hochmohr
Goto Top

Schreibrechte auf Laufwerk C entziehen - Win 7 - Server 2008 R2

Hallo,

meine Schüler sollen keine Dateien mehr auf Laufwerk C:\ anlegen können.
Leserechte sollen (auch für die Ausbildung) erhalten bleiben.

Unter Win 7 haben Domänenbenutzer aber das Recht, eigene Ordner anzulegen. Außerdem

. Kann man dieses Recht ohne Probleme zu verursachen entziehen?
. Wenn ja... geht das einfach über eine Gruppenrichtlinie (ohne dass man von PC zu PC "ziehen" muss)?


Danke für die Hilfe im Voraus

Thomas

Content-ID: 177343

Url: https://administrator.de/contentid/177343

Ausgedruckt am: 14.11.2024 um 07:11 Uhr

gemini
gemini 06.12.2011 um 19:58:33 Uhr
Goto Top
Hallo Thomas,

unter Eigenschaften von C: > Sicherheit > Erweitert > Berechtigungen gibt es eine ACE, die Authentifizierten Benutzern das Anlegen von Ordnern unter C: explizit erlaubt.
Das könntest du versuchsweise mal entziehen. In Unterordnern von C: können sie weiterhin Ordner erstellen (das erlaubt die ACE darüber).

Die Rechte kannst du ggfs. mit den Policy Preferencies einstellen oder halt per Script mit xcacls oder fsutil.

Ich würde dir in jedem eine ausgiebige Testphase ans Herz legen bevor du da etwas in deiner Domäne ausrollst.
Insb. solltest du die Auswirkungen testen und dass die Rechte mit dem Mittel deiner Wahl auch richtig gesetzt werden.

Gruß,
gemini
hochmohr
hochmohr 06.12.2011 um 20:31:06 Uhr
Goto Top
Hallo gemini,

danke für die Rückmeldung. Werde ich einmal ausprobieren.
Vielleicht hat ja auch schon jemand weitere Erfahrungen damit gemacht.

Ein ähnliches Problem stellt sich mir mit den "öffentlichen" Bibliotheken. Die Schüler sollen diese nicht nutzen können.
Ein einfaches Löschen des Pfades zerstört aber anscheinend die ganze Bibliotheks-Logik, so dass diese danach nicht mehr funktionieren.

Auch da muss ich versuchen, die Schreibrechte wegzunehmen.


Gruß

Thomas
64748
64748 06.12.2011 um 20:55:19 Uhr
Goto Top
Guten Abend Thomas,

ich blende Laufwerk c: für die normalen Domänenbenutzer aus (via GPO). Das steht natürlich Deiner Anforderung entgegen, dass die Schüler auf C: Leserecht brauchen, Frage: wofür?

Die "Eigenen Dateien" der Benutzer liegen bei uns auf dem Server (Ordnerumleitung via GPO). Natürlich ist das für viele Ungewohnt (dass c: nicht da ist), aber aus Gründen des Datenschutzes brauchten wir eine sichere Möglichkeit zu verhindern, das jemand persönliche Daten allgemein zugänglich speichert.

Markus
hochmohr
hochmohr 06.12.2011 um 22:05:11 Uhr
Goto Top
Hallo Markus,

gerade im Informatik-Unterricht kann es manchmal sinnvoll sein, auch einmal in das "Innenleben" reinschauen zu können.

Mal sehen, vielleicht blende ich das Laufwerk auch aus, werde es aber zunächst mit den Zugriffsrechten versuchen.

Eine Nachfrage: Was passiert mit so etwas wie TEMP-Verzeichnisse oder auch die öffentlichen Bibliotheken. Sind diese dann auch "verschwunden" ?


Danke für die Anmerkung,

Thomas
64748
64748 06.12.2011 um 22:24:54 Uhr
Goto Top
Zitat von @hochmohr:
gerade im Informatik-Unterricht kann es manchmal sinnvoll sein, auch einmal in das "Innenleben" reinschauen zu
können.
genau das sehen bei uns einige Dozenten als Problem, die wollen Grundlagen (bei uns Windows XP) vermitteln und dann kann man noch nicht mal auf dem Laufwerk c: eine Ordnerstruktur anlegen.

Ich hab mich bisher stur gestellt und in der Chefetage zieht das Argument mit dem Datenschutz am meisten.

Eine Nachfrage: Was passiert mit so etwas wie TEMP-Verzeichnisse oder auch die öffentlichen Bibliotheken. Sind diese dann
auch "verschwunden" ?
Für Windows 7 kann ich da nicht viel zu sagen. Bei uns liegen "öffentliche" Ordner auch auf dem Server (z.B. ein Ordner Datentausch), die User haben eine Verknüpfung auf dem Desktop und können darauf zugreifen, allerdings auch hier ohne Schreibrecht.

Ich hab gerade mal gegoogelt, es gibt wohl auch die Möglichkeit, dem User das Schreibrecht für bestimmte Laufwerke zu entziehen. Ich hab das nie gemacht, aber hier http://www.ffb.shuttle.de/pluto/ovtgnetz/gruppenrichtlinien.htm im Unterpunkt "Berechtigungen für lokale Laufwerke und Dateien entziehen bzw. zuweisen" steht etwas dazu.

Der Unterschied ist, dass das Ausblenden der Laufwerke auf Benutzerebene Erfolgt, jedoch die Berechtigungen für das Dateisystem in den Computereinstellungen festgelegt werden.

Markus
DerWoWusste
DerWoWusste 07.12.2011 um 08:44:12 Uhr
Goto Top
Moin.

Du kannst das ohne Weiteres lösen. Per GPO im Bereich Computerkonfig - Policies - Windows Settings - Security Settings - File System kannst Du Rechte auf beliebige Pfade verändern. Authenticated users oder Users kannst Du dort über "advanced" das Recht zum Ordner erstellen nehmen (anwenden auf: nur dieser Ordner). Teste es vorher aus!
Wir haben das so auf einigen PCs gelöst.
hochmohr
hochmohr 07.12.2011 um 15:40:32 Uhr
Goto Top
Hallo,

danke für die Ideen.

Meine Lösung sieht jetzt zunächst so aus: Per GPO wird der Zugriff auf C:\ erst einmal generell verhindert.
Das führte aber zu einem "lustigen" Effekt: Man konnte danach noch in die öffentliche Bibliothek schreiben. Die Dateien waren da, aber beim erneuten Aufrufen der Bibliothek nicht mehr sichtbar :! face-sad Wenn man z.B. unter Excel die "zuletzt aufgerufenen" Dateien ansah, konnte man die Datei sogar wieder editieren.
Als Ausweg habe ich über die oben genannte GPO noch jedem die Zugriffsrechte auf die öffentlichen Bibliotheken explizit entzogen. Damit ist dieser Spuk auch vorbei.

Die Einschränkungen auf C:\ kann ich jetzt nach und nach bei Bedarf lockern. Aber für's Erste geht es jetzt.

Danke

Thomas
DerWoWusste
DerWoWusste 07.12.2011 um 21:29:43 Uhr
Goto Top
Die Einschränkungen auf C:\ kann ich jetzt nach und nach bei Bedarf lockern
Oh Gott.
Aber für's Erste geht es jetzt.
Ja, für die ersten Minuten geht vieles. Sobald aber der erste Kollege in leitender Position irgendwas dringend machen muss und dann nicht kann, gibt's Senge. Das Vorgehen halte ich für sehr gefährlich. Ich habe genau beschrieben, was zu ändern ist, um zu erreichen, was Du willst.