Server 2003 - Benutzer soll nicht Mitglied von JEDER werden - JEDER Verzeichnisse dürfen nicht geöffnet werden können - geht das ?
Jetzt habe ich mal ne ganz dumme Frage und hoffe auf eine nicht so dumme Antwort.
Sachlage:
Server 2003 - als Fileserver
WTS 2003
Lancom VPN Router bzw. Adv Client Software
Es wurde von meinem Vorgänger eine Software installiert und Verzeichnisse für die Mitarbeiter angelegt die alle die JEDER Rechte haben.
Die Benutzer sind alles Mitglieder der Gruppe Domäne Benutzer. Also voller Zugriff auf die "alten" Verzeichnisse.
Nun soll ein neuer Benutzer per VPN dazu kommen , der aber nur die Rechte auf 2 bestimmte Verzeichnisse sowie dem erforderlichen Windows Verzeichnissen bekommt.
Sinn - er soll nicht alles sehen können ( das wäre ja auch möglich durch sperren des Windows und automatischen Aufruf der Arbeits-Software) aber auch nicht die Möglichkeit haben über sein VPN und dem Lokalen PC in das Netzwerk des Servers zu kommen.
Problem:
Ein neuer Benutzer ist automatisch JEDER somit Zugriff auf alle Verzeichnisse.
Er könnte sowie ich es jetzt therotisch denke - seinen PC mit einer passenden lokalen IP über den Lancom mit als Netzwerkrechner zum Server verbinden.
Gemeint damit - Verbindungsaufbau per VPN-client - TS aufgerufen , damit Benutzername eingeloggt - lokal auf Netzwerkumgebung und die Brücke zum Server bauen.
FAZIT:
- KEINE Berechtigung für jegliche Verzeichnisse ( ausser nötige Windows und Anwendungssoftwareverz.) ?
Grüsse
Christian
P.S. geht das vielleicht mit der Funktion SPERREN von Verzeichnissen ?
Wer kann mir helfen ?
Sachlage:
Server 2003 - als Fileserver
WTS 2003
Lancom VPN Router bzw. Adv Client Software
Es wurde von meinem Vorgänger eine Software installiert und Verzeichnisse für die Mitarbeiter angelegt die alle die JEDER Rechte haben.
Die Benutzer sind alles Mitglieder der Gruppe Domäne Benutzer. Also voller Zugriff auf die "alten" Verzeichnisse.
Nun soll ein neuer Benutzer per VPN dazu kommen , der aber nur die Rechte auf 2 bestimmte Verzeichnisse sowie dem erforderlichen Windows Verzeichnissen bekommt.
Sinn - er soll nicht alles sehen können ( das wäre ja auch möglich durch sperren des Windows und automatischen Aufruf der Arbeits-Software) aber auch nicht die Möglichkeit haben über sein VPN und dem Lokalen PC in das Netzwerk des Servers zu kommen.
Problem:
Ein neuer Benutzer ist automatisch JEDER somit Zugriff auf alle Verzeichnisse.
Er könnte sowie ich es jetzt therotisch denke - seinen PC mit einer passenden lokalen IP über den Lancom mit als Netzwerkrechner zum Server verbinden.
Gemeint damit - Verbindungsaufbau per VPN-client - TS aufgerufen , damit Benutzername eingeloggt - lokal auf Netzwerkumgebung und die Brücke zum Server bauen.
FAZIT:
- KEINE Berechtigung für jegliche Verzeichnisse ( ausser nötige Windows und Anwendungssoftwareverz.) ?
Grüsse
Christian
P.S. geht das vielleicht mit der Funktion SPERREN von Verzeichnissen ?
Wer kann mir helfen ?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 153427
Url: https://administrator.de/forum/server-2003-benutzer-soll-nicht-mitglied-von-jeder-werden-jeder-verzeichnisse-duerfen-nicht-geoeffnet-werden-153427.html
Ausgedruckt am: 27.12.2024 um 03:12 Uhr
4 Kommentare
Neuester Kommentar
Moin,
grundlegendes zu NTFS Berechtigungen:
Verbote gehen vor Erlaubnisse!
