m.buzmann
Goto Top

Zugriff auf Ordner per Anmeldung?

Hallo,

ich habe ne kurze Frage.

Bei mir sind MA ganz normal als Domainuser mit den entsprechenden Rechten angemeldet. Nun ist es so, dass an einem Arbeitsplatz Nutzer A angemeldet ist. Nutzer B setzt sich an diesen Platz und möchte auf einen Ordner zugreifen, auf den A keinen Zugriff hat. Dies möchte B aber tun, ohne den Benutzer zu wechseln. Auf den Ordner soll nur B Zugriff haben, egal an welchen Arbeitsplatz er sitzt.

Gibt es da etwas, um sowas umzusetzen?

Danke schonmal ...

Content-ID: 522169

Url: https://administrator.de/forum/zugriff-auf-ordner-per-anmeldung-522169.html

Ausgedruckt am: 22.12.2024 um 18:12 Uhr

sabines
sabines 05.12.2019 um 10:42:19 Uhr
Goto Top
Moin,

die Rechte sind nun mal mit dem Benutzer und nicht dem Arbeitsplatz verbunden.
Wenn Du keinen Benutzerwechsel möchtest, dann kann Nutzer B das entsprechende Laufwerk/Verzeichnis aufrufen und wird .i.d.R. dazu aufgefordert seine Zugangsdaten einzugeben, wenn er dann aus Versehen den kleine Haken (Einstellungen merken oder so) setzt oder nach der Arbeit das Laufwerk nicht trennt, kann A auf die Daten zugreifen.

Daher: Lass es wie es ist, alles andere dürfte irgendwann in die Hose gehen.

Gruss
erikro
erikro 05.12.2019 um 10:56:39 Uhr
Goto Top
Moin,

ja, aber nicht mit Bordmitteln. Ich habe für diesen Zweck den Total Commander. Den starte ich einmal ganz normal mit meinem eingeschränkten User, der dann auch nur auf die nicht administrativen Ordner Zugriff hat. Um nun z. B. Downloads in unser Softwareverzeichnis kopieren zu können, starte ich den TC noch einmal mit Adminrechten (runas). So habe ich dann Zugriff auf die administrativen Ordner (und alles andere auch). Allerdings muss ich dann, wenn ich z. B. eine Excel-Tabelle aus dem administrativen Ordner öffnen möchte, diese vorher in ein Verzeichnis kopieren, auf das mein eingeschränkter User Zugriff hat, da das direkte Öffnen zur Fehlermeldung "Zugriff verweigert" führt, weil Excel weiterhin mit den Rechten des eingeschränkten Users startet.

hth

Erik
erikro
erikro 05.12.2019 um 10:59:04 Uhr
Goto Top
Moin,

Zitat von @sabines:
die Rechte sind nun mal mit dem Benutzer und nicht dem Arbeitsplatz verbunden.
Wenn Du keinen Benutzerwechsel möchtest, dann kann Nutzer B das entsprechende Laufwerk/Verzeichnis aufrufen und wird .i.d.R. dazu aufgefordert seine Zugangsdaten einzugeben, wenn er dann aus Versehen den kleine Haken (Einstellungen merken oder so) setzt oder nach der Arbeit das Laufwerk nicht trennt, kann A auf die Daten zugreifen.

Nein, das wird nichts. Man kann sich nur einmal mit dem Server verbinden. Wenn er also versucht mit dem Explorer ein Verzeichnis zu öffnen, auf das User A keinen Zugriff hat, kommt keine Aufforderung, das PW einzugeben, sondern nur "Zugriff verweigert". Er müsste schon die Verbindung komplett kappen und dann ein Netzlaufwerk einrichten mit anderen Benutzerdaten. Keine gute Idee.

