Win2000 Server + WINNT Ordner für Benutzer sperren

[bast-i]

Guten Morgen,

ich habe folgendes Problem:
Ich habe einen Win2000 Terminal-Server hier stehen, und auf dem sollen Benutzer arbeiten, die aber gewisse Dinge eben nicht dürfen, wie z.b Registry einträge machen etc. Diese vorkehrungen sind auch alle schon getroffen.
Nur möchte ich nicht das die User in dem Ordner WINNT herumstöbern können.
Wenn ich in den Sicherheitseinstellungen für diesen Ordner alle Rechte für die Gruppe "Benutzer" verweigere können sich alle Benutzer der Gruppe nicht mehr einloggen da sie beim Log-In auf einige Dateien des Ordners WINNT (bzw. unterordners system32, oder noch mehr?!) zugreifen müssen.
Meine Frage: Wie kann ich den Ordner vor Neugierigen Usern schützen?

Vielen Dank schoneinmal.
Sebastian

 

[anonymum2]

Re: Win2000 Server + WINNT Ordner für Benutzer sperren

Hallo bast-i

Aus zeitlichen Gründen muss ich Dich mal nach> verweisen. Ein W2000 Forum

Hier:

Please, Anmelden or Registrieren to view URLs content!

?

Gruss rolfpower

 

[bast-i]

Re: Win2000 Server + WINNT Ordner für Benutzer sperren

Danke trotzdem schoneinmal .
Vielleicht werde ich dort ja fündig.
Auf der Seite was ich nämlich noch nicht, obwohl ich schon dachte das ich ÜBERALL gewesen wäre !!
Naja, ich such auch schon lange.....

 

[micha]

Re: Win2000 Server + WINNT Ordner für Benutzer sperren

hallo bast-i
als erstes dürfen die benutzer auch nur benutzer sein. also auch nur der gruppe benutzer hinzugefügt. demnach haben die im winnt ordner schonmal kein schreibzugriff sondern nur lesenzugriff.
die profile werden trotzdem geladen, dass hat damit nix zu tun. nun interessanter sind die ordner der benutzer. diese order sind und haben acl gebunden zu sein. ein "ordinärer" benutzer kann demnach nur sein ordner bzw profil öffnen. er hat nicht einmal leseberechtigung auf anderen benutzerordnern. wenn ja ist hier rumgefuscht worden.
trage mal ein benutzer ein mit dem du üben bzw schauen kannst was der eigentlich darf und was nicht. achso regestry einträge können die schon gar nicht machen schon bei dem befehl eine msc. konsole zu öffnen streikt der rechner( man gut so)
das an und abmelden erfolgt übrigens mit schreibberechtigung des jeweiligen nutzers. also auch unproblematisch. und das was sie dir schießen können wie z.b. die boot.ini ist für die eh tabu.
ich hoffe die auskunft langt und ist noch halb verständlich. wenn dich das thema mehr interessiert gehst du am besten auf

Please, Anmelden or Registrieren to view URLs content!

. da gibst du ein thema ein und dir wird in teilen (pdf´s)die technische referenz von ms geboten (kostenlos)
mfg micha

 

[bast-i]

Re: Win2000 Server + WINNT Ordner für Benutzer sperren

Hallo Micha, danke für die Antwort!

Jedoch....

als erstes dürfen die benutzer auch nur benutzer sein. also auch nur der gruppe benutzer hinzugefügt. demnach haben die im winnt ordner schonmal kein schreibzugriff sondern nur lesenzugriff.

Das stimmt so ja nicht ganz, denn:
- Legen wir mal einen Benutzer an (automatisch in der Gruppe "Benutzer").
- Und nun schauen wir uns die Rechte für ihn auf dem Ordner WINNT an:
- Lesen, Ausführen
- Ordnerinhalt auflisten
- Lesen
.....Mhhhhhh und wenn er ausführen darf, darf er jede Datei die in dem Ordner WINNT ist ausführen......und auch jede datei die in dem Ordner system32 liegt. Da haben wir so nette tools wie "progman"...mit denen man sich problemlos Netzlaufwerke holen kann.... und das ist das was ich versuche zu verhindern.

Vielleicht fällt dir ja sonst noch etwas ein.....

Mit freundlichem Gruß
bast-i

 

[micha]

Re: Win2000 Server + WINNT Ordner für Benutzer sperren

hallo
er hat aber nicht das schreibattribut. ich weiß nicht in wie fern progman da rumfuhwerklt.
es gilt aber Lesen: Dateien lesen, Unterordner in dem Ordner auflisten, Ordnerbesitzrechte, Berechtigungen und Attribute (wie schreibgeschüztz, Versteckt,Archiv und System) ansehen.

Schreiben: Neue Dateen erstellen, Unterordner in dem Ordner erstellen, Attribute ändern, Ordnerbesitzrechte und berechtigungen lesen.

Ordnerinhalt auflisten: Namen von Dateien und Unterordnern in dem Ordner lesen und auflisten.

Lesen& Ausführen: Bewegen durch Ordner um andere Dateien und Ordner zu erreichen auch wenn die Benutzer keine berechtigung für jene ordner haben; alle aktionen durchführen, die den
Berechtigungen Lesen & ordnerinhalt auflisten entsprechen

Ändern: ordner löschen und alle aktionen durchführen die den berechtigungen Schreiben und lesen &Ausführen entsprechen.

Vollzugriff: Berechtigung ändern, Besitz übernehmen, unterordner und dateien löschen und alle aktionen durchführen, die allen anderen NTFS ordnerberechtigungen entsprechen.
(quelle;Microsoft Press/ MCSE 70-210)

will ja nich klugschietern aber so reden wir von den gleichen attributen.
das attribut ausführen vermag aber nicht zum verändern im winnt ordner.( laut meinem buch hier) jedoch darf er nicht schreiben.
So wenn du nun einen richtigen terminalserver mit den terminaldiensten hast sollstest du dat dingen mal näher beschreiben. weil in so einem ding hat nicht einmal ein diskettenlw. was zu suchen.
ich hoffen du hast eine domäne ausgesetzt. nun kannst du dir doch eine richtline schreiben die nicht einmal einen startbutton oder ein kontextmenü erlaubt. nun gibt es verschiedene möglichkeiteb aber bevor wir weiter "reden" schreib mal näher was du meinst was du haben willst. domäne ja-nein...oder stand alone rechner.