NTFS Recht - Zugriff für Computerkonto

[FastJack2000 10]

Auch in diesem Forum habe ich (einen etwas älteren) Thread zu diesem Thema gefunden.

 

Siehe hier die Vorgeschichte

 

Ist es Möglich den Zugriff auf eine Ressource auch für Computerkonten zu konfigurieren?

 

Ich werde solche Sachen auch immer wieder gefragt und ich habe auch den Auslöser gefunden. Im (damals noch grünen) MS-Press Buch zur 70-290, also die erste Auflage, findet sich auf Seite 206 ein Absatz mit der Überschrift Neue Sicherheitsprinzipale. Dort steht folgendes:

 

Windows Server 2003 gestattet, im Gegensatz zu Windows NT 4.0, das Hinzufügen von Computern oder Gruppen von Computern zu einer Zugriffssteuerungsliste. Dies eröffnet die Möglichkeit zur Steuerung des Ressourcenzugriffs basierend auf den Clientcomputern...

 

Das ist so nicht ganz richtig, denn wenn ein Benutzer über den Dienst Client für Microsoft Netzwerke auf eine Ressoure zugreift, so geschieht das immer im Kontext zu seinem Benutzeraccount. Anders würde die Überwachung von Ressourcenzugriffen ja auch keinen Sinn ergeben.

 

Hat jemand die zweite Auflage des Buches und kann da mal nachschauen, ob dieser Absatz da so auch noch drinn steht?

 

Ich habe aus Interesse mal einen Thread in Microsoft Partner Forum aufgemacht und dort bekam ich von MS Mitarbeitern die gleiche Aussage, wie sie hier in diesem Forum auch schon gegeben worden ist.

[NorbertFe 1.809]

Das ist so nicht ganz richtig, denn wenn ein Benutzer über den Dienst Client für Microsoft Netzwerke auf eine Ressoure zugreift, so geschieht das immer im Kontext zu seinem Benutzeraccount. Anders würde die Überwachung von Ressourcenzugriffen ja auch keinen Sinn ergeben.

 

Dann greift ja auch der Benutzer drauf zu und nicht der Computer. ;) Ich nutze sowas immer für Computerstartskripts/Backups, damit ein Computerkonto seine Daten im Netz ablegen kann.

 

Bye

Norbert

[skrissel 10]

Hallo,

 

es steht auch so in der 2. Auflage.

Es funktioniert aber nicht, obwohl ich es persönlich - gerade an dem genannten Beispiel mit dem PC im Aufenthaltsraum - ganz nützlich fände.

Ich habe einer Workstation eine Freigabe komplett verweigert, kann trotzdem munter darin Ordner erstellen, löschen usw.

 

Viele Grüße

Stefan Krissel

[zahni 521]

Dei Berechtigung bezieht sich, auch beim Computer, auf ein Benutzerkonto. Beim Computer ist es Konto "System". Du gibst oder entziehst also dem Konto "System" die Berechtigung. Das hat keine Auswirkung auf das jeweilige Benutzerkonto.

 

-Zahni

[Dr Kiffer 10]

ich habe das ganze jetzt noch nicht selber nachgestellt.

 

In der 2. Auflage des MS-Press Buch auf Seite 202 steht als Tip

 

Die Möglichkeit, Computer in Gruppen zu verwalten, ist eine wichtige Erweiterung von Active Directory. Mit einer Gruppe, zu der Computer gehören, lassen sich die Berechtigungen für Resourcenzugriffe so festlegen, dass allen Benutzern, die sich an den Computern anmelden, das Recht für den betreffenden Resourchenzugriff gegeben oder verweigert wird. In vergleichbarer Weise lässt sich eine Gruppe, zu den Computer gehören, zur Filterung der Anwendung eines Gruppenrichtlinienobjekts verwenden.

 

Also Fehler im Buch wenn ich das jetzt richtig verstehe oder?

Gruß

 

Danny

[skrissel 10]

Hallo Zahni,

 

ist schon klar - nur im Buch ist es halt völlig falsch beschrieben und weckt Bedürfnisse.

Stefan Krissel

[zahni 521]

@Dr.Kiffer, deutschen Übersetzungen irgendwelcher MS-Schulungsbücher traue ich nicht über den Weg. Ich habe kürzlich mal MOC 6742A gemacht. Die deutschen Bücher waren ziemlich neu und fehlerhaft. Teilweise wurden Seiten aus den 2003'er büchern einfach rüberkopiert ohne die Namen Übungs-Domänen im text zu ändern. In den Übungen fehlten wichtige Schritte usw. Einige Übung zu VPN (die mit Zertifikat) funktionierte z.B. nach Anleitung nicht. Das sah selbst der Trainer ein.

 

-Zahni