9
Lokale Ordnerberechtigungen für Nutzer einrichten
Hallo,
Die Admin-Abteilung ist von unseren Ausbilden gebeten worden, den Auszubildenden den Schreibzugriff auf den Desktop zu entziehen. Unsere Azubis haben ein Mandatory-Profil zugewiesen, sowie eine Ordnerumleitung für Dokumente, Downloads, Musik und Videos auf ihr HomeDrive. Der Ordner Desktop bleibt im Verzeichnis „C:\Users\%username\Desktop und ist im Explorer bereits ausgeblendet. Leider kommt es trotz Hinweis auf dem Wallpaper dazu, dass Daten auf dem Desktop gespeichert werden, welche bei der Abmeldung verloren gehen.
Da die Lookback-GPO Verarbeitung an unseren Rechnern aktiv ist, habe ich überlegt, dass ganze über Dateisystem-Berechtigungen zu lösen, jedoch funktioniert dies nicht. In der GPO für unsere Azubis habe ich bereits folgendes versucht.
Computerkonfiguration --> Richtlinien --> Windows-Einstellungen --> Sicherheitseinstellungen --> Dateisystem eine neue Richtlinie für %UserProfile%/Desktop anzulegen und darauf der Gruppe „Azubis“ das Schreibrecht auf Verweigert zu setzten.
Wenn ich mich jedoch nun mit einem Account anmelde (z.B. dem Template für Azubis) kann ich auf dem Desktop immer noch Ordner und Dateien erstellen. Melde ich mich in einer zweiten Sitzung als Admin an und schaue in das Profil samt Ordnerrechten sehe ich bei „C:\Users\%username%\Desktop“ die Gruppe „Administratoren“ und den Benutzernamen (hier Template für Azubis) sowie „System“ mit Vollzugriff, d.h. meine Konfiguration ist nicht übernommen worden.
Habe ich einen Denkfehler in meiner Konfiguration, oder gibt es andere Möglichkeiten dies umzusetzen?
Natürlich habe ich bereits ein gpudate und ein Neustart des Systems durchgeführt.
Über Ideen, Ratschläge etc. würde ich mich freuen,
Grüße
Die Admin-Abteilung ist von unseren Ausbilden gebeten worden, den Auszubildenden den Schreibzugriff auf den Desktop zu entziehen. Unsere Azubis haben ein Mandatory-Profil zugewiesen, sowie eine Ordnerumleitung für Dokumente, Downloads, Musik und Videos auf ihr HomeDrive. Der Ordner Desktop bleibt im Verzeichnis „C:\Users\%username\Desktop und ist im Explorer bereits ausgeblendet. Leider kommt es trotz Hinweis auf dem Wallpaper dazu, dass Daten auf dem Desktop gespeichert werden, welche bei der Abmeldung verloren gehen.
Da die Lookback-GPO Verarbeitung an unseren Rechnern aktiv ist, habe ich überlegt, dass ganze über Dateisystem-Berechtigungen zu lösen, jedoch funktioniert dies nicht. In der GPO für unsere Azubis habe ich bereits folgendes versucht.
Computerkonfiguration --> Richtlinien --> Windows-Einstellungen --> Sicherheitseinstellungen --> Dateisystem eine neue Richtlinie für %UserProfile%/Desktop anzulegen und darauf der Gruppe „Azubis“ das Schreibrecht auf Verweigert zu setzten.
Wenn ich mich jedoch nun mit einem Account anmelde (z.B. dem Template für Azubis) kann ich auf dem Desktop immer noch Ordner und Dateien erstellen. Melde ich mich in einer zweiten Sitzung als Admin an und schaue in das Profil samt Ordnerrechten sehe ich bei „C:\Users\%username%\Desktop“ die Gruppe „Administratoren“ und den Benutzernamen (hier Template für Azubis) sowie „System“ mit Vollzugriff, d.h. meine Konfiguration ist nicht übernommen worden.
Habe ich einen Denkfehler in meiner Konfiguration, oder gibt es andere Möglichkeiten dies umzusetzen?
