8
Schreibzugriff auf lokale Partitionen verbieten über GPO
Ich habe mir ein Testsystem aufgebaut. 2 DC und 2 Client PC's. Die DC laufen jeweils mit Windows 2003 und die Client PC's mit Windows XP. Das AD läuft auch Fehlerfrei. Der User kann sich also an den Client PC ganz normal anmelden und hat dann auch Zugriff über das DFS. Jedoch hat der User außerdem auch vollen Zugriff auf die lokalen Partitionen in seinem Client PC. Ist es möglich über ein GPO, dass ich ganze Partition oder wenigstens Ordner auf seinem lokalen Rechner sperren kann. Also ich weiß, dass ich mich lokal auf dem Rechner als lokaler Admin anmelden kann und dann Ordner sperren kann etc. Aber so etwa müsste doch auch über die GPO's möglich sein oder?
Ich habe ja selbst schon einiges probiert aber konnten nicht die richtige Einstellung finden. Ich habe mir eine GPO erstellt und in ihr unter Computer Configuration->Windows Einstellungen->Sicherheitseinstellungen->Datei System mal rumprobiert. Aber anscheinend ist, diese Funktion für etas anderes da. Jedenfalls habe ich es damit nicht hinbekommen.
Ich habe ja selbst schon einiges probiert aber konnten nicht die richtige Einstellung finden. Ich habe mir eine GPO erstellt und in ihr unter Computer Configuration->Windows Einstellungen->Sicherheitseinstellungen->Datei System mal rumprobiert. Aber anscheinend ist, diese Funktion für etas anderes da. Jedenfalls habe ich es damit nicht hinbekommen.
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 153737
Url: https://administrator.de/forum/schreibzugriff-auf-lokale-partitionen-verbieten-ueber-gpo-153737.html
Ausgedruckt am: 15.04.2025 um 16:04 Uhr
8 Kommentare
Neuester Kommentar
Das habe ich selbst schon gefunden^^
Es löst aber nicht mein Problem. Ich möchte die Festplatten/Partitionen nicht verstecken. Ich möchte zum Beispiel, dass die Gesamte Partition D für den User A gesperrt ist, er darauf also nicht schreiben kann. Er soll sich also die gesamte Partition anschauen können jedoch nicht darauf schreiben. Und auf dieser Partition möchte ich dann einen Ordner erstellen in dem er vollen Schreibzugriff hat.
Ich hoffe, ich habe mich jetzt besser ausgedrückt
Es löst aber nicht mein Problem. Ich möchte die Festplatten/Partitionen nicht verstecken. Ich möchte zum Beispiel, dass die Gesamte Partition D für den User A gesperrt ist, er darauf also nicht schreiben kann. Er soll sich also die gesamte Partition anschauen können jedoch nicht darauf schreiben. Und auf dieser Partition möchte ich dann einen Ordner erstellen in dem er vollen Schreibzugriff hat.
Ich hoffe, ich habe mich jetzt besser ausgedrückt
Auch dir keine Zeile des Grußes....
Besser könnte ich es auch nicht -aber deine Returntaste klemmt.
[OT]
in welchem Bundesland sind denn jetzt schon wieder Ferien?
[/OT]
Ich finde sowas extrem cacke, um nicht zu schreiben xcacls...
Besser könnte ich es auch nicht -aber deine Returntaste klemmt.
[OT]
in welchem Bundesland sind denn jetzt schon wieder Ferien?
[/OT]
Ich finde sowas extrem cacke, um nicht zu schreiben xcacls...
Was genau stört dich denn an meiner Frage?
Nix,
Also alle Punkte die eine ordentliche Frage - die du so auch deinem Chef stellen würdest - haben muß.
- nette Begrüßung
- leicht zu lesender Text dank Zeilenschalter
- den Sinn dahinter
Also alle Punkte die eine ordentliche Frage - die du so auch deinem Chef stellen würdest - haben muß.
Okay, dann hätte ich gern eine zweite Chance^^
Hallo liebe Administratoren-Community.
Ich beschäftige mich seit ein paar Tagen mit Active Directory und bin dadurch auch auf diese Seite/Forum gestoßen. Viele Beiträge konnten mir schon helfen, jedoch habe ich ein Problem zu dem ich auch über die Suche nichts finden konnte. Möglichweise kann mir jemand von euch helfen.
