8
Zugriff auf DVD-RAM Laufwerk einschränken
Hallo.
Ich möchte den Zugriff auf ein DVD-RAM Laufwerk auf bestimmte Admins und Server-Operatoren beschränken. Das Laufwerk ist in einem Win-Server 2003. Ich habe einen Benutzer eingerichtet, der den Server gelegentlich administrieren soll. Er ist Mitglied der Gruppe Server-Operatoren. Er soll keinen Zugriff auf die Daten haben, die mittels des DVD-RAM Laufwerks gesichert werden. Im Filesystem kann der Benutzer nicht auf diese Daten zugreifen. Auf die gesicherten und komprimierten Daten auf dem DVD-RAM Laufwerk kann er aber zugreifen. Die DVD-RAMs sind UDF-formatiert.
Bisher habe ich noch keinen Dreh gefunden. Hat jemand einen Tipp?
Schönen Dank im Voraus.
Ich möchte den Zugriff auf ein DVD-RAM Laufwerk auf bestimmte Admins und Server-Operatoren beschränken. Das Laufwerk ist in einem Win-Server 2003. Ich habe einen Benutzer eingerichtet, der den Server gelegentlich administrieren soll. Er ist Mitglied der Gruppe Server-Operatoren. Er soll keinen Zugriff auf die Daten haben, die mittels des DVD-RAM Laufwerks gesichert werden. Im Filesystem kann der Benutzer nicht auf diese Daten zugreifen. Auf die gesicherten und komprimierten Daten auf dem DVD-RAM Laufwerk kann er aber zugreifen. Die DVD-RAMs sind UDF-formatiert.
Bisher habe ich noch keinen Dreh gefunden. Hat jemand einen Tipp?
Schönen Dank im Voraus.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 34081
Url: https://administrator.de/contentid/34081
Ausgedruckt am: 25.11.2024 um 09:11 Uhr
8 Kommentare
Neuester Kommentar
Versuchs mal mit mountvol. Einfach im Logonscript des Users eintragen und das gewünschte Laufwerk ist nicht mehr ersichtlich.
Hilfe zu Mountvol gibts in der Shell. Einfach mountvol eingeben und Enter. Da sieht man auch gleich die aktuellen Bereitstellungspunkte.
So kannst du dem User das Laufwerk vorenthalten.
Hilfe zu Mountvol gibts in der Shell. Einfach mountvol eingeben und Enter. Da sieht man auch gleich die aktuellen Bereitstellungspunkte.
So kannst du dem User das Laufwerk vorenthalten.
Hallo
Besten Dank für den Tipp. Leider habe ich damit keinen Erfolg. Wenn ich die Erklärung recht verstanden habe, dann wäre der Befehl für ein logisches Laufwerk f: z.b. so:
mountvol f: /d
Leider bleibt das ohne Wirkung.
Falls das funktionieren würde, könnte der User sich dann auf die gleiche Weise auch das Laufwerk wiederholen?
Besten Dank für den Tipp. Leider habe ich damit keinen Erfolg. Wenn ich die Erklärung recht verstanden habe, dann wäre der Befehl für ein logisches Laufwerk f: z.b. so:
mountvol f: /d
Leider bleibt das ohne Wirkung.
Falls das funktionieren würde, könnte der User sich dann auf die gleiche Weise auch das Laufwerk wiederholen?
Das funktioniert schon. Ich bin mir nicht sicher was bei dir nicht geklappt hat, oder ob es an der Berechtigung als Server-Operater liegt. Gib mal mountvol ein. Ganz unten stehen dann die möglichen Bereitstellungspunkte mit den zugehörigen Laufwerksbuchstaben. Da müsste auch dein DVD-Laufwerk auftauchen, z.B. D
Dann wie von die beschrieben mountvol d: /d
Danach ist es im Explorer und der Shell nicht mehr sichtbar und auch nicht ansprechbar. Gibst du nun wieder mountvol an, wird es angezeigt, aber mit dem Hinweis, dass kein Bereitstellungspunkt zur Verfügung steht. Um es wieder zu aktivieren musst du dann mountvol d: \\?Volume....und das ganze Zeug das da steht eingeben, bzw. copy&paste.
Du kannst ja den Usern den Zugriff auf die Shell verbieten. Dann können die sich das auch nicht wieder mounten.
Dann wie von die beschrieben mountvol d: /d
Danach ist es im Explorer und der Shell nicht mehr sichtbar und auch nicht ansprechbar. Gibst du nun wieder mountvol an, wird es angezeigt, aber mit dem Hinweis, dass kein Bereitstellungspunkt zur Verfügung steht. Um es wieder zu aktivieren musst du dann mountvol d: \\?Volume....und das ganze Zeug das da steht eingeben, bzw. copy&paste.
Du kannst ja den Usern den Zugriff auf die Shell verbieten. Dann können die sich das auch nicht wieder mounten.
Du hast recht! Man muss nur den kompletten kryptischen Volumenamen eingeben, und schon funktioniert es auch.
Ich habe die Sicherungsscripte um das Mounten und Unmounten des DVD-RAM-Drives ergänzt. - Am Anfang der automatischen Datensicherung wird das Laufwerk gemountet und am Ende des Scripts erfolgt der Unmount. Das ist zwar nicht das, was ich mir eigentlich gedacht habe, aber so wird das Ziel wohl auch erreicht.
