden Räume.
Man könnte nun noch ein Skript schreiben, welches z.B. nach dem Abmelden an der Lehrerstation (wenn vorhanden) der Raumordner geleert werden soll.
Eventuell hab ich dir ein paar Anreize gegeben.
Strenggenommen haben die User so noch einen Zugriff auf den Ordner, in dem die Dateien liegen, jedoch ist es nicht sichtbar für die jenigen. Ich weiß nicht, wie begabt die Schüler bei euch sind, um so etwas zu durchschauen und sich einen Zugriff erlangen können.
Vielen Dank für die Möglichkeiten, tatsächlich habe ich schon auch über verschiedene Userkonten pro Person nachgedacht, aber das wären dann 5 Zugänge....
Auch die GPO Regeln für das Anlegen des jeweiligen Laufwerks und am Ende das Löschen desselben kam mir in den Sinn. Das Anlegen von Laufwerken kann ich ja für den User unterbinden uns selbst die Suche nach der Netzfreigabe kann ich wohl per GPO unterbinden, so dass meine Schüler die Freigaben nicht finden. Auf diese Lösung wird es wohl hinauslaufen. Vielen Dank.
Bei der Firewalllösung hab ich nur den Verdacht, dass ich pro PC eine Firewallregel aufstellen kann, wer auf den PC zugriff hat. Das werde ich mir auf jeden Fall mal ansehen. "Leider" (nur für diesen Fall) wird bei uns die Firewall vom Oberadmin im Landratsamt gesteuert und an meiner Schule habe ich darauf keinen Zugriff.
Trotzdem Danke, hat mir weiteres Ausprobieren in die falsche Richtung erspart!
Marco
Auch die GPO Regeln für das Anlegen des jeweiligen Laufwerks und am Ende das Löschen desselben kam mir in den Sinn. Das Anlegen von Laufwerken kann ich ja für den User unterbinden uns selbst die Suche nach der Netzfreigabe kann ich wohl per GPO unterbinden, so dass meine Schüler die Freigaben nicht finden. Auf diese Lösung wird es wohl hinauslaufen. Vielen Dank.
Bei der Firewalllösung hab ich nur den Verdacht, dass ich pro PC eine Firewallregel aufstellen kann, wer auf den PC zugriff hat. Das werde ich mir auf jeden Fall mal ansehen. "Leider" (nur für diesen Fall) wird bei uns die Firewall vom Oberadmin im Landratsamt gesteuert und an meiner Schule habe ich darauf keinen Zugriff.
Trotzdem Danke, hat mir weiteres Ausprobieren in die falsche Richtung erspart!
Marco
Zitat von @Cbymaz:
Bei der Firewalllösung hab ich nur den Verdacht, dass ich pro PC eine Firewallregel aufstellen kann, wer auf den PC zugriff hat. Das werde ich mir auf jeden Fall mal ansehen. "Leider" (nur für diesen Fall) wird bei uns die Firewall vom Oberadmin im Landratsamt gesteuert und an meiner Schule habe ich darauf keinen Zugriff.
Bei der Firewalllösung hab ich nur den Verdacht, dass ich pro PC eine Firewallregel aufstellen kann, wer auf den PC zugriff hat. Das werde ich mir auf jeden Fall mal ansehen. "Leider" (nur für diesen Fall) wird bei uns die Firewall vom Oberadmin im Landratsamt gesteuert und an meiner Schule habe ich darauf keinen Zugriff.
Ich weiß nicht ob ich dich richtig verstanden habe. Wenn du GPO´s erstellen kannst, kannst du (normalerweise) auch eine GPO-Firewall einrichten, mit Zugriffsrechten - oder du erklärst einmal was du mit Oberadmin im Landratsamt genau meinst bzw. welches FW-Produkt.
Du hast leider nicht geschrieben was für Software du einesetzt ?!?
Ich glaube ab Server 2012 villeicht auch schon früher, gibt es genau dafür möglichkeiten in den Berechtigungen.
Du kannst Computer in Gruppen werfen wie bereits erkannt wurde. Und bei Ordnerbererechtigungen kann man diese Gruppen wieder auswerten über Bedingugnen.
Möglich wäre z.b. der Ordner Austausch Raum A: Zugriff Jeder mit der Bedingung das, das Gerät in Gruppe Raum A ist. Lässt sich natürlich nochum Lehrer PCs etc erweitern.
Ich glaube ab Server 2012 villeicht auch schon früher, gibt es genau dafür möglichkeiten in den Berechtigungen.
Du kannst Computer in Gruppen werfen wie bereits erkannt wurde. Und bei Ordnerbererechtigungen kann man diese Gruppen wieder auswerten über Bedingugnen.
Möglich wäre z.b. der Ordner Austausch Raum A: Zugriff Jeder mit der Bedingung das, das Gerät in Gruppe Raum A ist. Lässt sich natürlich nochum Lehrer PCs etc erweitern.