Natürlich habe ich bereits ein gpudate und ein Neustart des Systems durchgeführt.
Über Ideen, Ratschläge etc. würde ich mich freuen,
Grüße
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 480374
Url: https://administrator.de/contentid/480374
Printed on: April 19, 2024 at 20:04 o'clock
9 Comments
Latest comment
Hallo.
Ich kann Deine Frage leider nicht beantworten, sondern nur, unhöflicherweise, sorry, mit einer Gegenfrage antworten:
Wenn schon für versch. Verzeichnisse eine Ordnerumleitung ins Userhome per GPO aktiv ist, warum nicht auch für den User-Desktop? Der läßt sich ganz genauso umleiten, und dann sollte auch nichts mehr verloren gehen (davon ausgehend, daß die User-Homes im Netzwerk gesichert werden).
Viele Grüße
von
departure69
Ich kann Deine Frage leider nicht beantworten, sondern nur, unhöflicherweise, sorry, mit einer Gegenfrage antworten:
Wenn schon für versch. Verzeichnisse eine Ordnerumleitung ins Userhome per GPO aktiv ist, warum nicht auch für den User-Desktop? Der läßt sich ganz genauso umleiten, und dann sollte auch nichts mehr verloren gehen (davon ausgehend, daß die User-Homes im Netzwerk gesichert werden).
Viele Grüße
von
departure69
Hi,
Der allgemein empfohlene Weg ist, den Desktop-Ordner auf eine Netzwerkfreigabe umzuleiten, wo der Benutzer nicht schreiben darf. Da kann man alle Benutzer auf den selben Ordner umleiten. Aber Achtung: In der GPO nicht aktivieren, dass vorhandene Inhalte verschoben werden sollen, und auch nicht, dass der Benutzer exklusiven Zugriff haben soll.
E.
Habe ich einen Denkfehler in meiner Konfiguration
Ja.Computerkonfiguration --> Richtlinien ....Dateisystem eine neue Richtlinie für %UserProfile%/Desktop
Wenn, dann kannst Du sowas nur per Startup- oder Loginscript erledigen.Der allgemein empfohlene Weg ist, den Desktop-Ordner auf eine Netzwerkfreigabe umzuleiten, wo der Benutzer nicht schreiben darf. Da kann man alle Benutzer auf den selben Ordner umleiten. Aber Achtung: In der GPO nicht aktivieren, dass vorhandene Inhalte verschoben werden sollen, und auch nicht, dass der Benutzer exklusiven Zugriff haben soll.
E.
Hi,
halte den Vorschlag den Desktop ebenfalls umzuleiten für erheblich besser als soetwas hinzufriemeln.
Dennoch: Was dein Problem angeht ich bin mir nicht wirklich sicher ob die GPO %UserProfile% richtig auflösen kann.
Teste doch erstmal an einem Ordner mit fixem Pfad und schaue ob die GPO überhaupt greift.
Grüße
halte den Vorschlag den Desktop ebenfalls umzuleiten für erheblich besser als soetwas hinzufriemeln.
Dennoch: Was dein Problem angeht ich bin mir nicht wirklich sicher ob die GPO %UserProfile% richtig auflösen kann.
Teste doch erstmal an einem Ordner mit fixem Pfad und schaue ob die GPO überhaupt greift.
Grüße
Hallo,
erstmal danke für eure Rückmeldung.
@departure69: Ordnerumleitung für den Desktop ist nicht vorhanden, weil dies so nicht gewünscht war. Gewünscht war, dass jeder Nutzer (da in manchen Räumen andere Anwendungen genutzt werden, welche auf den Rechnern in dem anderen Raum z.B. nicht installiert sind) für den Raum einen jeweiligen Desktop zugewiesen bekommt - am sinnvollsten war es dabei (meiner Meinung nach) den Ordner nicht umzuleiten und dann immer über die jeweilige Raum-GPO die Desktop-Verknüpfungen zuzuweisen.
