4
Server 2003 - Benutzer soll nicht Mitglied von JEDER werden - JEDER Verzeichnisse dürfen nicht geöffnet werden können - geht das ?
Jetzt habe ich mal ne ganz dumme Frage und hoffe auf eine nicht so dumme Antwort.
Sachlage:
Server 2003 - als Fileserver
WTS 2003
Lancom VPN Router bzw. Adv Client Software
Es wurde von meinem Vorgänger eine Software installiert und Verzeichnisse für die Mitarbeiter angelegt die alle die JEDER Rechte haben.
Die Benutzer sind alles Mitglieder der Gruppe Domäne Benutzer. Also voller Zugriff auf die "alten" Verzeichnisse.
Nun soll ein neuer Benutzer per VPN dazu kommen , der aber nur die Rechte auf 2 bestimmte Verzeichnisse sowie dem erforderlichen Windows Verzeichnissen bekommt.
Sinn - er soll nicht alles sehen können ( das wäre ja auch möglich durch sperren des Windows und automatischen Aufruf der Arbeits-Software) aber auch nicht die Möglichkeit haben über sein VPN und dem Lokalen PC in das Netzwerk des Servers zu kommen.
Problem:
Ein neuer Benutzer ist automatisch JEDER somit Zugriff auf alle Verzeichnisse.
Er könnte sowie ich es jetzt therotisch denke - seinen PC mit einer passenden lokalen IP über den Lancom mit als Netzwerkrechner zum Server verbinden.
Gemeint damit - Verbindungsaufbau per VPN-client - TS aufgerufen , damit Benutzername eingeloggt - lokal auf Netzwerkumgebung und die Brücke zum Server bauen.
FAZIT:
- KEINE Berechtigung für jegliche Verzeichnisse ( ausser nötige Windows und Anwendungssoftwareverz.) ?
Grüsse
Christian
P.S. geht das vielleicht mit der Funktion SPERREN von Verzeichnissen ?
Wer kann mir helfen ?
Sachlage:
Server 2003 - als Fileserver
WTS 2003
Lancom VPN Router bzw. Adv Client Software
Es wurde von meinem Vorgänger eine Software installiert und Verzeichnisse für die Mitarbeiter angelegt die alle die JEDER Rechte haben.
Die Benutzer sind alles Mitglieder der Gruppe Domäne Benutzer. Also voller Zugriff auf die "alten" Verzeichnisse.
Nun soll ein neuer Benutzer per VPN dazu kommen , der aber nur die Rechte auf 2 bestimmte Verzeichnisse sowie dem erforderlichen Windows Verzeichnissen bekommt.
Sinn - er soll nicht alles sehen können ( das wäre ja auch möglich durch sperren des Windows und automatischen Aufruf der Arbeits-Software) aber auch nicht die Möglichkeit haben über sein VPN und dem Lokalen PC in das Netzwerk des Servers zu kommen.
Problem:
Ein neuer Benutzer ist automatisch JEDER somit Zugriff auf alle Verzeichnisse.
Er könnte sowie ich es jetzt therotisch denke - seinen PC mit einer passenden lokalen IP über den Lancom mit als Netzwerkrechner zum Server verbinden.
Gemeint damit - Verbindungsaufbau per VPN-client - TS aufgerufen , damit Benutzername eingeloggt - lokal auf Netzwerkumgebung und die Brücke zum Server bauen.
FAZIT:
- KEINE Berechtigung für jegliche Verzeichnisse ( ausser nötige Windows und Anwendungssoftwareverz.) ?
Grüsse
Christian
P.S. geht das vielleicht mit der Funktion SPERREN von Verzeichnissen ?
Wer kann mir helfen ?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 153427
Url: https://administrator.de/contentid/153427
Ausgedruckt am: 19.11.2024 um 05:11 Uhr
4 Kommentare
Neuester Kommentar
Moin,
grundlegendes zu NTFS Berechtigungen:
Verbote gehen vor Erlaubnisse!
Sprich, ist User A Mitglied der Gruppe B und hat Zugriff auf den Ordner "Arbeit", kann ich explizit sagen:
User A darf nicht mit dem Ordner Arbeit machen!
dann dürfen alle mit dem Ordner Arbeiten, bis auf User A, obwohl er mitglied der Gruppe B ist ;)
also ganz einfach:
Sperr den User überall aus, bis auf
\Dokumente und Einstellungen \ All Users
\Dokumente und EInstellungen \ Default Users
\Dokumente und EInstellungen \ %username%
\Windows\
Programme / Program Files
Wobei du dann vllt eine neue Gruppe erstellen solltest (spart dir zukünftig Arbeit, sollte ein weiterer User dies nicht dürfen)
Sollte es noch eine elegantere Lösung geben, würde mich des auch mal interessieren
Gruß
meistro87
grundlegendes zu NTFS Berechtigungen:
Verbote gehen vor Erlaubnisse!
