Ordner erstellen auf C: unterbinden

Hallo,
ich habe festgestellt, das "normale" AD-User bei uns in der Domäne auf C: neue Ordner erstellen können. Dies würde ich gerne abstellen, aber das erstellen von Ordnern auf dem Desktop z.B. soll weiterhin möglich sein. Das alles am liebsten per GPO.
Hab dort bereits den Punkt "Computerkonfiguration \ Richtlinien \ Windows-Einstellungen \ Sicherheitseinstellungen \ Dateisystem" und dort %SystemRoot% für Benutzer nur auf Lesen, ausführen und ändern und für Admins Vollzugriff. Hat aber keinen Erfolg gebracht.
Hat jemand einen Tipp für mich?
Besten Dank

Content-Key: 1318480641

Url: https://administrator.de/contentid/1318480641

Ausgedruckt am: 27.10.2021 um 07:10 Uhr

Mitglied: support-it
support-it 28.09.2021 um 15:49:59 Uhr
Goto Top
Hi,
müssen deine User überhaupt direkt auf C: zugreifen?
Wenn nicht, setzte die GPO "Zugriff auf lokale Laufwerke vom Arbeitsplatz nicht zulassen" unter Benutzerkonfiguration > Richtlinien > Administrative Vorlagen > Datei-Explorer.

Vielleicht reicht dir das schon?

MfG
Mitglied: DerWoWusste
Lösung DerWoWusste 28.09.2021 um 16:03:11 Uhr
Goto Top
Dein Ansatz ist korrekt.

So machen wir's und es geht:
capture
Mitglied: MaceWindu
MaceWindu 28.09.2021 um 16:04:41 Uhr
Goto Top
Hallo,
Erstell eine AD-Gruppe "C_deny", schmeiß die User rein, bastel dir einen passenden Befehl per icacls welcher "C_deny" ein Schreiben auf C verweigert - idealerweise ohne Vererbung ;-) face-wink - und verteil per GPO.

SG
Mitglied: MZ..09
MZ..09 29.09.2021 um 08:39:08 Uhr
Goto Top
Zitat von @support-it:

Hi,
müssen deine User überhaupt direkt auf C: zugreifen?
Wenn nicht, setzte die GPO "Zugriff auf lokale Laufwerke vom Arbeitsplatz nicht zulassen" unter Benutzerkonfiguration > Richtlinien > Administrative Vorlagen > Datei-Explorer.

Vielleicht reicht dir das schon?

MfG

Das ist keine Option, der Zugriff muss gegegeben sein.




Zitat von @DerWoWusste:

Dein Ansatz ist korrekt.

So machen wir's und es geht:
capture

Habe das so nachgebaut, mein Testuser (ja, GPO ist der richtigen OU zugeordnet ;-) face-wink ) kann aber immernoch auf C: einen Ordner erstellen.
c

Zitat von @MaceWindu:

Hallo,
Erstell eine AD-Gruppe "C_deny", schmeiß die User rein, bastel dir einen passenden Befehl per icacls welcher "C_deny" ein Schreiben auf C verweigert - idealerweise ohne Vererbung ;-) face-wink - und verteil per GPO.

SG

icacls werde ich mir mal ansehen, kannte ich bisher nicht (Schande auf mein Haupt)
Mitglied: DerWoWusste
Lösung DerWoWusste 29.09.2021 aktualisiert um 09:14:34 Uhr
Goto Top
Habe das so nachgebaut, mein Testuser (ja, GPO ist der richtigen OU zugeordnet ;-) face-wink face-wink )
Und in der OU sind Computerobjekte?
Hast Du getestet, ob die GPO ankommt? Dazu
am Client ausführen.
Mitglied: MZ..09
MZ..09 29.09.2021 um 09:27:41 Uhr
Goto Top
Zitat von @DerWoWusste:

Habe das so nachgebaut, mein Testuser (ja, GPO ist der richtigen OU zugeordnet ;-) face-wink face-wink )
Und in der OU sind Computerobjekte?
Hast Du getestet, ob die GPO ankommt? Dazu
> am Client ausführen.

Peinlich. War nur mit einer Benutzer-OU verknüpft. Jetzt mit einem Computerobjekt funktioniert es. Danke für den Hinweis.
Mitglied: DerWoWusste
DerWoWusste 29.09.2021 um 09:37:19 Uhr
Goto Top
Keine Ursache :-) face-smile
Heiß diskutierte Beiträge
question
Suche guten Virenscanner für Windows Server 2019 bzw Exchange 2019Nummer-5Vor 1 TagFrageExchange Server16 Kommentare

Hallo, ich habe leider das Problem, das von unserem Exchange Server 2019 Spam Mails versendet werden. Ich habe jetzt den Relais-Server erst einmal stillgelegt, es ...

question
Mail-Relay für interne AnwendungenredhorseVor 1 TagFrageExchange Server10 Kommentare

Hallo, wir verwenden einen Exchange 2016 mit einer Sophos UTM als Smarthost. Der Exchange wird u.a. als SMTP-Relay von internen Anwendungen benutzt, für den anonymen ...

question
Firewall Hardware (VM)v4rrimka-sanVor 1 TagFrageNetzwerkmanagement10 Kommentare

Hey, Ich habe eine Frage, die wahrscheinlich schon öfter gestellt wurde, zum Thema Hardware Anforderung für eine Firewall in einer VM. Zur Auswahl stehen OPNsense ...

question
Teamviewer stürzt ab unter Win 11ben1300Vor 1 TagFrageWindows 118 Kommentare

Hallo zusammen, habe mein Notebook auf Windows 11 umgestellt. Seitdem kann ich den Teamviewer (aktuellste Version) nicht mehr nutzen. Programm startet, aber sobald ich z.B. ...

question
Speicherkarten (SD) im Netzwerk verfügbar machen (NAS) gelöst mathuVor 1 TagFrageSpeicherkarten7 Kommentare

Guten Morgen liebe Gemeinde :-) Ich habe eine Frage zu NAS Speichersystemen mit Speicherkartenkunktion. Bisher haben wir die folgenden Geräte von Synology (EDS14) genutzt. Diese ...

question
Intune Geräte DESKTOP vs. LAPTOPmarkaurelVor 1 TagFrageMicrosoft2 Kommentare

Hallo zusammen und bitte um eure Hilfe! Ich hab zwei Geräte: 1x Dell Inspiron 5301 1x Lenovo 20VD Beide Geräte eindeutig Kategorie Laptop/Notebook. Wenn ich ...

question
Datenreplikation unabhängige Domänensupport-itVor 1 TagFrageWindows Server8 Kommentare

Hallo zusammen, kann mir jemand ein Programm empfehlen, das sich so ähnlich verhält wie die DFS-Replikation von Windows, blos zwischen verschiedenen Domänen? Ich habe die ...

question
Linux End-to-Site VPN mit Sophos SGukulele-7Vor 1 TagFrageLinux Netzwerk12 Kommentare

Hallo und Hilfe. Ich habe eine Sophos SG, die unterstützt laut Menü "Remote Access" SSL PPTP L2TP over IPsec IPsec Cisco™ VPN Client Dabei ist ...