Sprich, ist User A Mitglied der Gruppe B und hat Zugriff auf den Ordner "Arbeit", kann ich explizit sagen:
User A darf nicht mit dem Ordner Arbeit machen!
dann dürfen alle mit dem Ordner Arbeiten, bis auf User A, obwohl er mitglied der Gruppe B ist ;)
also ganz einfach:
Sperr den User überall aus, bis auf
\Dokumente und Einstellungen \ All Users
\Dokumente und EInstellungen \ Default Users
\Dokumente und EInstellungen \ %username%
\Windows\
Programme / Program Files
Wobei du dann vllt eine neue Gruppe erstellen solltest (spart dir zukünftig Arbeit, sollte ein weiterer User dies nicht dürfen)
Sollte es noch eine elegantere Lösung geben, würde mich des auch mal interessieren
Gruß
meistro87
grundlegendes zu NTFS Berechtigungen:
Verbote gehen vor Erlaubnisse!
Sprich, ist User A Mitglied der Gruppe B und hat Zugriff auf den Ordner "Arbeit", kann ich explizit sagen:
User A darf nicht mit dem Ordner Arbeit machen!
dann dürfen alle mit dem Ordner Arbeiten, bis auf User A, obwohl er mitglied der Gruppe B ist ;)
also ganz einfach:
Sperr den User überall aus, bis auf
\Dokumente und Einstellungen \ All Users
\Dokumente und EInstellungen \ Default Users
\Dokumente und EInstellungen \ %username%
\Windows\
Programme / Program Files
Wobei du dann vllt eine neue Gruppe erstellen solltest (spart dir zukünftig Arbeit, sollte ein weiterer User dies nicht dürfen)
Sollte es noch eine elegantere Lösung geben, würde mich des auch mal interessieren
Gruß
meistro87
Moin Moin
Fazit: Um differenziert Verzeichniszugriffe (wer darf wo Lesen/Schreiben) zu steuern, must du für die Berechtigungen deiner Ordner Gruppen verwenden deren Mitglieder du selbst festlegen kannst.
Nur diesen Gruppen gewährt du dann die benötigten Rechte auf den jeweiligen Verzeichnissen.
Gruß L.
Server 2003 - als Fileserver
Sprich kein DC?... alle die JEDER Rechte haben
Jeder ist hier kein Recht sondern eine Gruppe. In der befindet sich (jetzt kommts) jeder.P.S. geht das vielleicht mit der Funktion SPERREN von Verzeichnissen ?
Probier das doch einfach mal aus mit der Gruppe JEDER. Da hast Du sicher deinen Spaß. Fazit: Um differenziert Verzeichniszugriffe (wer darf wo Lesen/Schreiben) zu steuern, must du für die Berechtigungen deiner Ordner Gruppen verwenden deren Mitglieder du selbst festlegen kannst.
Nur diesen Gruppen gewährt du dann die benötigten Rechte auf den jeweiligen Verzeichnissen.
Gruß L.
Moin
Du musst dies natürlich an allen Ordnern machen, an die der VPN User nicht ran soll. Statt nur an den (wenigen) Ordnern in denen er Arbeiten soll.
Gruß L.
Kann ich denn eine Gruppe "Neue" anlegen die nicht die Berechtigungen für "jeden" haben, also aus der Gruppe JEDER ausschliessen ?
Nein.Bzw. klappt es wenn ich die Gruppe " Neue" als Domäin Benutzer anlege und die nicht erlaubten Verzeichnisse sperre ?
Ja. Du kannst einer Gruppe natürlich Verzeichnisrechte "Verweigern". Verweigern geht vor Gewähren.Du musst dies natürlich an allen Ordnern machen, an die der VPN User nicht ran soll. Statt nur an den (wenigen) Ordnern in denen er Arbeiten soll.
Gruß L.