Ich hatte gehofft, dass man speziell diesem User in der Benutzerverwaltung oder anderswo die Benutzung des DVD-RAM-Drives untersagen kann. Wenn sich jetzt ein anderer Admin auf dem Server anmeldet muss er sich das Laufwerk händisch mounten. Aber das ist ja bei den Konkurrenzbetriebssystemen auch nicht anders.
Besten Dank nochmal für den guten Tipp!!
Ich habe die Sicherungsscripte um das Mounten und Unmounten des DVD-RAM-Drives ergänzt. - Am Anfang der automatischen Datensicherung wird das Laufwerk gemountet und am Ende des Scripts erfolgt der Unmount. Das ist zwar nicht das, was ich mir eigentlich gedacht habe, aber so wird das Ziel wohl auch erreicht.
Ich hatte gehofft, dass man speziell diesem User in der Benutzerverwaltung oder anderswo die Benutzung des DVD-RAM-Drives untersagen kann. Wenn sich jetzt ein anderer Admin auf dem Server anmeldet muss er sich das Laufwerk händisch mounten. Aber das ist ja bei den Konkurrenzbetriebssystemen auch nicht anders.
Besten Dank nochmal für den guten Tipp!!
Trag doch das mounten ins Logonscript von deinem Benutzer ein. Dann wird das Laufwerk nur bei diesem User gesperrt. Ob nach einer Abmeldung und Neuanmeldung eines anderen Benutzers das Laufwerk noch weg ist, weiß ich nicht. Ließe sich aber dann über die GPO regeln. Einfach ein Script beim Abmelden laufen lassen, welches das Laufwerk wieder mountet.
So sollte es doch möglich sein dies nur auf einen User zu begrenzen.
So sollte es doch möglich sein dies nur auf einen User zu begrenzen.
Das mounten des Laufwerks per Anmeldescript wäre bestimmt sinnvoll, wenn der Benutzer sich nur an einem Rechner anmelden würde. Er meldet sich aber an verschiedenen PCs an, und wir arbeiten mit servergespeicherten Benutzerprofilen. Wenn ich ihm ein unmount für einen Laufwerksbuchstaben in sein Anmeldescript schreibe, was geschieht dann, wenn er sich auf anderen PCs der Domäne anmeldet?
Das müsste ich mir erst noch einmal genauer durchdenken und ein wenig testen. Auf den ersten Blick stehe ich der Idee etwas skeptisch gegenüber.
Das müsste ich mir erst noch einmal genauer durchdenken und ein wenig testen. Auf den ersten Blick stehe ich der Idee etwas skeptisch gegenüber.
Stimmt, hatte ich nicht bedacht, aber...
2 mögliche Ansätze:
Du könntest ein Startscript verwenden, dieses über die GPO einstellen und in der Sicherheitsfilterung nur den Computernamen einfügen. Somit wird dieses nur auf dem betreffenden PC ausgeführt. Damit dies nicht bei allen Usern der Fall ist, könntest du unter der Delegierung z.B. die Gruppe Admin aufnehmen und dort bei "Gruppenrichtlinien anwenden" auf verweigern setzen und den anderen User noch dazu mit Gruppenrichtlinien anwenden. Wenn ich mich nicht täusche läuft es dann nur auf dem ausgewählten Server und nur für den angegebenen User, aber ausprobiert habe ich es nicht.
Andere Möglichkeit wäre direkt im Logonscript des Users eine Abfrage auf den Computernamen auszuführen und falls es ein anderer PC ist, dann wird das unmounten übersprungen bzw. wenn es der gewünschte PC ist wird es ausgeführt.
Scheint einfacher zu sein, aber vielleicht habe ich wieder was nicht bedacht.
2 mögliche Ansätze:
Du könntest ein Startscript verwenden, dieses über die GPO einstellen und in der Sicherheitsfilterung nur den Computernamen einfügen. Somit wird dieses nur auf dem betreffenden PC ausgeführt. Damit dies nicht bei allen Usern der Fall ist, könntest du unter der Delegierung z.B. die Gruppe Admin aufnehmen und dort bei "Gruppenrichtlinien anwenden" auf verweigern setzen und den anderen User noch dazu mit Gruppenrichtlinien anwenden. Wenn ich mich nicht täusche läuft es dann nur auf dem ausgewählten Server und nur für den angegebenen User, aber ausprobiert habe ich es nicht.
Andere Möglichkeit wäre direkt im Logonscript des Users eine Abfrage auf den Computernamen auszuführen und falls es ein anderer PC ist, dann wird das unmounten übersprungen bzw. wenn es der gewünschte PC ist wird es ausgeführt.
Scheint einfacher zu sein, aber vielleicht habe ich wieder was nicht bedacht.
Der Vorschlag direkt im Anmeldescript den Computernamen abzufragen wäre ein Ansatz, der mir auch noch gefallen würde. Dazu müsste ich aber erst einmal nachforschen, wie ich am Prompt den Computernamen abfrage. Wahrscheinlich ein net-Command.
Schöne Grüße und vielen Dank
Fred
Schöne Grüße und vielen Dank
Fred
