Ordnerberechtigungen mit Computerkonten
Hallo,
ich habe in einer Schule einen IT Raum. Je nach Raum melden sich die Schüler mit einen User an z.B. Schüler-info1@.....
Jeder Bekommt bestimmte Netzlaufwerke durchs LoginScript verbunden, darunter auch ein gemeinsames das alle haben.
Wird jetzt eine Prüfung geschrieben soll es möglich sein das alle die sich mit dem Schüler konto anmelden nur ein netzlaufwerk bekommen wo jeweils nur der eine User Berechtigung hat.
Da es sehr umständlich wäre für jeden PC einen User anzulegen habe ich am Fileserver jetzt für jeden PC einen Ordner angelegt und die Berechtigungen für das Computerkonto gesetzt.
Es gibt allerdings ein Problem, melden sich die Schüler an der Domain an wird ihr LoginScript ausgeführt, will man jetzt eine Prüfung schreiben bleibt trotzdem der Zugriff auf das ganz normale gemeinsame Netzlaufwerk, so wäre es immer noch möglich Daten auszutauschen.
Lösen könnte man das ganze durch ein spezielles Prüfungskonto wo nur das eine Netzlaufwerk verbunden wird, aber nach Möglichkeit soll es so sein das z.B. der Lehrer remote das Netzlaufwerk auf den Clients trennt, so das gemeinsam zu diesen Zeitpunkt nicht verfügbar ist.
Die einfachste Lösung wäre den Lehrern Adminrechte zu geben so das diese einfach die Gruppe Schüler aus dem gemeinsamen Netzlaufwerk entfernen, so wäre auch kein Zugriff möglich, aber ich möchte den Lehrern nicht unbedingt Domain Admin Rechte geben...
Hat jemand einen Lösungsvorschlag?
Gruß
Marcel
ich habe in einer Schule einen IT Raum. Je nach Raum melden sich die Schüler mit einen User an z.B. Schüler-info1@.....
Jeder Bekommt bestimmte Netzlaufwerke durchs LoginScript verbunden, darunter auch ein gemeinsames das alle haben.
Wird jetzt eine Prüfung geschrieben soll es möglich sein das alle die sich mit dem Schüler konto anmelden nur ein netzlaufwerk bekommen wo jeweils nur der eine User Berechtigung hat.
Da es sehr umständlich wäre für jeden PC einen User anzulegen habe ich am Fileserver jetzt für jeden PC einen Ordner angelegt und die Berechtigungen für das Computerkonto gesetzt.
Es gibt allerdings ein Problem, melden sich die Schüler an der Domain an wird ihr LoginScript ausgeführt, will man jetzt eine Prüfung schreiben bleibt trotzdem der Zugriff auf das ganz normale gemeinsame Netzlaufwerk, so wäre es immer noch möglich Daten auszutauschen.
Lösen könnte man das ganze durch ein spezielles Prüfungskonto wo nur das eine Netzlaufwerk verbunden wird, aber nach Möglichkeit soll es so sein das z.B. der Lehrer remote das Netzlaufwerk auf den Clients trennt, so das gemeinsam zu diesen Zeitpunkt nicht verfügbar ist.
Die einfachste Lösung wäre den Lehrern Adminrechte zu geben so das diese einfach die Gruppe Schüler aus dem gemeinsamen Netzlaufwerk entfernen, so wäre auch kein Zugriff möglich, aber ich möchte den Lehrern nicht unbedingt Domain Admin Rechte geben...
Hat jemand einen Lösungsvorschlag?
Gruß
Marcel
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 42237
Url: https://administrator.de/forum/ordnerberechtigungen-mit-computerkonten-42237.html
Ausgedruckt am: 24.12.2024 um 03:12 Uhr
5 Kommentare
Neuester Kommentar
Gib doch den Lehrern nur die Berechtigungen, die sie brauchen, um die Netzlaufwerke freizugeben bzw. zu sperren. Oder du gibst einfach jedem Schüler einen Benutzernamen und ein Passwort (Domäne) und regelst das ganze via Ordnerfreigabe (jedenfalls habe ich es bei mir so gemacht >Sekundarschule, 1 Computerraum, 400 Schüler<)
Hallo Marcel!
Da ich nicht weiß, wie fit Eure Schüler sind, kann ich nicht abschätzen, ob das Nicht-Verbinden bzw Trennen des gemeinsamen Laufwerks ausreicht - trotzdem würde ich eher je Raum jeweils einen "Prüfungs"-User anlegen und diesem den Zugriff auf zumindest das gemeinsame Laufwerk verweigern. Diesem User kannst Du mit einem eigenen Loginscript nur den je Rechner passenden Ordner am Server als Homedirectory zuweisen und am Besten auch ein verbindliches Profil verpassen. Wenn Du zusätzlich ein Logging der An- und Abmeldung mit dem "Prüfungs"-Userkonto vornimmst (einfach im Login-/Logoffscript Datum, Uhrzeit und Rechnername in eine Textdatei eintragen lassen, zB echo %date% - %time% - %computername% >> \\Server\Logs\Prfg-Raum.txt), hast Du eine recht gute Kontrolle.
HTH
bastla
Da ich nicht weiß, wie fit Eure Schüler sind, kann ich nicht abschätzen, ob das Nicht-Verbinden bzw Trennen des gemeinsamen Laufwerks ausreicht - trotzdem würde ich eher je Raum jeweils einen "Prüfungs"-User anlegen und diesem den Zugriff auf zumindest das gemeinsame Laufwerk verweigern. Diesem User kannst Du mit einem eigenen Loginscript nur den je Rechner passenden Ordner am Server als Homedirectory zuweisen und am Besten auch ein verbindliches Profil verpassen. Wenn Du zusätzlich ein Logging der An- und Abmeldung mit dem "Prüfungs"-Userkonto vornimmst (einfach im Login-/Logoffscript Datum, Uhrzeit und Rechnername in eine Textdatei eintragen lassen, zB echo %date% - %time% - %computername% >> \\Server\Logs\Prfg-Raum.txt), hast Du eine recht gute Kontrolle.
HTH
bastla
Hallo Marcel!
Login-/Logoff-Scripts hängst Du am sinnvollsten an eine Organisationseinheit (über Gruppenrichtlinie).
Wenn Du einem einzelnen Benutzer ein Script zuordnen willst, kannst Du nur den Namen des Scripts im Benutzerkonto / Register Profil eintragen; das Script selber legst Du in die Freigabe NETLOGON (bei W2000 ist das zB in C:\WINNT\sysvol\domain\scripts), wo es allerdings für alle sichtbar ist.
Zur Protokollierung von Admin-Aktivitäten:
Grüße
bastla
Login-/Logoff-Scripts hängst Du am sinnvollsten an eine Organisationseinheit (über Gruppenrichtlinie).
Wenn Du einem einzelnen Benutzer ein Script zuordnen willst, kannst Du nur den Namen des Scripts im Benutzerkonto / Register Profil eintragen; das Script selber legst Du in die Freigabe NETLOGON (bei W2000 ist das zB in C:\WINNT\sysvol\domain\scripts), wo es allerdings für alle sichtbar ist.
Zur Protokollierung von Admin-Aktivitäten:
@bastla hast du deinen MCSE gemacht? Ich vermute mal stark ja ;)
I wo, ich bin nur ein Bastler ... Grüße
bastla