gearloose 10 Geschrieben 26. Januar 2010 Melden Teilen Geschrieben 26. Januar 2010 Hallo alle zusammen, ich bin zwar nicht oft hier weil Google und ein paar gute Quellen wie Fachbücher auch einiges hergeben aber ich schildere hier mal mein Problem: Wir setzen eine Terminalserverumgebung ein. Logisch kann sich hier keiner mal einfach Dateien auf seine lokalte Festplatte ziehen. Das Durschleifen von Laufwerken ist im RDP Client verboten sowie einige andere Dinge per GPO. Dennoch soll es vereinzelt Usern erlaubt sein von ihrem Notebook aus mit einem lokalen Netzlaufwerk Daten auf den Server kopieren zu dürfen. das bedeutet der gleiche User soll auf seinem Notebook nur auf das Laufwerk kopieren dürfen. Andererseits in der TS Sitzung soll es ja die Daten auch löschen können. Das Laufwerk agiert quasi als "Schleuse" oder so ähnlich. Hier noch eine Grafik.... Geht so was per GPO? Dem Dateisystem ist es ja wohl egal von wo der User zugreift. Kann man das vom Remotecomputer abhängig machen??? Zitieren Link zu diesem Kommentar
P.Foeckeler 11 Geschrieben 26. Januar 2010 Melden Teilen Geschrieben 26. Januar 2010 Hallo, also das ist bestimmt nicht die entgültige Lösung, aber es gibt das Wellknown-Princple "TERMINALSERVERBENUTZER" (keine echte Gruppe, sondern da ist jeder automatisch drin, der über am Terminalserverdienst angemeldet ist, damit sind doch alle RDP-Clients eingeschlossen, oder nicht??) Diese vordefinierte "Gruppe" könntest Du verwenden, um die zusätzlichen Rechte zu vergeben. Problem: In dieser "Gruppe" ist halt jeder drin über RDP, also wenn du die Rechte für einzelene Benutzer unterscheiden willst, dann geht's vielleicht auch so: Gib die Rechte zum Ändern/Lesen/Löschen spezifisch für die jeweiligen Benutzer User, verweigere aber zusätzlich im betreffenden gesamten NTFS-Bereich dem Wellknown Prinicpal "NETZWERK" alle Rechte außer "Schreiben"...das müßte doch darin münden, dass alle, die über ein NET USE an das Laufwerk kommen, nix dürfen außer schreiben, über RDP (da sind sie ja lokal an dem Laufwerk und nicht über NET USE verbunden) dürfen Sie dann alles. Ist nur so eine Idee, ich komme auch gerade nicht dazu, es auszuprobieren...:confused: Gruß, Philipp Zitieren Link zu diesem Kommentar
gearloose 10 Geschrieben 26. Januar 2010 Autor Melden Teilen Geschrieben 26. Januar 2010 Hi, danke schon mal für die Antwort. Ich habe mich da unglücklich ausgedrückt, die User am TS haben das Laufwerk genauso über net use wie am Notebook. Wir nutzen ein zentrales Speichersystem. Sorry hatte ich vergessen. Zitieren Link zu diesem Kommentar
P.Foeckeler 11 Geschrieben 27. Januar 2010 Melden Teilen Geschrieben 27. Januar 2010 Hmm, dann wird's schwierig. Ich hätte da keine Idee, wie man Deinen Wunsch umsetzen könnte... Sorry. Wenn ein Client mit verschiedenen NET USE - Verbindungen auf ein zentrales Laufwerk zugreift, kann der File-Server ja in den BErechtigungen nicht mehr unterscheiden, von wo und über welche Tehnik der betreffende User angemeldet ist... Gruß, Philipp Zitieren Link zu diesem Kommentar
gearloose 10 Geschrieben 27. Januar 2010 Autor Melden Teilen Geschrieben 27. Januar 2010 Mmmh ok.....trotzdem danke, falls ich es hin bekomme melde ich mich! Zitieren Link zu diesem Kommentar
phoenixcp 10 Geschrieben 27. Januar 2010 Melden Teilen Geschrieben 27. Januar 2010 Meiner Meinung nach wirst du das so nicht gelöst bekommen. Wenn überhaupt, dann nur über separate Konten für Notebook und TS. Zitieren Link zu diesem Kommentar
gearloose 10 Geschrieben 27. Januar 2010 Autor Melden Teilen Geschrieben 27. Januar 2010 Jo das habe ich mir gedacht! Oder man nimmt zwei Laufwerke mit verschiedenen Berechtigungen und lässt die Daten per Skript abgleichen. Was kopiert wurde kann auch gelöscht werden. Mal sehen ob das geht, mir wäre allerdings eine elgantere Lösung lieber Zitieren Link zu diesem Kommentar
gearloose 10 Geschrieben 27. Januar 2010 Autor Melden Teilen Geschrieben 27. Januar 2010 Also wenn jemand noch Vorschläge hat, höre mir gerne alles an! :) Zitieren Link zu diesem Kommentar
PadawanDeluXe 75 Geschrieben 27. Januar 2010 Melden Teilen Geschrieben 27. Januar 2010 Hi, warum machst du keine GPO die dem genutzten PC die dementsprechenden Rechte verleiht? Somit könntest du mit deinem Benutzer am Laptop nur schreiben und hättest via TS einen nahezu Vollzugriff auf die Daten. Würde das aber auch nur unter der Prämisse machen, wenn du der einzigste bist, der direkt an diesem TS via RDP arbeitet! Zitieren Link zu diesem Kommentar
phoenixcp 10 Geschrieben 27. Januar 2010 Melden Teilen Geschrieben 27. Januar 2010 warum machst du keine GPO die dem genutzten PC die dementsprechenden Rechte verleiht? Aber der Zugriff auf das Laufwerk erfolgt doch trotzdem im Kontext des Benutzers und mit seinem Security Token und nicht mit dem Security Token des Rechners und auch nicht im Kontext des Rechners, oder? Zitieren Link zu diesem Kommentar
gearloose 10 Geschrieben 29. Januar 2010 Autor Melden Teilen Geschrieben 29. Januar 2010 Ja das ist so gleiche SID aber anderer Computer. Jetzt stellt sich die Frage ob man das nur über das Computerkonto steuern kann? Weiß einer ob das geht? Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.