MarcZ 10 Geschrieben 8. März 2010 Melden Teilen Geschrieben 8. März 2010 Hallo zusammen, ich würde gern in einer SBS2008 Umgebung den Usern das lokale Speichern von Dateien verbieten also erreichen, dass sie alle Dateien nur noch auf dem umgelenkten "Eigene Dateien" Ordner ablegen können. Wie ist so etwas zu realisieren? Zitieren Link zu diesem Kommentar
Sunny61 773 Geschrieben 8. März 2010 Melden Teilen Geschrieben 8. März 2010 Wo dürfen sie denn jetzt noch speichern? Normalerweise doch nur im Profil, und Du kannst ja alle Ordner, auch den Desktop umleiten. Out-of-the-Box dürfen sie sonst nirgends speichern. Zitieren Link zu diesem Kommentar
MarcZ 10 Geschrieben 8. März 2010 Autor Melden Teilen Geschrieben 8. März 2010 Wo dürfen sie denn jetzt noch speichern? Normalerweise doch nur im Profil, und Du kannst ja alle Ordner, auch den Desktop umleiten. Out-of-the-Box dürfen sie sonst nirgends speichern. ? Wieso denn nuur im Profil? Sie können speichern wo sie wollen - Irgendwo auf "C" oder falls vorhanden auch auf "D" usw... das ist doch durch die "Eigenen Dateien" Umleitung nicht unterbunden. Selbst wenn ich das Desktop umleiten, können sie noch lokal auf der Platte speichern... Du kannst Dir gar nicht vorstellen, wie kreativ da manche Leute werden :-) Sie sollen ausschliesslich in den "Eigenen Dateien" speichern/schreiben dürfen Zitieren Link zu diesem Kommentar
Dukel 437 Geschrieben 8. März 2010 Melden Teilen Geschrieben 8. März 2010 Welche Rechte haben die User? User, Hauptbenutzer oder Admins? Zitieren Link zu diesem Kommentar
MarcZ 10 Geschrieben 9. März 2010 Autor Melden Teilen Geschrieben 9. März 2010 Welche Rechte haben die User? User, Hauptbenutzer oder Admins? lokale adminrechte, aber das ist imho doch auch total egal, oder!? ich denke, wenn überhaupt mit bordmitteln, dann ist das eh nur über eine GP zu realisieren, ich wüsste aber nicht welche, bin aber ehrlich für jeden tipp dankbar! Zitieren Link zu diesem Kommentar
Gulp 228 Geschrieben 9. März 2010 Melden Teilen Geschrieben 9. März 2010 Wenn es wirklich egal wäre, würde ja keiner danach fragen, oder? Auch wenn Du mit einer GPO den Zugriff beschränkst, kann sich ein lokaler Admin, den es auf einem SBS im übrigen wie auf jedem DC gar nicht mehr gibt, hier ist der Admin immer Domänenadmin, immer die notwendigen Rechte beschaffen. Das ist als Admin eben so, genau dafür ist der ja auch unter anderem da. Grüsse Gulp Zitieren Link zu diesem Kommentar
MarcZ 10 Geschrieben 9. März 2010 Autor Melden Teilen Geschrieben 9. März 2010 Wenn es wirklich egal wäre, würde ja keiner danach fragen, oder? Auch wenn Du mit einer GPO den Zugriff beschränkst, kann sich ein lokaler Admin, den es auf einem SBS im übrigen wie auf jedem DC gar nicht mehr gibt, hier ist der Admin immer Domänenadmin, immer die notwendigen Rechte beschaffen. Das ist als Admin eben so, genau dafür ist der ja auch unter anderem da. Grüsse Gulp also, ich sprach von den lokalen adminrechten auf den jeweiligen pc´s. danach wurde ich imho auch gefragt. das es auf einem domänkontroller keine lokalen admins gibt ist mir schon klar. so, lange rede kurzer sinn... ich hab auch kein problem damit, die lokalen adminrechte zu entziehen und lediglich "benutzer-rechte" zu vergeben, allerdings hab ich noch immer keine idee, wie ich dann mein problem gelöst bekomme... Du vielleicht? Zitieren Link zu diesem Kommentar
Dukel 437 Geschrieben 9. März 2010 Melden Teilen Geschrieben 9. März 2010 [...] so, lange rede kurzer sinn... ich hab auch kein problem damit, die lokalen adminrechte zu entziehen und lediglich "benutzer-rechte" zu vergeben, allerdings hab ich noch immer keine idee, wie ich dann mein problem gelöst bekomme... Du vielleicht? Dann ist dein Problem gelöst, da User standardmäßig keine Schreibrechte auf C:, D:,... haben, sondern nur in ihrem profil (und diversen Temporären Ordnern, aber das sollte so bleiben), ausser da wurde etwas an den NTFS Rechten gedreht. Zitieren Link zu diesem Kommentar
MarcZ 10 Geschrieben 9. März 2010 Autor Melden Teilen Geschrieben 9. März 2010 Dann ist dein Problem gelöst, da User standardmäßig keine Schreibrechte auf C:, D:,... haben, sondern nur in ihrem profil (und diversen Temporären Ordnern, aber das sollte so bleiben), ausser da wurde etwas an den NTFS Rechten gedreht. nee, ist nicht gelöst... können dann noch immer "lokal" speichern und genau das soll unterbunden werden. ausschliesslich im umgelenkten ordner "eigene dateien" - so will es der kunde, genau so und nicht anders, dass ist mein problem... :-( es muss verhindert werden, dass dateien lokal abgelegt werden können welche für das unternehmen von bedeutung sein können und nein, TS oder Citrix o.ä. steht leider nicht zur Option, auch keine Client-Virtualisierung ;-) Zitieren Link zu diesem Kommentar
