mz..09
28.09.2021
view5559
view7
0
Goto Top

Ordner erstellen auf C: unterbinden

gelöstFrageMicrosoftWindows Netzwerk
Hallo,
ich habe festgestellt, das "normale" AD-User bei uns in der Domäne auf C: neue Ordner erstellen können. Dies würde ich gerne abstellen, aber das erstellen von Ordnern auf dem Desktop z.B. soll weiterhin möglich sein. Das alles am liebsten per GPO.
Hab dort bereits den Punkt "Computerkonfiguration \ Richtlinien \ Windows-Einstellungen \ Sicherheitseinstellungen \ Dateisystem" und dort %SystemRoot% für Benutzer nur auf Lesen, ausführen und ändern und für Admins Vollzugriff. Hat aber keinen Erfolg gebracht.
Hat jemand einen Tipp für mich?
Besten Dank
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 1318480641

Url: https://administrator.de/contentid/1318480641

Ausgedruckt am: 22.11.2024 um 04:11 Uhr

7 Kommentare
Neuester Kommentar
Goto Top
support-m
support-m 28.09.2021 um 15:49:59 Uhr
Goto Top
Hi,
müssen deine User überhaupt direkt auf C: zugreifen?
Wenn nicht, setzte die GPO "Zugriff auf lokale Laufwerke vom Arbeitsplatz nicht zulassen" unter Benutzerkonfiguration > Richtlinien > Administrative Vorlagen > Datei-Explorer.

Vielleicht reicht dir das schon?

MfG
DerWoWusste
Lösung DerWoWusste 28.09.2021 um 16:03:11 Uhr
Goto Top
Dein Ansatz ist korrekt.

So machen wir's und es geht:
capture
MaceWindu
MaceWindu 28.09.2021 um 16:04:41 Uhr
Goto Top
Hallo,
Erstell eine AD-Gruppe "C_deny", schmeiß die User rein, bastel dir einen passenden Befehl per icacls welcher "C_deny" ein Schreiben auf C verweigert - idealerweise ohne Vererbung face-wink - und verteil per GPO.

SG
MZ..09
MZ..09 29.09.2021 um 08:39:08 Uhr
Goto Top
Zitat von @support-it:

Hi,
müssen deine User überhaupt direkt auf C: zugreifen?
Wenn nicht, setzte die GPO "Zugriff auf lokale Laufwerke vom Arbeitsplatz nicht zulassen" unter Benutzerkonfiguration > Richtlinien > Administrative Vorlagen > Datei-Explorer.

Vielleicht reicht dir das schon?

MfG

Das ist keine Option, der Zugriff muss gegegeben sein.


Zitat von @DerWoWusste:

Dein Ansatz ist korrekt.

So machen wir's und es geht:
capture

Habe das so nachgebaut, mein Testuser (ja, GPO ist der richtigen OU zugeordnet face-wink ) kann aber immernoch auf C: einen Ordner erstellen.
c

Zitat von @MaceWindu:

Hallo,
Erstell eine AD-Gruppe "C_deny", schmeiß die User rein, bastel dir einen passenden Befehl per icacls welcher "C_deny" ein Schreiben auf C verweigert - idealerweise ohne Vererbung face-wink - und verteil per GPO.

SG

icacls werde ich mir mal ansehen, kannte ich bisher nicht (Schande auf mein Haupt)
DerWoWusste
Lösung DerWoWusste 29.09.2021 aktualisiert um 09:14:34 Uhr
Goto Top
Habe das so nachgebaut, mein Testuser (ja, GPO ist der richtigen OU zugeordnet face-wink face-wink )
Und in der OU sind Computerobjekte?
Hast Du getestet, ob die GPO ankommt? Dazu
gpresult /h %temp%\result.html & %temp%\result.html
am Client ausführen.
MZ..09
MZ..09 29.09.2021 um 09:27:41 Uhr
Goto Top
Zitat von @DerWoWusste:

Habe das so nachgebaut, mein Testuser (ja, GPO ist der richtigen OU zugeordnet face-wink face-wink )
Und in der OU sind Computerobjekte?
Hast Du getestet, ob die GPO ankommt? Dazu
gpresult /h %temp%\result.html & %temp%\result.html
am Client ausführen.

Peinlich. War nur mit einer Benutzer-OU verknüpft. Jetzt mit einem Computerobjekt funktioniert es. Danke für den Hinweis.
DerWoWusste
DerWoWusste 29.09.2021 um 09:37:19 Uhr
Goto Top
Keine Ursache face-smile
gelöstFrageMicrosoftWindows Netzwerk
Mehr von MZ..09MZ..09Buchungsoptionen in RessourcenkalenderMZ..09 - 1 KommentarMZ..09Berechtigungen für RSAT ToolsMZ..09 - 10 KommentareMZ..09(OL 2010) Einige ungelesen Mails nicht im Posteingang angezeigtMZ..09 - 1 KommentarMZ..09Nebengebäude in Netzwerk einbindenMZ..09 - 21 Kommentare
Heiß diskutiert
superfun2k24Sophos SFOS 20 DNAT funktioniert nichtsuperfun2k24 - 26 Kommentareuser217Kaufberatung Hardware - Hyper-V Cluster 3 Nodesuser217 - 25 KommentarePharaunIntel-E810 QSFP28 to Mikrotik QSPF+ mit 40Gbit VerbindungPharaun - 23 KommentarecseLaufwege erfassen in großer Hallecse - 20 Kommentareprplemk2Testumgebung bauen (Grundlegend)prplemk2 - 19 KommentareaufdemmarsHP Z620 USB hat kein Strom beim Startenaufdemmars - 17 KommentareYan2021Nachricht an mehrere PCs im Netzwerk sendenYan2021 - 17 KommentareTJ.Hooker74Dom.Admin-Passwort ändern - Auswirkungen auf EX, HCW, AADCTJ.Hooker74 - 14 KommentareadmtechEntwicklertagebuch: Release 6.4 - Filteradmtech - 13 KommentaremaisenkaiserSwitch ohne STP ins Netzwerkmaisenkaiser - 13 KommentareJudgelgZertifikate in die Exchange Online GAL hochladenJudgelg - 13 KommentareleberkaeseFB7590 ISDN Fax-Funktionleberkaese - 12 Kommentare