Zugriff auf DVD-RAM Laufwerk einschränken

Mitglied: Fred-HB

Fred-HB (Level 1) - Jetzt verbinden

12.06.2006, aktualisiert 15.06.2006, 5638 Aufrufe, 8 Kommentare

Hallo.
Ich möchte den Zugriff auf ein DVD-RAM Laufwerk auf bestimmte Admins und Server-Operatoren beschränken. Das Laufwerk ist in einem Win-Server 2003. Ich habe einen Benutzer eingerichtet, der den Server gelegentlich administrieren soll. Er ist Mitglied der Gruppe Server-Operatoren. Er soll keinen Zugriff auf die Daten haben, die mittels des DVD-RAM Laufwerks gesichert werden. Im Filesystem kann der Benutzer nicht auf diese Daten zugreifen. Auf die gesicherten und komprimierten Daten auf dem DVD-RAM Laufwerk kann er aber zugreifen. Die DVD-RAMs sind UDF-formatiert.
Bisher habe ich noch keinen Dreh gefunden. Hat jemand einen Tipp?
Schönen Dank im Voraus.
Mitglied: RibbelRabbel
13.06.2006 um 09:27 Uhr
Versuchs mal mit mountvol. Einfach im Logonscript des Users eintragen und das gewünschte Laufwerk ist nicht mehr ersichtlich.

Hilfe zu Mountvol gibts in der Shell. Einfach mountvol eingeben und Enter. Da sieht man auch gleich die aktuellen Bereitstellungspunkte.

So kannst du dem User das Laufwerk vorenthalten.
Bitte warten ..
Mitglied: Fred-HB
13.06.2006 um 16:37 Uhr
Hallo
Besten Dank für den Tipp. Leider habe ich damit keinen Erfolg. Wenn ich die Erklärung recht verstanden habe, dann wäre der Befehl für ein logisches Laufwerk f: z.b. so:
mountvol f: /d
Leider bleibt das ohne Wirkung.
Falls das funktionieren würde, könnte der User sich dann auf die gleiche Weise auch das Laufwerk wiederholen?
Bitte warten ..
Mitglied: RibbelRabbel
14.06.2006 um 07:35 Uhr
Das funktioniert schon. Ich bin mir nicht sicher was bei dir nicht geklappt hat, oder ob es an der Berechtigung als Server-Operater liegt. Gib mal mountvol ein. Ganz unten stehen dann die möglichen Bereitstellungspunkte mit den zugehörigen Laufwerksbuchstaben. Da müsste auch dein DVD-Laufwerk auftauchen, z.B. D
Dann wie von die beschrieben mountvol d: /d
Danach ist es im Explorer und der Shell nicht mehr sichtbar und auch nicht ansprechbar. Gibst du nun wieder mountvol an, wird es angezeigt, aber mit dem Hinweis, dass kein Bereitstellungspunkt zur Verfügung steht. Um es wieder zu aktivieren musst du dann mountvol d: \\?Volume....und das ganze Zeug das da steht eingeben, bzw. copy&paste.
Du kannst ja den Usern den Zugriff auf die Shell verbieten. Dann können die sich das auch nicht wieder mounten.
Bitte warten ..
Mitglied: Fred-HB
14.06.2006 um 12:17 Uhr
Du hast recht! Man muss nur den kompletten kryptischen Volumenamen eingeben, und schon funktioniert es auch.
Ich habe die Sicherungsscripte um das Mounten und Unmounten des DVD-RAM-Drives ergänzt. - Am Anfang der automatischen Datensicherung wird das Laufwerk gemountet und am Ende des Scripts erfolgt der Unmount. Das ist zwar nicht das, was ich mir eigentlich gedacht habe, aber so wird das Ziel wohl auch erreicht.
Ich hatte gehofft, dass man speziell diesem User in der Benutzerverwaltung oder anderswo die Benutzung des DVD-RAM-Drives untersagen kann. Wenn sich jetzt ein anderer Admin auf dem Server anmeldet muss er sich das Laufwerk händisch mounten. Aber das ist ja bei den Konkurrenzbetriebssystemen auch nicht anders.
Besten Dank nochmal für den guten Tipp!!
Bitte warten ..
Mitglied: RibbelRabbel
14.06.2006 um 13:15 Uhr
Trag doch das mounten ins Logonscript von deinem Benutzer ein. Dann wird das Laufwerk nur bei diesem User gesperrt. Ob nach einer Abmeldung und Neuanmeldung eines anderen Benutzers das Laufwerk noch weg ist, weiß ich nicht. Ließe sich aber dann über die GPO regeln. Einfach ein Script beim Abmelden laufen lassen, welches das Laufwerk wieder mountet.
So sollte es doch möglich sein dies nur auf einen User zu begrenzen.
Bitte warten ..
Mitglied: Fred-HB
14.06.2006 um 14:43 Uhr
Das mounten des Laufwerks per Anmeldescript wäre bestimmt sinnvoll, wenn der Benutzer sich nur an einem Rechner anmelden würde. Er meldet sich aber an verschiedenen PCs an, und wir arbeiten mit servergespeicherten Benutzerprofilen. Wenn ich ihm ein unmount für einen Laufwerksbuchstaben in sein Anmeldescript schreibe, was geschieht dann, wenn er sich auf anderen PCs der Domäne anmeldet?
Das müsste ich mir erst noch einmal genauer durchdenken und ein wenig testen. Auf den ersten Blick stehe ich der Idee etwas skeptisch gegenüber.
Bitte warten ..
Mitglied: RibbelRabbel
14.06.2006 um 15:00 Uhr
Stimmt, hatte ich nicht bedacht, aber...
2 mögliche Ansätze:

