binary 10 Posted January 14, 2009 Report Share Posted January 14, 2009 Hallo Ich möchte auf einigen XP PCs TrueCrypt Container verwenden. Damit das ganze für die Benutzer transparent abläuft habe ich das mounten ins startup Skript gesetzt (GPO in 2k3 Domäne). Dabei holt sich TrueCrypt das Keyfile von einer Netzwerkfreigabe des Servers und hier liegt auch mein Problem. Auf das Keyfile darf natürlich kein Benutzer Rechte haben. Wenn ich nun aber alle Rechte bis auf System entferne kommt TrueCrypt offensichtlich nicht mehr an das Keyfile. Wie sollte ich hier die Freigabe bzw. Dateirechte setzen damit das funktioniert? Quote Link to comment
Gabriel70 10 Posted January 15, 2009 Report Share Posted January 15, 2009 HalloIch möchte auf einigen XP PCs TrueCrypt Container verwenden. Damit das ganze für die Benutzer transparent abläuft habe ich das mounten ins startup Skript gesetzt (GPO in 2k3 Domäne). Dabei holt sich TrueCrypt das Keyfile von einer Netzwerkfreigabe des Servers und hier liegt auch mein Problem. Auf das Keyfile darf natürlich kein Benutzer Rechte haben. Wenn ich nun aber alle Rechte bis auf System entferne kommt TrueCrypt offensichtlich nicht mehr an das Keyfile. Wie sollte ich hier die Freigabe bzw. Dateirechte setzen damit das funktioniert? Hallo! Mir erschließt sich nicht so ganz, was du machen willst. Sollen die User Zugriff auf verschlüsselte Dateien des Netzlaufwerks bekommen? Gruß Quote Link to comment
Robi-Wan 10 Posted January 15, 2009 Report Share Posted January 15, 2009 Hallo, Mir erschließt sich nicht so ganz, was du machen willst. Sollen die User Zugriff auf verschlüsselte Dateien des Netzlaufwerks bekommen? Nein, das Keyfile ist der Schlüssel für die Container. @binary: Die Benutzer müssen auf ihr eigenes Keyfile Leserechte haben, sonst wird das nix. Wenn die das Keyfile nicht sehen sollen, dann leg das doch auf ein Netzwerkpfad und verweise direkt per UNC-Pfad darauf. Du musst für die User ja nicht ein Laufwerk mappen, auf dem die Keyfiles gespeichert sind... Grüße, Robert Quote Link to comment
binary 10 Posted January 15, 2009 Author Report Share Posted January 15, 2009 Hallo ich setze nur ein Keyfile pro Maschine ein. Soweit ich das verstanden habe wird das Keyfile auch nur während des mounten benötigt und danach im RAM gehalten. Wenn ich das ganze auf Passwortbasis teste kann ja auch Benutzer A einen Container mounten der dann später auch von Benutzer B genutzt wird, er bleibt also gemountet bis das System neu gestartet wird. Demnach war meine Idee das das System beim starten (also vor der Nutzeranmeldung) einen Container mountet der dann für alle Nutzer dieses Rechners zur Verfügung steht. Es soll also so funktionieren das die Rechner die TrueCrypt Laufwerke automatisch benutzen solange sie in der Domäne gestartet werden. Wenn ich den UNC Pfad für die Benutzer freigebe können diese sich das Keyfile kopieren was ich ja vermeiden will. Quote Link to comment
Robi-Wan 10 Posted January 15, 2009 Report Share Posted January 15, 2009 Hallo, Wenn ich das ganze auf Passwortbasis teste kann ja auch Benutzer A einen Container mounten der dann später auch von Benutzer B genutzt wird, er bleibt also gemountet bis das System neu gestartet wird. Das dürfte so nicht passieren. Kontrolliere da doch mal die Einstellungen von TrueCrypt. Demnach war meine Idee das das System beim starten (also vor der Nutzeranmeldung) einen Container mountet der dann für alle Nutzer dieses Rechners zur Verfügung steht.Es soll also so funktionieren das die Rechner die TrueCrypt Laufwerke automatisch benutzen solange sie in der Domäne gestartet werden. Wenn ich den UNC Pfad für die Benutzer freigebe können diese sich das Keyfile kopieren was ich ja vermeiden will. Dann gib doch den Netzwerkpfad für das (Dienst-)Konto frei, das die Datei mounten soll. Dann benötigst Du dort keine Rechte für den User. Obwohl ich so meine Zweifel hab, dass das so funktioniert, wie Du das möchtest... Muss ich mal in einer ruhigen Minute ausprobieren... Grüße, Robert Quote Link to comment
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.