Ich habe eine Domain. Diese besteht aus 2 Domaincontrollern und zwei Client-PC’s. Ich habe verschiedene Benutzerkonten eingerichtet. Im Moment beschäftige ich mich mit den GPO’s. Ist es möglich, dass ich einem User über die GPO’s untersagen kann bestimmte Ordner auf seinem lokalen Client PC zu verändern?
Als Beispiel:
Benutzer A soll sich an seinem Client PC an die Domain anmelden. Er soll jedoch nur in Ordner „Arbeit“ schreiben können. Ordner „Arbeit“ befindet sich auf seinem Client-PC auf Partition D. Alle anderen Ordner auf Partition D sollen für ihn zwar sichtbar sein, aber er soll dort nicht schreiben dürfen oder eine bestehende Datei verändern können.
Der Sinn liegt darin, dass die Nutzer daran gehindert werden sollen irgendwelche mist auf ihrem Client PC zu machen.
Ich könnte das ganze realisieren, indem ich mich als Lokaler Admin auf den Client PC’s anmelde und die Berechtigungen so setze. Jedoch denke ich, dass es auch mit einem GPO geht.
Ich hoffe ihr könnt mir helfen.
Hallo liebe Administratoren-Community.
Ich beschäftige mich seit ein paar Tagen mit Active Directory und bin dadurch auch auf diese Seite/Forum gestoßen. Viele Beiträge konnten mir schon helfen, jedoch habe ich ein Problem zu dem ich auch über die Suche nichts finden konnte. Möglichweise kann mir jemand von euch helfen.
Ich habe eine Domain. Diese besteht aus 2 Domaincontrollern und zwei Client-PC’s. Ich habe verschiedene Benutzerkonten eingerichtet. Im Moment beschäftige ich mich mit den GPO’s. Ist es möglich, dass ich einem User über die GPO’s untersagen kann bestimmte Ordner auf seinem lokalen Client PC zu verändern?
Als Beispiel:
Benutzer A soll sich an seinem Client PC an die Domain anmelden. Er soll jedoch nur in Ordner „Arbeit“ schreiben können. Ordner „Arbeit“ befindet sich auf seinem Client-PC auf Partition D. Alle anderen Ordner auf Partition D sollen für ihn zwar sichtbar sein, aber er soll dort nicht schreiben dürfen oder eine bestehende Datei verändern können.
Der Sinn liegt darin, dass die Nutzer daran gehindert werden sollen irgendwelche mist auf ihrem Client PC zu machen.
Ich könnte das ganze realisieren, indem ich mich als Lokaler Admin auf den Client PC’s anmelde und die Berechtigungen so setze. Jedoch denke ich, dass es auch mit einem GPO geht.
Ich hoffe ihr könnt mir helfen.
Na geht doch 
GPO gibt es viele Wege dir bleibt da eigentlich nur einer übrig.
Gruß
GPO gibt es viele Wege dir bleibt da eigentlich nur einer übrig.
- Es gibt Startupscripte auch für Computer
- Diese laufen vor der Anmeldung des Users mit Domainadminrechten
- Der Befehl in meinem ersten dient dazu NTFS Rechte zu ändern/ersetzen.
- Eine Gruppe deiner User - weil man nix auf Userebene immer auf Gruppenebene baut
- Du brauchst also nur ein Startupscript für die Rechner - das intelligenterweise prüft ob es seinen Job schon erledigt hat - und nur einmalig laufen muß (das dauert ja logischerweise lange, wenn die Platte viele Daten hat).
- Ein weiteres (Userbezogenes) Script, das dem User, der vor der Kiste ist innerhalb der vom vorherigen Script gesetzten Rechte Struktur zusätzliche Rechte gibt. (Wenn du das wirklich willst)
- Diesen Xcacls Befehl der in beiden Scripten genutzt wird.
Gruß
Da liegt ja noch einiges vor mir.
Danke für die zeitnahe und strukturierte Antwort.
Aber eine Frage hätte ich dazu noch. Wenn ich eine GPO erstelle/bearbeite gibt es doch bei Computer Configuration->Windows Settings->Security Settings->File System
Wofür ist das denn gut? Ich dachte bisher immer, das es etwas mit meinem Problem zu tun hat.
Danke für die zeitnahe und strukturierte Antwort.
Aber eine Frage hätte ich dazu noch. Wenn ich eine GPO erstelle/bearbeite gibt es doch bei Computer Configuration->Windows Settings->Security Settings->File System
Wofür ist das denn gut? Ich dachte bisher immer, das es etwas mit meinem Problem zu tun hat.
