Schreibrechte auf Laufwerk C entziehen - Win 7 - Server 2008 R2
Hallo,
meine Schüler sollen keine Dateien mehr auf Laufwerk C:\ anlegen können.
Leserechte sollen (auch für die Ausbildung) erhalten bleiben.
Unter Win 7 haben Domänenbenutzer aber das Recht, eigene Ordner anzulegen. Außerdem
. Kann man dieses Recht ohne Probleme zu verursachen entziehen?
. Wenn ja... geht das einfach über eine Gruppenrichtlinie (ohne dass man von PC zu PC "ziehen" muss)?
Danke für die Hilfe im Voraus
Thomas
meine Schüler sollen keine Dateien mehr auf Laufwerk C:\ anlegen können.
Leserechte sollen (auch für die Ausbildung) erhalten bleiben.
Unter Win 7 haben Domänenbenutzer aber das Recht, eigene Ordner anzulegen. Außerdem
. Kann man dieses Recht ohne Probleme zu verursachen entziehen?
. Wenn ja... geht das einfach über eine Gruppenrichtlinie (ohne dass man von PC zu PC "ziehen" muss)?
Danke für die Hilfe im Voraus
Thomas
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 177343
Url: https://administrator.de/contentid/177343
Ausgedruckt am: 14.11.2024 um 07:11 Uhr
8 Kommentare
Neuester Kommentar
Hallo Thomas,
unter Eigenschaften von C: > Sicherheit > Erweitert > Berechtigungen gibt es eine ACE, die Authentifizierten Benutzern das Anlegen von Ordnern unter C: explizit erlaubt.
Das könntest du versuchsweise mal entziehen. In Unterordnern von C: können sie weiterhin Ordner erstellen (das erlaubt die ACE darüber).
Die Rechte kannst du ggfs. mit den Policy Preferencies einstellen oder halt per Script mit xcacls oder fsutil.
Ich würde dir in jedem eine ausgiebige Testphase ans Herz legen bevor du da etwas in deiner Domäne ausrollst.
Insb. solltest du die Auswirkungen testen und dass die Rechte mit dem Mittel deiner Wahl auch richtig gesetzt werden.
Gruß,
gemini
unter Eigenschaften von C: > Sicherheit > Erweitert > Berechtigungen gibt es eine ACE, die Authentifizierten Benutzern das Anlegen von Ordnern unter C: explizit erlaubt.
Das könntest du versuchsweise mal entziehen. In Unterordnern von C: können sie weiterhin Ordner erstellen (das erlaubt die ACE darüber).
Die Rechte kannst du ggfs. mit den Policy Preferencies einstellen oder halt per Script mit xcacls oder fsutil.
Ich würde dir in jedem eine ausgiebige Testphase ans Herz legen bevor du da etwas in deiner Domäne ausrollst.
Insb. solltest du die Auswirkungen testen und dass die Rechte mit dem Mittel deiner Wahl auch richtig gesetzt werden.
Gruß,
gemini
Guten Abend Thomas,
ich blende Laufwerk c: für die normalen Domänenbenutzer aus (via GPO). Das steht natürlich Deiner Anforderung entgegen, dass die Schüler auf C: Leserecht brauchen, Frage: wofür?
Die "Eigenen Dateien" der Benutzer liegen bei uns auf dem Server (Ordnerumleitung via GPO). Natürlich ist das für viele Ungewohnt (dass c: nicht da ist), aber aus Gründen des Datenschutzes brauchten wir eine sichere Möglichkeit zu verhindern, das jemand persönliche Daten allgemein zugänglich speichert.
Markus
ich blende Laufwerk c: für die normalen Domänenbenutzer aus (via GPO). Das steht natürlich Deiner Anforderung entgegen, dass die Schüler auf C: Leserecht brauchen, Frage: wofür?
Die "Eigenen Dateien" der Benutzer liegen bei uns auf dem Server (Ordnerumleitung via GPO). Natürlich ist das für viele Ungewohnt (dass c: nicht da ist), aber aus Gründen des Datenschutzes brauchten wir eine sichere Möglichkeit zu verhindern, das jemand persönliche Daten allgemein zugänglich speichert.
Markus
Zitat von @hochmohr:
gerade im Informatik-Unterricht kann es manchmal sinnvoll sein, auch einmal in das "Innenleben" reinschauen zu
können.
genau das sehen bei uns einige Dozenten als Problem, die wollen Grundlagen (bei uns Windows XP) vermitteln und dann kann man noch nicht mal auf dem Laufwerk c: eine Ordnerstruktur anlegen.gerade im Informatik-Unterricht kann es manchmal sinnvoll sein, auch einmal in das "Innenleben" reinschauen zu
können.
Ich hab mich bisher stur gestellt und in der Chefetage zieht das Argument mit dem Datenschutz am meisten.
Eine Nachfrage: Was passiert mit so etwas wie TEMP-Verzeichnisse oder auch die öffentlichen Bibliotheken. Sind diese dann
auch "verschwunden" ?
Für Windows 7 kann ich da nicht viel zu sagen. Bei uns liegen "öffentliche" Ordner auch auf dem Server (z.B. ein Ordner Datentausch), die User haben eine Verknüpfung auf dem Desktop und können darauf zugreifen, allerdings auch hier ohne Schreibrecht.auch "verschwunden" ?
Ich hab gerade mal gegoogelt, es gibt wohl auch die Möglichkeit, dem User das Schreibrecht für bestimmte Laufwerke zu entziehen. Ich hab das nie gemacht, aber hier http://www.ffb.shuttle.de/pluto/ovtgnetz/gruppenrichtlinien.htm im Unterpunkt "Berechtigungen für lokale Laufwerke und Dateien entziehen bzw. zuweisen" steht etwas dazu.
Der Unterschied ist, dass das Ausblenden der Laufwerke auf Benutzerebene Erfolgt, jedoch die Berechtigungen für das Dateisystem in den Computereinstellungen festgelegt werden.
Markus
Moin.
Du kannst das ohne Weiteres lösen. Per GPO im Bereich Computerkonfig - Policies - Windows Settings - Security Settings - File System kannst Du Rechte auf beliebige Pfade verändern. Authenticated users oder Users kannst Du dort über "advanced" das Recht zum Ordner erstellen nehmen (anwenden auf: nur dieser Ordner). Teste es vorher aus!
Wir haben das so auf einigen PCs gelöst.
Du kannst das ohne Weiteres lösen. Per GPO im Bereich Computerkonfig - Policies - Windows Settings - Security Settings - File System kannst Du Rechte auf beliebige Pfade verändern. Authenticated users oder Users kannst Du dort über "advanced" das Recht zum Ordner erstellen nehmen (anwenden auf: nur dieser Ordner). Teste es vorher aus!
Wir haben das so auf einigen PCs gelöst.
Die Einschränkungen auf C:\ kann ich jetzt nach und nach bei Bedarf lockern
Oh Gott.Aber für's Erste geht es jetzt.
Ja, für die ersten Minuten geht vieles. Sobald aber der erste Kollege in leitender Position irgendwas dringend machen muss und dann nicht kann, gibt's Senge. Das Vorgehen halte ich für sehr gefährlich. Ich habe genau beschrieben, was zu ändern ist, um zu erreichen, was Du willst.