@emeriks: Ich dachte, wenn das ganze in einer Loopback-Verarbeitung ausgeführt wird, wird dies schon klappen, weil die Benutzerkonfigurationen auch tadellos laden, obwohl diese mit der jeweiligen Raum OU in der sich nur die Rechner befinden verknüpft sind und nicht mit den Benutzern, aber durch Filter getrennt (Sicherheitsfilter/WMI-Filter) werden. Die Idee mit der Umleitung kam mir auch, jedoch müsste ich, wenn ich richtige denke für jeden Raum, da jeder Raum andere Software besitzt einen Ordner erstellen und dahin umleiten? Und damit die Verknüpfungen per Richtlinie übernommen werden müsste dann der Haken bei "Im Sicherheitskontext des Benutzers ausführen" deaktiviert sein, oder?
@Bitboy: Die Variable %UserProfile% ist mir bei der Auswahl des Desktops im Dialogfeld automatisch eingetragen worden. Ich werde es aber mal mit einem fixen Pfad testen, ob die Richtlinie übernommen wird.
Grüße
erstmal danke für eure Rückmeldung.
@departure69: Ordnerumleitung für den Desktop ist nicht vorhanden, weil dies so nicht gewünscht war. Gewünscht war, dass jeder Nutzer (da in manchen Räumen andere Anwendungen genutzt werden, welche auf den Rechnern in dem anderen Raum z.B. nicht installiert sind) für den Raum einen jeweiligen Desktop zugewiesen bekommt - am sinnvollsten war es dabei (meiner Meinung nach) den Ordner nicht umzuleiten und dann immer über die jeweilige Raum-GPO die Desktop-Verknüpfungen zuzuweisen.
@emeriks: Ich dachte, wenn das ganze in einer Loopback-Verarbeitung ausgeführt wird, wird dies schon klappen, weil die Benutzerkonfigurationen auch tadellos laden, obwohl diese mit der jeweiligen Raum OU in der sich nur die Rechner befinden verknüpft sind und nicht mit den Benutzern, aber durch Filter getrennt (Sicherheitsfilter/WMI-Filter) werden. Die Idee mit der Umleitung kam mir auch, jedoch müsste ich, wenn ich richtige denke für jeden Raum, da jeder Raum andere Software besitzt einen Ordner erstellen und dahin umleiten? Und damit die Verknüpfungen per Richtlinie übernommen werden müsste dann der Haken bei "Im Sicherheitskontext des Benutzers ausführen" deaktiviert sein, oder?
@Bitboy: Die Variable %UserProfile% ist mir bei der Auswahl des Desktops im Dialogfeld automatisch eingetragen worden. Ich werde es aber mal mit einem fixen Pfad testen, ob die Richtlinie übernommen wird.
Grüße
Zitat von @c0d3.r3d:
@emeriks: Ich dachte, wenn das ganze in einer Loopback-Verarbeitung ausgeführt wird, wird dies schon klappen, weil die Benutzerkonfigurationen auch tadellos laden,
Das hat mit Loopback rein gar nichts zu tun. Auch bei Loopback werden keine Computerkonfigurationen auf Benutzer angewendet.@emeriks: Ich dachte, wenn das ganze in einer Loopback-Verarbeitung ausgeführt wird, wird dies schon klappen, weil die Benutzerkonfigurationen auch tadellos laden,
Die Variable %USERPROFILE% verweist im Computerkontext auf %SYSTEMROOT%\System32\config\systemprofile.
Ich werde es aber mal mit einem fixen Pfad testen, ob die Richtlinie übernommen wird.
Ja, wird sie. Aber dann musst Du das für jeden bekannten Benutzer so eintragen. Und dann bei jedem neuen Benutzer die GPO erneut anpassen. Da fährst Du mit einem einfachen PowerShell-Script, welches als Loginscript ausgeführt wird, viel eleganter. Sogar ne einfache Batch reicht dafür aus.Zitat von @emeriks:
Da fährst Du mit einem einfachen PowerShell-Script, welches als Loginscript ausgeführt wird, viel eleganter. Sogar ne einfache Batch reicht dafür aus.