Du könntest ein Startscript verwenden, dieses über die GPO einstellen und in der Sicherheitsfilterung nur den Computernamen einfügen. Somit wird dieses nur auf dem betreffenden PC ausgeführt. Damit dies nicht bei allen Usern der Fall ist, könntest du unter der Delegierung z.B. die Gruppe Admin aufnehmen und dort bei "Gruppenrichtlinien anwenden" auf verweigern setzen und den anderen User noch dazu mit Gruppenrichtlinien anwenden. Wenn ich mich nicht täusche läuft es dann nur auf dem ausgewählten Server und nur für den angegebenen User, aber ausprobiert habe ich es nicht.

Andere Möglichkeit wäre direkt im Logonscript des Users eine Abfrage auf den Computernamen auszuführen und falls es ein anderer PC ist, dann wird das unmounten übersprungen bzw. wenn es der gewünschte PC ist wird es ausgeführt.

Scheint einfacher zu sein, aber vielleicht habe ich wieder was nicht bedacht.
Bitte warten ..
Mitglied: Fred-HB
15.06.2006 um 15:40 Uhr
Der Vorschlag direkt im Anmeldescript den Computernamen abzufragen wäre ein Ansatz, der mir auch noch gefallen würde. Dazu müsste ich aber erst einmal nachforschen, wie ich am Prompt den Computernamen abfrage. Wahrscheinlich ein net-Command.
Schöne Grüße und vielen Dank
Fred
Bitte warten ..
Heiß diskutierte Inhalte
Exchange Server
0-day Exploit Chain für Exchange Server - Patches verfügbar
kgbornVor 1 TagInformationExchange Server6 Kommentare

Zur Info: Microsoft warnt vor einer Exploit-Chain, bei der vier 0-day-Schwachstellen für gezielte Angriffe auf Exchange per Outlook Web App kombiniert werden (eine chines. ...

HTML
Ich brauche dringend Hilfe !
gelöst JulianpustVor 13 StundenFrageHTML16 Kommentare

Hallo erstmal, ich habe großen Mist gebaut in der Firma wo ich gerade mal 2 Tage arbeite. Was ist passiert: Ich sollte von Gmail ...

Netzwerkgrundlagen
DS-Lite Verständnisfrage Wireguard
gelöst fnbaluVor 1 TagFrageNetzwerkgrundlagen23 Kommentare

Hallo zusammen, bisher läuft bei mir alles klassisch. pfSense mit DDNS und ich verbinde mich mit OpenVPN in das Heimnetz und erspare mir so ...

Windows 10
Windows 10 schickt lokale Anfragen an das Gateway - was tun?
gelöst runthegaunzVor 1 TagFrageWindows 1015 Kommentare

Hallo! Ich bin vor ein paar Tagen wieder von Linux auf Windows umgestiegen. Ich hab die Windows 10 Version 20H2 installiert, wurde von Windows ...

Switche und Hubs
23 Cisco Switch einrichten - Wie am einfachsten?
gelöst Freak-On-SiliconVor 1 TagFrageSwitche und Hubs18 Kommentare

Hallo; Ich habe hier 4stk Cisco SX350X-24 9Stk Cisco SG350X-48P 10Stk Cisco SG350X-48 Diese werden aufgeteilt auf 9 Racks, und ersetzen alte HP Switches. ...

Exchange Server
Aktuelle Exchange Sicherheitslücke
jojo0411Vor 1 TagAllgemeinExchange Server11 Kommentare

Hallo Leute, Momentan gibt es da wieder einmal ein schönes neues Thema. Sehe ich das richtig das ich mit Exchange 2016 und CU 19 ...

Hardware
Fritzbox 7590 ändert selbständig die FTP-Adresse nach ca. 24h
Wicky1Vor 1 TagFrageHardware15 Kommentare

Hallöchen, ich habe da ein sehr kurioses Problemchen mit meiner Fritzbox. Doch erst mal eine kurze Beschreibung des Aufbaus: - Fritzbox 7590 (1&1 Edition) ...

Netzwerke
Smarthome Heimnetzwerk absichern
hell.wienVor 1 TagFrageNetzwerke12 Kommentare

Hallo. Ich mach mir gerade gedanken wie ich meine neue Wohnung sicher mache Überischthalber zur Hardware: Vorhanden: Modem APU4D4 Cisco SG250X-24P Mikrotik cAP ac ...