ssd_rider 2 Geschrieben 17. Mai 2014 Melden Geschrieben 17. Mai 2014 Hallo, ich habe es endlich geschafft einen User in einer Domäne an einen Domänen Pc anzumelden mit einem persönlichen Laufwerk. Genau wie bei mntechblog.de erklärt. Nun ist es so dass der persönliche Ordner auf \\SERVER\User\username01 liegt. Wenn ich aber oben im Explorer \\SERVER eingebe dann kommt neben dem komplett freigegebenen Ordner User für die Domänen-Benutzer auch die Ordner sysvol und netlogon. Diese kann man auch öffnen und zum Beispiel das Loginskript ansehen. Wie kann ich das verhindern? MfG
Dukel 468 Geschrieben 17. Mai 2014 Melden Geschrieben 17. Mai 2014 Gar nicht. Wie soll ein Client ein Logon Script ausführen, wenn es keinen Zugriff auf dieses hat? Was ist so schlimm an den Ordnern?
ssd_rider 2 Geschrieben 17. Mai 2014 Autor Melden Geschrieben 17. Mai 2014 Ich möchte halt nicht das das die User sehen können. Kann man das irgendwie mit $ verstecken oder so?
lefg 276 Geschrieben 17. Mai 2014 Melden Geschrieben 17. Mai 2014 (bearbeitet) Hallo, es gehört so wie es ist zum Design eines Domänencontrollers. Mein Rat, lasse es wie es ist, fasse es nicht an, Du könntest dir unabsehbare Folgen einhandeln. bearbeitet 18. Mai 2014 von lefg
h-d.neuenfeldt 21 Geschrieben 17. Mai 2014 Melden Geschrieben 17. Mai 2014 Warum soll das Login-Script unsichtbar werden ?
NilsK 3.046 Geschrieben 17. Mai 2014 Melden Geschrieben 17. Mai 2014 Moin, der Designfehler in deinem Beispiel liegt eher darin, dass die Anwenderfreigaben auf dem Domänencontroller liegen. In einem Testnetz ist das OK, in einem echten Netzwerk sollte man das nicht machen. Ein DC ist ein DC, und ein Dateiserver ist ein Dateiserver. SYSVOL und NETLOGON müssen freigegeben sein, und zwar unter genau diesen Namen. Außer Logonskripten legt man selbst dort auch nichts hin. Und in die Logonskripte gehören eben keine vertraulichen Daten. Gruß, Nils
DLensing 14 Geschrieben 18. Mai 2014 Melden Geschrieben 18. Mai 2014 Hallo,Was man machen könnte, wäre das Loginscript in ein verschlüsseltes Kix-Skript umwandeln, so dass der Anwender zwar den Aufruf in der Batchdatei sieht, aber nicht den eigentlichen Ablauf.Als Suchwort solltest du "pre-tokenizing scripts" nutzen Liebe Grüße Daniel
Sunny61 833 Geschrieben 18. Mai 2014 Melden Geschrieben 18. Mai 2014 Ich möchte halt nicht das das die User sehen können. Kann man das irgendwie mit $ verstecken oder so? Lass die Scripte Scripte sein und konfiguriere alles per GPP und/oder per GPP. Schon 'sehen' die User nichts.
daabm 1.429 Geschrieben 19. Mai 2014 Melden Geschrieben 19. Mai 2014 SYSVOL und NETLOGON müssen freigegeben sein, und zwar unter genau diesen Namen. Außer Logonskripten legt man selbst dort auch nichts hin. Und in die Logonskripte gehören eben keine vertraulichen Daten. Da legt man "gar nichts" mehr hin - Skripts gehören in ein lokales Verzeichnis, damit ich bei Start/Anmeldung keine Netzwerkzugriffe machen muss. Wer mal die Verarbeitung einer Batchdatei über UNC per Netmon analysiert hat, der weiß, was ich meine...
Doso 77 Geschrieben 1. Juni 2014 Melden Geschrieben 1. Juni 2014 Wo legt ihr denn dann Desktopverknüpfungen, kleine Init Dateien für Einstelungen und sowas ab, wenn nicht in Netlogon? Und nein, das kann man nicht alles mit GPO zusammenbauen.
lefg 276 Geschrieben 2. Juni 2014 Melden Geschrieben 2. Juni 2014 (bearbeitet) Da legt man "gar nichts" mehr hin - Skripts gehören in ein lokales Verzeichnis, damit ich bei Start/Anmeldung keine Netzwerkzugriffe machen muss. Wer mal die Verarbeitung einer Batchdatei über UNC per Netmon analysiert hat, der weiß, was ich meine... Wo ist das verbindlich geregelt, in welcher ZDv/TDv,/TA/BA? :) bearbeitet 2. Juni 2014 von lefg
NilsK 3.046 Geschrieben 2. Juni 2014 Melden Geschrieben 2. Juni 2014 Moin, Wo legt ihr denn dann Desktopverknüpfungen, kleine Init Dateien für Einstelungen und sowas ab, wenn nicht in Netlogon? Und nein, das kann man nicht alles mit GPO zusammenbauen. in einen eigenen Share. Netlogon ist Netlogon. Man packt eigene Richtlinien ja auch in separate GPOs und nicht in die Default Domain Policy. [Active Directory - "Tu mir das nicht an", sagte der Domänencontroller | TechDay@ice:2011]http://technet.microsoft.com/de-de/video/active-directory-tu-mir-das-nicht-an-sagte-der-domanencontrollerAb Minute 52. Gruß, Nils
daabm 1.429 Geschrieben 2. Juni 2014 Melden Geschrieben 2. Juni 2014 Wo ist das verbindlich geregelt, in welcher ZDv/TDv,/TA/BA? :) Nirgends. Aber schnapp Dir mal Netmon und führ ne CMD über einen UNC-Pfad oder von einem Netzlaufwerk aus. Und dann staune... OT: Wir würden das per BFH regeln :D
lefg 276 Geschrieben 3. Juni 2014 Melden Geschrieben 3. Juni 2014 Nirgends. Aber schnapp Dir mal Netmon und führ ne CMD über einen UNC-Pfad oder von einem Netzlaufwerk aus. Und dann staune... OT: Wir würden das per BFH regeln :D Ich hätte das mit der Frage nach Vorschriften doch besser sein gelassen, hätte noch dem Grund fragen sollen. :)
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden