7
Ordnerfreigaben pausieren
Hallo zusammen,
eine Frage zum Thema "Beim ProgrammUpdate Netzwerkzugriffe verhindern", bzw. Freigaben pausieren.
Szenario:
Ich habe verschiedene Server ( von 2022 bis Win10*hüstel* ),
wo ich zum Update einer Anwendung verhindern muss, dass 2 Ordner von Usern per Netzwerk zugegriffen werden.
Aktuell gehe ich hin, entziehe die Netzwerkfreigabe über die Computerverwaltung, mache meine Updates und stelle die Freigabe wieder her.
Da gibt es doch bestimmt auch was von ratiopharm?! Quatsch... Ich kann mir vorstellen, dass Powershell da eine mehr oder weniger mächtige Funktion hat, die "genau das" aber auch vernünftig macht. Aus der Aktuellen Situation ist einfach nur "Jeder-Vollzugriff" eingestellt, wenn es freigegeben ist. Schöner wären natürlich Usergruppen, hier wären aber mehrere, was den Aufwand immens hoch treibt.
Ich habe so ca 30 Systeme im Monat zu machen, was mir ds Leben stark erleichtern würde.
Vielen Dank für Tipps
Christian
PS: ja.. "Jeder - Vollzugriff" und "Win10 Server" hat nix mit "Administrator" zu tun-> ist aber historisch gewachsen und Anwendungsgeschuldet!!! Daher leider nicht verhandelbar
eine Frage zum Thema "Beim ProgrammUpdate Netzwerkzugriffe verhindern", bzw. Freigaben pausieren.
Szenario:
Ich habe verschiedene Server ( von 2022 bis Win10*hüstel* ),
wo ich zum Update einer Anwendung verhindern muss, dass 2 Ordner von Usern per Netzwerk zugegriffen werden.
Aktuell gehe ich hin, entziehe die Netzwerkfreigabe über die Computerverwaltung, mache meine Updates und stelle die Freigabe wieder her.
Da gibt es doch bestimmt auch was von ratiopharm?! Quatsch... Ich kann mir vorstellen, dass Powershell da eine mehr oder weniger mächtige Funktion hat, die "genau das" aber auch vernünftig macht. Aus der Aktuellen Situation ist einfach nur "Jeder-Vollzugriff" eingestellt, wenn es freigegeben ist. Schöner wären natürlich Usergruppen, hier wären aber mehrere, was den Aufwand immens hoch treibt.
Ich habe so ca 30 Systeme im Monat zu machen, was mir ds Leben stark erleichtern würde.
Vielen Dank für Tipps
Christian
PS: ja.. "Jeder - Vollzugriff" und "Win10 Server" hat nix mit "Administrator" zu tun-> ist aber historisch gewachsen und Anwendungsgeschuldet!!! Daher leider nicht verhandelbar
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 73553913604
Url: https://administrator.de/contentid/73553913604
Printed on: May 12, 2024 at 11:05 o'clock
7 Comments
Latest comment
Mit der Firewall den SMB-Port zumachen wenn alle Shares geblockt werden sollen,
oder wenn nur bestimmte Shares geblockt werden sollen deren ACLs auf verweigern stellen, die ziehen vor den Allow-Berechtigungen.
Zum rückgängig machen:
Bei Bedarf vorher noch die offenen Verbindungen schließen. (Achtung-Shitstorm Gefahr wenn Daten nicht gespeichert wurden
)
Sid.
oder wenn nur bestimmte Shares geblockt werden sollen deren ACLs auf verweigern stellen, die ziehen vor den Allow-Berechtigungen.
Block-SmbShareAccess -Name BlaBlubShare -AccountName Jeder -ForceUnblock-SmbShareAccess -Name BlaBlubShare -AccountName Jeder -ForceBei Bedarf vorher noch die offenen Verbindungen schließen. (Achtung-Shitstorm Gefahr wenn Daten nicht gespeichert wurden
)Get-SMBOpenFile | Close-SmbOpenFile -ForceSid.
Hi
In der Freigabe ein deny Recht setzten und wieder entfernen für Jeder / everyone.
Deny zieht vor allow.
Mit freundlichen Grüßen Nemesis
In der Freigabe ein deny Recht setzten und wieder entfernen für Jeder / everyone.
Deny zieht vor allow.
Mit freundlichen Grüßen Nemesis
Moin,
bei den FW Rules hat deny Vorrang. Dementsprechend eine Regel zum block von SMB erstellen und bei bedarf aktivieren.
Gruß
Spirit
bei den FW Rules hat deny Vorrang. Dementsprechend eine Regel zum block von SMB erstellen und bei bedarf aktivieren.
Gruß
Spirit
Oder einfach temporär den Server-Dienst anhalten.
1
würde ich auch sagen. Einfach ein "net stop server" und schon gibt es keine smb freigaben mehr. nach einem server reboot läuter er wieder
Die Lösung von siddus hört sich für mich erstmal als die 'schönste' an. Nicht zuletzt deswegen, weil andere shares dann weniger betroffen sind.
Mit - Name kann ich beim block-smbaccess schön meine beides shares denien und simpel wieder granten.
Das sieht mir aber dann so aus, das die offenen Datein im Zugriff bleiben.
Mit dem close-opensmbfile killt er dann aber alles weg?! Ich hab in der hilfe was von Dateiendungen gelesen. Eine Einschränkung auf 'D:\share1\*' sehe ich da aber erstmal nicht? Oder ist ein '-Match "d:\share1\" 'meine' Wahl?
@sid: Shitstorm hatte ich gerade, da der keyaccount beim Kunden die Ansage 'Update Freitag 16 uhr' nicht gemacht hatte...Aber: das Leben ist hart.
Die Lösung 'net stoppen server' kommt nicht in Frage wegen anderer shares nicht in Frage. Aber nice.
Die Lösung 'manuell' ein deny zu setzen ist mit dem powershell von sid 'idiotensicher'
Mit - Name kann ich beim block-smbaccess schön meine beides shares denien und simpel wieder granten.
Das sieht mir aber dann so aus, das die offenen Datein im Zugriff bleiben.
Mit dem close-opensmbfile killt er dann aber alles weg?! Ich hab in der hilfe was von Dateiendungen gelesen. Eine Einschränkung auf 'D:\share1\*' sehe ich da aber erstmal nicht? Oder ist ein '-Match "d:\share1\" 'meine' Wahl?
@sid: Shitstorm hatte ich gerade, da der keyaccount beim Kunden die Ansage 'Update Freitag 16 uhr' nicht gemacht hatte...Aber: das Leben ist hart.
Die Lösung 'net stoppen server' kommt nicht in Frage wegen anderer shares nicht in Frage. Aber nice.
Die Lösung 'manuell' ein deny zu setzen ist mit dem powershell von sid 'idiotensicher'
Zitat von @ChristianRiske:
Mit dem close-opensmbfile killt er dann aber alles weg?! Ich hab in der hilfe was von Dateiendungen gelesen. Eine Einschränkung auf 'D:\share1\*' sehe ich da aber erstmal nicht? Oder ist ein '-Match "d:\share1\" 'meine' Wahl?
Mit dem close-opensmbfile killt er dann aber alles weg?! Ich hab in der hilfe was von Dateiendungen gelesen. Eine Einschränkung auf 'D:\share1\*' sehe ich da aber erstmal nicht? Oder ist ein '-Match "d:\share1\" 'meine' Wahl?
Kein Problem , where-object ist dein Freund
Get-SMBOpenFile | ? Path -like 'd:\share1\*' | Close-SmbOpenFile -Force 