Sprich, ist User A Mitglied der Gruppe B und hat Zugriff auf den Ordner "Arbeit", kann ich explizit sagen:
User A darf nicht mit dem Ordner Arbeit machen!
dann dürfen alle mit dem Ordner Arbeiten, bis auf User A, obwohl er mitglied der Gruppe B ist ;)
also ganz einfach:
Sperr den User überall aus, bis auf
\Dokumente und Einstellungen \ All Users
\Dokumente und EInstellungen \ Default Users
\Dokumente und EInstellungen \ %username%
\Windows\
Programme / Program Files
Wobei du dann vllt eine neue Gruppe erstellen solltest (spart dir zukünftig Arbeit, sollte ein weiterer User dies nicht dürfen)
Sollte es noch eine elegantere Lösung geben, würde mich des auch mal interessieren
Gruß
meistro87
Moin Moin
Fazit: Um differenziert Verzeichniszugriffe (wer darf wo Lesen/Schreiben) zu steuern, must du für die Berechtigungen deiner Ordner Gruppen verwenden deren Mitglieder du selbst festlegen kannst.
Nur diesen Gruppen gewährt du dann die benötigten Rechte auf den jeweiligen Verzeichnissen.
Gruß L.
Server 2003 - als Fileserver
Sprich kein DC?... alle die JEDER Rechte haben
Jeder ist hier kein Recht sondern eine Gruppe. In der befindet sich (jetzt kommts) jeder.P.S. geht das vielleicht mit der Funktion SPERREN von Verzeichnissen ?
Probier das doch einfach mal aus mit der Gruppe JEDER. Da hast Du sicher deinen Spaß. Fazit: Um differenziert Verzeichniszugriffe (wer darf wo Lesen/Schreiben) zu steuern, must du für die Berechtigungen deiner Ordner Gruppen verwenden deren Mitglieder du selbst festlegen kannst.
Nur diesen Gruppen gewährt du dann die benötigten Rechte auf den jeweiligen Verzeichnissen.
Gruß L.
Hallo,
zur Klarstellung :
es gibt natürlich ein DC - sorry hatte ich nicht erwähnt , ist z.zt. noch ein zusätzlicher W2K Server
Klar ist mir das JEDER ein Gruppe ist - und ganz Klar das ich die Gruppe JEDER nicht sperren darf !
Um aber sicher zu gehen das die jetzigen Benutzer so weiter arbeiten können und es nicht einen crash gibt , wegen fehlender Berechtigungen, wollte ich mich vorerst nur um den NEUEN kümmern. Da im nächsten Jahr die Umstellung auf Server2008 bevor steht und in dem Zuge dann auch alles neu gesetzt werden soll, da dann auch der W2K Server raus soll.
Kann ich denn eine Gruppe "Neue" anlegen die nicht die Berechtigungen für "jeden" haben, also aus der Gruppe JEDER ausschliessen ?
Bzw. klappt es wenn ich die Gruppe " Neue" als Domäin Benutzer anlege und die nicht erlaubten Verzeichnisse sperre ?
-- an L. Dein Fazit ist mir klar , aber ich habe das Netzwerk so übernommen und scheinbar gab es bei der Erstellung des Systems noch nicht die Idee das auch von aussen gearbeitet werden soll.
-- an Meistro87 Deine Lösung stellte ich mir auch so vor, aber villeicht gibt es eine bessere Lösung , ansonsten werde ich deinen Vorschlag so mal ausprobieren.
Vielleicht kann ja noch geholfen werden.
christian
zur Klarstellung :
es gibt natürlich ein DC - sorry hatte ich nicht erwähnt , ist z.zt. noch ein zusätzlicher W2K Server
Klar ist mir das JEDER ein Gruppe ist - und ganz Klar das ich die Gruppe JEDER nicht sperren darf !
Um aber sicher zu gehen das die jetzigen Benutzer so weiter arbeiten können und es nicht einen crash gibt , wegen fehlender Berechtigungen, wollte ich mich vorerst nur um den NEUEN kümmern. Da im nächsten Jahr die Umstellung auf Server2008 bevor steht und in dem Zuge dann auch alles neu gesetzt werden soll, da dann auch der W2K Server raus soll.
Kann ich denn eine Gruppe "Neue" anlegen die nicht die Berechtigungen für "jeden" haben, also aus der Gruppe JEDER ausschliessen ?
Bzw. klappt es wenn ich die Gruppe " Neue" als Domäin Benutzer anlege und die nicht erlaubten Verzeichnisse sperre ?
-- an L. Dein Fazit ist mir klar , aber ich habe das Netzwerk so übernommen und scheinbar gab es bei der Erstellung des Systems noch nicht die Idee das auch von aussen gearbeitet werden soll.
-- an Meistro87 Deine Lösung stellte ich mir auch so vor, aber villeicht gibt es eine bessere Lösung , ansonsten werde ich deinen Vorschlag so mal ausprobieren.
Vielleicht kann ja noch geholfen werden.
christian
Moin
Du musst dies natürlich an allen Ordnern machen, an die der VPN User nicht ran soll. Statt nur an den (wenigen) Ordnern in denen er Arbeiten soll.
Gruß L.
Kann ich denn eine Gruppe "Neue" anlegen die nicht die Berechtigungen für "jeden" haben, also aus der Gruppe JEDER ausschliessen ?
Nein.Bzw. klappt es wenn ich die Gruppe " Neue" als Domäin Benutzer anlege und die nicht erlaubten Verzeichnisse sperre ?
Ja. Du kannst einer Gruppe natürlich Verzeichnisrechte "Verweigern". Verweigern geht vor Gewähren.Du musst dies natürlich an allen Ordnern machen, an die der VPN User nicht ran soll. Statt nur an den (wenigen) Ordnern in denen er Arbeiten soll.
Gruß L.