Da fährst Du mit einem einfachen PowerShell-Script, welches als Loginscript ausgeführt wird, viel eleganter. Sogar ne einfache Batch reicht dafür aus.
Wie würden denn so eine Batch-Datei bzw. ein Powershell-Skript aussehen? Damit hab ich mich bisher nämlich noch gar nicht auseinander gesetzt, mit dieser Möglichkeit, diese klingt am einfachsten und auch am besten Umsetzbar in Verwendung mit Terminal-Servern in manchen Räumen.
Das Netz ist voll damnit.
z.B.
How to grant permission to users for a directory using command line in Windows?
Grober Ablauf Loginscript
z.B.
How to grant permission to users for a directory using command line in Windows?
Grober Ablauf Loginscript
- Registry HKCU abfragen --> Pfad zum Desktop
- NTFS-Rechte für diesen Ordner für den aktuellen Benutzer einschränken
Zitat von @c0d3.r3d:
Hallo,
erstmal danke für eure Rückmeldung.
@departure69: Ordnerumleitung für den Desktop ist nicht vorhanden, weil dies so nicht gewünscht war. Gewünscht war, dass jeder Nutzer (da in manchen Räumen andere Anwendungen genutzt werden, welche auf den Rechnern in dem anderen Raum z.B. nicht installiert sind) für den Raum einen jeweiligen Desktop zugewiesen bekommt - am sinnvollsten war es dabei (meiner Meinung nach) den Ordner nicht umzuleiten und dann immer über die jeweilige Raum-GPO die Desktop-Verknüpfungen zuzuweisen.
Grüße
Hallo,
erstmal danke für eure Rückmeldung.
@departure69: Ordnerumleitung für den Desktop ist nicht vorhanden, weil dies so nicht gewünscht war. Gewünscht war, dass jeder Nutzer (da in manchen Räumen andere Anwendungen genutzt werden, welche auf den Rechnern in dem anderen Raum z.B. nicht installiert sind) für den Raum einen jeweiligen Desktop zugewiesen bekommt - am sinnvollsten war es dabei (meiner Meinung nach) den Ordner nicht umzuleiten und dann immer über die jeweilige Raum-GPO die Desktop-Verknüpfungen zuzuweisen.
Grüße
Die unterschiedlichen Anwendungen auf den Rechnern machen in dem Szenario aber bloß dann ein Problem, wenn die User Programmverknüpfungen auf dem Desktop haben (die dann natürlich nicht überall funktionieren, wenn die Anwendung nicht überall existiert, logisch).
Aber:
Auf den User-Desktop gehören m. E. auch gar keine Programmverknüpfungen! Bei uns sind alle Programmverknüpfungen im öffentlich-lokalen Desktop-Profil des jeweiligen Rechners. Die (per GPO ordnerumgeleiteten) User-Desktops enthalten nur Dateien oder Dateiverknüpfungen von oder zu Dokumenten (größtenteils *,docx, *.xlsx und *.pdf). Wenn das so getrennt ist, gibt's auch kein Problem beim "Mitwandern" eines User-Desktop auf einen anderen Rechner, der völlig andere Anwendungen enthält.
Viele Grüße
von
departure69
Hallo,
das mit dem öffentlichen Desktop schau ich mir mal an, werde dies mal in die Runde werfen, und schauen wie es angenommen wird. Ich tippe aber darauf, dass es abgelehnt wird, weil von Anfang an die Anforderung war, dass auf dem Desktop keine Daten gespeichert werden sollen, damit dieser nicht "überläuft" vor Dateien.
das mit dem öffentlichen Desktop schau ich mir mal an, werde dies mal in die Runde werfen, und schauen wie es angenommen wird. Ich tippe aber darauf, dass es abgelehnt wird, weil von Anfang an die Anforderung war, dass auf dem Desktop keine Daten gespeichert werden sollen, damit dieser nicht "überläuft" vor Dateien.