tomdiver 11 Geschrieben 9. März 2010 Melden Teilen Geschrieben 9. März 2010 (bearbeitet) Hallo Marc, dann wird dir wohl nichts weiter übrig bleiben, als den Usern erst mal die lokalen Adminrechte zu entziehen, auf jedem System an den einzelnen Laufwerken explizit die Berechtigungen zu setzen bzw. zu entziehen (z. Bsp. für C - Administratoren/System=Vollzugriff, Domänenbenutzer=Lesen,Ausführen,Ordnerinhalt auflisten) und eventuell über servergespeicherte Profile mit Größeneinschränkung nachzudenken. Nachteil dieser Holzhammermethode ist erstens der Aufwand (zeitlich und logistisch) und natürlich die Fehlerträchtigkeit (vergessener Berechtigungseintrag, Programme bei denen Schreibrechte am Programmverzeichnis benötigt werden und und und). Vorteil - was gesperrt ist läßt sich wirklich nicht mehr nutzen. Vielleicht kann man da man Scripten oder GPO was machen - aber im Endeffekt läuft es darauf hinaus denke ich. Gruß Thomas Nachtrag: GPO->Computerkonfiguration->Windows-Einstellungen->Dateisystem - mal austesten (schont die Schuhe :cool:) bearbeitet 9. März 2010 von tomdiver Nachtrag Zitieren Link zu diesem Kommentar
Dukel 437 Geschrieben 9. März 2010 Melden Teilen Geschrieben 9. März 2010 [...] es muss verhindert werden, dass dateien lokal abgelegt werden können welche für das unternehmen von bedeutung sein können und nein, TS oder Citrix o.ä. steht leider nicht zur Option, auch keine Client-Virtualisierung ;-) Ich glaube nicht, dass das Funktionieren wird. Irgendwo Lokal muss immer gespeichert werden, z.B. Temporäre Ordner. Das wird man, ohne die generelle Funktionalität zu beeinträchtigen, nicht hinbekommen. Zitieren Link zu diesem Kommentar
Sunny61 773 Geschrieben 9. März 2010 Melden Teilen Geschrieben 9. März 2010 nee, ist nicht gelöst... können dann noch immer "lokal" speichern und genau das soll unterbunden werden. ausschliesslich im umgelenkten ordner "eigene dateien" - so will es der kunde, genau so und nicht anders, dass ist mein problem... :-( Wenn die Benutzer trotzdem noch auf C:\ oder D:\ direkt speichern können, dann wurde an den Standard NTFS-Berechtigungen geschraubt. Da hilft nur mit einem frischen installieren System vergleichen oder gleich neu installieren. es muss verhindert werden, dass dateien lokal abgelegt werden können welche für das unternehmen von bedeutung sein können und nein, TS oder Citrix o.ä. steht leider nicht zur Option, auch keine Client-Virtualisierung ;-) Adminrechte entziehen und die Standard NTFS-Berechtigungen wieder herstellen. BTW: Groß- und Kleinschreibung erhöht die Lesbarkeit ungemein. Zitieren Link zu diesem Kommentar
Dukel 437 Geschrieben 9. März 2010 Melden Teilen Geschrieben 9. März 2010 [...] Adminrechte entziehen und die Standard NTFS-Berechtigungen wieder herstellen. BTW: Groß- und Kleinschreibung erhöht die Lesbarkeit ungemein. Der TO möchte wohl, dass nicht einmal mehr im Userprofil irgendwelche Daten gespeichert werden können nur um umgeleiteten Eigene dateien, welches auf einen Server verweisst. Diese Anforderung geht aber nicht, ohne hochfradig zu pfuschen. Ich glaube die NTFS Berechtigungen sind standardmäßig. Zitieren Link zu diesem Kommentar
MarcZ 10 Geschrieben 10. März 2010 Autor Melden Teilen Geschrieben 10. März 2010 @ Dukel: ja ganz genau erfasst! genau das möchte ich, bzw mein Kunde. Wenn das nicht geht, wobei ich mit solchen Aussagen in der EDV immer etwas vorsichtig umgehe, dann ist das schonmal nen Anhaltspunkt welchen ich, wenn auch nicht gern, weiter geben kann. Falls einem noch etwas dazu einfällt, dann bin ich nach wie vor super dankbar, wenn er es mir den auch mitteilen würde :-) P.S.: Was die Groß und Kleinschreibung angeht... Ich geben mir sehr viel mühe, diese einzuhalten, genau wie Satzzeichen ordentlich und sinnig zu setzen, leider funktioniert das nur nicht immer im stressigen Tagesgeschäft, ich bitte dies zu entschuldigen Zitieren Link zu diesem Kommentar
Dr.Melzer 191 Geschrieben 10. März 2010 Melden Teilen Geschrieben 10. März 2010 Du solltest dir mal ein wenig Gedanken darüber machen warum ein Benutzer Administrator ist. Grundlegend deswegen damit er ALLES auf dem gerät machen darf. Wie willst du also verhindern dass jemand der ALLES darf (da er ja Administrator ist) Daten dort hin speichert wo es ihm gefällt? das klingt nach "Wasch mich aber mach mich nicht nass..." Solange die Benutzer andministrative Rechte haben kannst du machen was du willst. Sie können speichern wo sie wollen.... Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.