Liebe Grüße

Erik
godlie
godlie 05.12.2019 um 11:17:12 Uhr
Goto Top
Zitat von @erikro:


Nein, das wird nichts. Man kann sich nur einmal mit dem Server verbinden. Wenn er also versucht mit dem Explorer ein Verzeichnis zu öffnen, auf das User A keinen Zugriff hat, kommt keine Aufforderung, das PW einzugeben, sondern nur "Zugriff verweigert". Er müsste schon die Verbindung komplett kappen und dann ein Netzlaufwerk einrichten mit anderen Benutzerdaten. Keine gute Idee.

Hallo,
das stimmt so in der Form nicht, ich kann mich einmal per DNS Name und einmal per IP mit dem Server verbinden und dabei unterschiedliche Credentials verwenden.

grüße
erikro
erikro 05.12.2019 um 11:35:16 Uhr
Goto Top
Moin,

Zitat von @godlie:

Zitat von @erikro:


Nein, das wird nichts. Man kann sich nur einmal mit dem Server verbinden. Wenn er also versucht mit dem Explorer ein Verzeichnis zu öffnen, auf das User A keinen Zugriff hat, kommt keine Aufforderung, das PW einzugeben, sondern nur "Zugriff verweigert". Er müsste schon die Verbindung komplett kappen und dann ein Netzlaufwerk einrichten mit anderen Benutzerdaten. Keine gute Idee.

Hallo,
das stimmt so in der Form nicht, ich kann mich einmal per DNS Name und einmal per IP mit dem Server verbinden und dabei unterschiedliche Credentials verwenden.

Frage meiner User: "Was ist eine IP?" face-wink Klar geht das, wenn ich denn weiß, was eine IP ist, wie die IP des Fileservers lautet und wie ich die korrekt eingebe. Dann muss ich noch wissen, wie man ein Netzlaufwerk einbindet. Das alles wissen unsere User in der Regel nicht.

Liebe Grüße

Erik
0x32f1
0x32f1 05.12.2019 um 19:47:44 Uhr
Goto Top
Woran scheitert es denn, dass Nutzer B sich nicht anmelden will? Daran, dass er Nutzer A abmelden würde? Dafür gibt es ja das Fast User Switching per "Benutzer wechseln" - da bleibt die Sitzung von Nutzer A noch offen und Benutzer B meldet sich einfach ab, wenn er fertig ist.

Ansonsten kann man natürlich auch so arbeiten, dass Nutzer B z.B. Excel mit seinem Account innerhalb der Sitzung von Nutzer A startet (runas oder eben per Rechtsklick) und dann über "Datei -> Öffnen" seine Datei direkt aus dem Share lädt. Programm wäre hier natürlich austauschbar.

Nebenfrage: Warum sperrt Nutzer A seinen PC eigentlich nicht? Wenn das in dem Netzwerk niemand tut, bedarf's ja fast keiner unterschiedlichen Zugriffsberechtigungen.
m.buzmann
m.buzmann 09.12.2019 aktualisiert um 09:30:18 Uhr
Goto Top
Danke schonmal für die Antworten / Hinwise.

Leider scheitert es an der "Faulheit" der Damen hier. "Benutzer wechseln" ist natürlich das einfachste ... Das kann und werde ich nn alternativlos auf den Tisch legen.

Ich habe gerade eine andere Idee. Schlagt mich bitte, wenn ich damit komplett falsch liege.
Kann es funktionieren, dass ich über ein Skript dem Ordner ein Netzwerklaufwerk zuweise -> Passworteingabe -> und dann über ein Skript die Verbindung wieder trenne ...
0x32f1
0x32f1 10.12.2019 um 19:08:48 Uhr
Goto Top
Würde zwar grundsätzlich davon abraten, aber gehen würde das.

Du musst aber etwas tricksen, denn Windows lässt dich nicht zweimal mit verschiedenen Credentials am selben Server anmelden:

Wenn deine aktuellen Netzlaufwerke vom angemeldeten Benutzer per Hostname/FQDN (net use M: \\fileserver.domain.intern\share1, bzw. per GPO) verbunden werden, musst du z.B. auf auf die IP ausweichen (net use N: \\10.0.0.100\share2 /user:domain\user2).