ssd_rider 2 Posted May 17, 2014 Report Posted May 17, 2014 Hallo, ich habe es endlich geschafft einen User in einer Domäne an einen Domänen Pc anzumelden mit einem persönlichen Laufwerk. Genau wie bei mntechblog.de erklärt. Nun ist es so dass der persönliche Ordner auf \\SERVER\User\username01 liegt. Wenn ich aber oben im Explorer \\SERVER eingebe dann kommt neben dem komplett freigegebenen Ordner User für die Domänen-Benutzer auch die Ordner sysvol und netlogon. Diese kann man auch öffnen und zum Beispiel das Loginskript ansehen. Wie kann ich das verhindern? MfG
Dukel 468 Posted May 17, 2014 Report Posted May 17, 2014 Gar nicht. Wie soll ein Client ein Logon Script ausführen, wenn es keinen Zugriff auf dieses hat? Was ist so schlimm an den Ordnern?
ssd_rider 2 Posted May 17, 2014 Author Report Posted May 17, 2014 Ich möchte halt nicht das das die User sehen können. Kann man das irgendwie mit $ verstecken oder so?
lefg 276 Posted May 17, 2014 Report Posted May 17, 2014 (edited) Hallo, es gehört so wie es ist zum Design eines Domänencontrollers. Mein Rat, lasse es wie es ist, fasse es nicht an, Du könntest dir unabsehbare Folgen einhandeln. Edited May 18, 2014 by lefg
h-d.neuenfeldt 21 Posted May 17, 2014 Report Posted May 17, 2014 Warum soll das Login-Script unsichtbar werden ?
NilsK 3,061 Posted May 17, 2014 Report Posted May 17, 2014 Moin, der Designfehler in deinem Beispiel liegt eher darin, dass die Anwenderfreigaben auf dem Domänencontroller liegen. In einem Testnetz ist das OK, in einem echten Netzwerk sollte man das nicht machen. Ein DC ist ein DC, und ein Dateiserver ist ein Dateiserver. SYSVOL und NETLOGON müssen freigegeben sein, und zwar unter genau diesen Namen. Außer Logonskripten legt man selbst dort auch nichts hin. Und in die Logonskripte gehören eben keine vertraulichen Daten. Gruß, Nils
DLensing 14 Posted May 18, 2014 Report Posted May 18, 2014 Hallo,Was man machen könnte, wäre das Loginscript in ein verschlüsseltes Kix-Skript umwandeln, so dass der Anwender zwar den Aufruf in der Batchdatei sieht, aber nicht den eigentlichen Ablauf.Als Suchwort solltest du "pre-tokenizing scripts" nutzen Liebe Grüße Daniel
Sunny61 839 Posted May 18, 2014 Report Posted May 18, 2014 Ich möchte halt nicht das das die User sehen können. Kann man das irgendwie mit $ verstecken oder so? Lass die Scripte Scripte sein und konfiguriere alles per GPP und/oder per GPP. Schon 'sehen' die User nichts.
daabm 1,436 Posted May 19, 2014 Report Posted May 19, 2014 SYSVOL und NETLOGON müssen freigegeben sein, und zwar unter genau diesen Namen. Außer Logonskripten legt man selbst dort auch nichts hin. Und in die Logonskripte gehören eben keine vertraulichen Daten. Da legt man "gar nichts" mehr hin - Skripts gehören in ein lokales Verzeichnis, damit ich bei Start/Anmeldung keine Netzwerkzugriffe machen muss. Wer mal die Verarbeitung einer Batchdatei über UNC per Netmon analysiert hat, der weiß, was ich meine...
Doso 77 Posted June 1, 2014 Report Posted June 1, 2014 Wo legt ihr denn dann Desktopverknüpfungen, kleine Init Dateien für Einstelungen und sowas ab, wenn nicht in Netlogon? Und nein, das kann man nicht alles mit GPO zusammenbauen.
lefg 276 Posted June 2, 2014 Report Posted June 2, 2014 (edited) Da legt man "gar nichts" mehr hin - Skripts gehören in ein lokales Verzeichnis, damit ich bei Start/Anmeldung keine Netzwerkzugriffe machen muss. Wer mal die Verarbeitung einer Batchdatei über UNC per Netmon analysiert hat, der weiß, was ich meine... Wo ist das verbindlich geregelt, in welcher ZDv/TDv,/TA/BA? :) Edited June 2, 2014 by lefg
NilsK 3,061 Posted June 2, 2014 Report Posted June 2, 2014 Moin, Wo legt ihr denn dann Desktopverknüpfungen, kleine Init Dateien für Einstelungen und sowas ab, wenn nicht in Netlogon? Und nein, das kann man nicht alles mit GPO zusammenbauen. in einen eigenen Share. Netlogon ist Netlogon. Man packt eigene Richtlinien ja auch in separate GPOs und nicht in die Default Domain Policy. [Active Directory - "Tu mir das nicht an", sagte der Domänencontroller | TechDay@ice:2011]http://technet.microsoft.com/de-de/video/active-directory-tu-mir-das-nicht-an-sagte-der-domanencontrollerAb Minute 52. Gruß, Nils
daabm 1,436 Posted June 2, 2014 Report Posted June 2, 2014 Wo ist das verbindlich geregelt, in welcher ZDv/TDv,/TA/BA? :) Nirgends. Aber schnapp Dir mal Netmon und führ ne CMD über einen UNC-Pfad oder von einem Netzlaufwerk aus. Und dann staune... OT: Wir würden das per BFH regeln :D
lefg 276 Posted June 3, 2014 Report Posted June 3, 2014 Nirgends. Aber schnapp Dir mal Netmon und führ ne CMD über einen UNC-Pfad oder von einem Netzlaufwerk aus. Und dann staune... OT: Wir würden das per BFH regeln :D Ich hätte das mit der Frage nach Vorschriften doch besser sein gelassen, hätte noch dem Grund fragen sollen. :)
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now