n3tworker
Goto Top

Ordnerberechtigungen mit Computerkonten

Hallo,

ich habe in einer Schule einen IT Raum. Je nach Raum melden sich die Schüler mit einen User an z.B. Schüler-info1@.....
Jeder Bekommt bestimmte Netzlaufwerke durchs LoginScript verbunden, darunter auch ein gemeinsames das alle haben.

Wird jetzt eine Prüfung geschrieben soll es möglich sein das alle die sich mit dem Schüler konto anmelden nur ein netzlaufwerk bekommen wo jeweils nur der eine User Berechtigung hat.

Da es sehr umständlich wäre für jeden PC einen User anzulegen habe ich am Fileserver jetzt für jeden PC einen Ordner angelegt und die Berechtigungen für das Computerkonto gesetzt.

Es gibt allerdings ein Problem, melden sich die Schüler an der Domain an wird ihr LoginScript ausgeführt, will man jetzt eine Prüfung schreiben bleibt trotzdem der Zugriff auf das ganz normale gemeinsame Netzlaufwerk, so wäre es immer noch möglich Daten auszutauschen.

Lösen könnte man das ganze durch ein spezielles Prüfungskonto wo nur das eine Netzlaufwerk verbunden wird, aber nach Möglichkeit soll es so sein das z.B. der Lehrer remote das Netzlaufwerk auf den Clients trennt, so das gemeinsam zu diesen Zeitpunkt nicht verfügbar ist.

Die einfachste Lösung wäre den Lehrern Adminrechte zu geben so das diese einfach die Gruppe Schüler aus dem gemeinsamen Netzlaufwerk entfernen, so wäre auch kein Zugriff möglich, aber ich möchte den Lehrern nicht unbedingt Domain Admin Rechte geben...

Hat jemand einen Lösungsvorschlag?

Gruß

Marcel

Content-ID: 42237

Url: https://administrator.de/forum/ordnerberechtigungen-mit-computerkonten-42237.html

Ausgedruckt am: 24.12.2024 um 03:12 Uhr

22010
22010 15.10.2006 um 20:27:58 Uhr
Goto Top
Gib doch den Lehrern nur die Berechtigungen, die sie brauchen, um die Netzlaufwerke freizugeben bzw. zu sperren. Oder du gibst einfach jedem Schüler einen Benutzernamen und ein Passwort (Domäne) und regelst das ganze via Ordnerfreigabe (jedenfalls habe ich es bei mir so gemacht >Sekundarschule, 1 Computerraum, 400 Schüler<)
bastla
bastla 15.10.2006 um 20:45:52 Uhr
Goto Top
Hallo Marcel!

Da ich nicht weiß, wie fit Eure Schüler sind, kann ich nicht abschätzen, ob das Nicht-Verbinden bzw Trennen des gemeinsamen Laufwerks ausreicht - trotzdem würde ich eher je Raum jeweils einen "Prüfungs"-User anlegen und diesem den Zugriff auf zumindest das gemeinsame Laufwerk verweigern. Diesem User kannst Du mit einem eigenen Loginscript nur den je Rechner passenden Ordner am Server als Homedirectory zuweisen und am Besten auch ein verbindliches Profil verpassen. Wenn Du zusätzlich ein Logging der An- und Abmeldung mit dem "Prüfungs"-Userkonto vornimmst (einfach im Login-/Logoffscript Datum, Uhrzeit und Rechnername in eine Textdatei eintragen lassen, zB echo %date% - %time% - %computername% >> \\Server\Logs\Prfg-Raum.txt), hast Du eine recht gute Kontrolle.

HTH
bastla
N3tworker
N3tworker 16.10.2006 um 20:55:44 Uhr
Goto Top
Hi,

erstmal danke euch beiden.

das mit den Login- Logoff/scripts ist eine feine Idee, kann ich das auch den Domain Admin zuordnen?

Sonst gibt es ja imho keine direkte Protokollierung der User. Schön wäre wenn sich z.B. Admin anmeldet und was er da gemacht hat.

Zu der Lösung mit den Username pro Schüler:
Das wäre sicher immer noch die feinste Lösung, so könnte man auch den vorhanden Exchange nutzen und Mail Konten vergeben. Allerdings sehe ich die Problematik jedes Jahr ca. 400 Userkonten neu anzulegen. Hierfür gibt es bis jetzt noch nichts automatisiertes. Soweit ich weiß bietet das Badenwürttenbergische Landeszentrum für Medien in ihrer Musterlösung eine automatisierungslösung für genau diesen Fall an. Die Lehrer müssen nur noch die Schüler ihrer Klasse in ein Formular eingtragen und bestätigen. Es wird automatisch ein Ordner angelegt, LoginScript vergeben, Berechtigungen gesetzt etc. Am ende Wird eine Liste mit Usernamen und default Kennwörtern herausgegeben. Leider ist das ganze aber nicht einfach in eine besthendes System zu integrieren, benötigt wird die komplette Musterlösung für schulische Netzwerke inkl. ISA Server, Exchange usw...

Die einfachste Lösung für mich wäre falls es mit Windows Bordmitteln realisierbar gewesen wäre ein Remote Trennen/verbinden der Netzlaufwerke via Lehrer Konto.

Es hat sich jetzt aber evtl noch eine Lösung ergeben. Einer der 3com 19" Rack Switche ist mir heute kaputt gegangen, die hatten keine VLAN Unterstützung. Ich habe jetzt ein Angebot von 2x Cisco Switchen mit portbezogener VLAN Untersützung. Damit sollte es möglich sein ein komplett eignenes Prüfungslan zu machen. Ich habe ein Server auf dem läuft eh nicht viel, der wäre dann ein Prüfungsserver.

Danke für all die Ideen


@bastla hast du deinen MCSE gemacht? Ich vermute mal stark ja ;)
bastla
bastla 16.10.2006 um 21:45:40 Uhr
Goto Top
Hallo Marcel!

Login-/Logoff-Scripts hängst Du am sinnvollsten an eine Organisationseinheit (über Gruppenrichtlinie).

Wenn Du einem einzelnen Benutzer ein Script zuordnen willst, kannst Du nur den Namen des Scripts im Benutzerkonto / Register Profil eintragen; das Script selber legst Du in die Freigabe NETLOGON (bei W2000 ist das zB in C:\WINNT\sysvol\domain\scripts), wo es allerdings für alle sichtbar ist.

Zur Protokollierung von Admin-Aktivitäten:

@bastla hast du deinen MCSE gemacht? Ich vermute mal stark ja ;)
I wo, ich bin nur ein Bastler ... face-smile

Grüße
bastla
N3tworker
N3tworker 16.10.2006 um 21:56:00 Uhr
Goto Top
Merci Bastla, perfekt wie immer...

Das mit der Protokollierung der Admin Tätigkeiten ist ne feine sache.
Wie man Scripts einbindet weiss ich natürlich, es ging nur gernerell darum ob es beim admin konto funktioniert bzw Sinn macht.

Vielen Dank

Gruß

Marcel