Nichtadmins sollen keine Ordner auf c:\ erstellen können

[raymccoy 2]

Wir haben folgendes Script eingesetzt damit User keine Ordener auf C: anlegen können (Administratoren können es natürlich immer noch)
->administrative cmd
'Authentifizierte Benutzer' dürfen keine Ordner mehr auf C: erstellen rem 'S-1-5-11' = 'Authenticated Users'

rem 1) alle gesetzten Rechte im Hauptorder für diese Gruppe löschen...
icacls c:\ /remove:g *S-1-5-11

rem 2) ...und Ändern-Rechte für Unterordner zufügen.
icacls c:\ /grant *S-1-5-11:(CI)(IO)(M,D)

Dieses Script funktioniert unter Windows 10 xx09 bis Windows 10 2004!

Es funktioniert nicht mehr unter Windows 10 2009 (also Windows 10 20H2) da kommt dann Zugriff verweigert beim 2.Befehl

 

Jemand eine Idee

 

Also in der virtuellen Maschine von hier: https://developer.microsoft.com/de-de/windows/downloads/virtual-machines/ geht alles. Aber das ist ja auch Windows 10 2004 (also Windows 10 20H1)

 

 

[NilsK 3.046]

Moin,

 

icacls könnte das Problem sein. In vergleichbaren Situationen wird oft auf SetACL von Helge Klein verwiesen. Ich probierte also, ob es damit ginge.

 

Geprüft habe ich das nicht und zur Ursache des beschriebenen Phänomens habe ich auch keine Hypothese.

 

Gruß, Nils

[BOfH_666 586]

vor 1 Stunde schrieb raymccoy:

 

.... damit User keine Ordener auf C: anlegen können ....

Nur mal aus Neugier ... warum nicht?

[Sunny61 833]

vor 13 Stunden schrieb BOfH_666:

Nur mal aus Neugier ... warum nicht?

Weil sie das nicht können sollen. User haben Daten in NW-Laufwerken zu speichern oder in umgeleiteten lokalen Ordner, nirgendwo sonst.

 

Weil sie 10 Minuten nachdem du die HDD neu formatiert hast, kommen und dir mitteilen, dass dort die wichtigsten Daten des Universum lagerten. Und der Chef des MA die Daten sofort braucht und jetzt Du der Schuldige bist. :)

bearbeitet 20. November 2020 von Sunny61

[NilsK 3.046]

Moin,

 

Naja, ich nehme man an, dass es hier erst mal um das Wurzelverzeichnis geht. Nicht um das lokale Speichern insgesamt.

 

Gruß, Nils

[NorbertFe 2.283]

Man nehme secedit ;)

https://www.gruppenrichtlinien.de/artikel/rootsecinf-keine-ordner-auf-c-erstellen

Fertig.

[NilsK 3.046]

Moin,

 

ja, die Idee kam mir auch, aber zu spät. 

 

Gruß, Nils

 

[raymccoy 2]

Die Lösung ist aber viel einfacher.

 

Mit den neuesten ISOs von Microsoft Windows 10 20H2 funktioniert wieder alles:

Dann geht dieses Vorgehen, sprich es lag nur am ISO von Microsoft (Und warum bringt Microsoft ein neues ISO raus? Na klar wg Bugfixes)

->administrative cmd
'Authentifizierte Benutzer' dürfen keine Ordner mehr auf C: erstellen rem 'S-1-5-11' = 'Authenticated Users'

rem 1) alle gesetzten Rechte im Hauptorder für diese Gruppe löschen...
icacls c:\ /remove:g *S-1-5-11

rem 2) ...und Ändern-Rechte für Unterordner zufügen.
icacls c:\ /grant *S-1-5-11:(CI)(IO)(M,D)

[NilsK 3.046]

Moin,

 

danke für die Rückmeldung.

 

Wenn es um Standardisierung geht, wäre Norberts Vorschlag aber trotzdem einen Blick wert.

 

Gruß, Nils

 

bearbeitet 9. Dezember 2020 von NilsK

[raymccoy 2]

Was wenn der Chef aber keine Gruppenrichtlinie will?

 

[NorbertFe 2.283]

vor 10 Minuten schrieb raymccoy:

Was wenn der Chef aber keine Gruppenrichtlinie will?

 

Wer sagt, dass man das nur per GPO hinbekommt? Und was ist, wenn der Chef sonst auch komische Wünsche äußert?

[Dukel 468]

47 minutes ago, raymccoy said:

Was wenn der Chef aber keine Gruppenrichtlinie will?

Dann darf der Chef selber administrieren.

[NilsK 3.046]

Moin,

 

"Chef, das Jahr 1996 ist am Telefon. Es will seine Administration zurück."

 

Gruß, Nils

[lefg 276]

vor 8 Stunden schrieb raymccoy:

Was wenn der Chef aber keine Gruppenrichtlinie will?

 

Wer hat einem Chef etwas von Gruppenrichtlinien erzählt? Fahrlässig sowas. :)

bearbeitet 9. Dezember 2020 von lefg

[testperson 1.860]

vor 8 Stunden schrieb raymccoy:

Was wenn der Chef aber keine Gruppenrichtlinie will?

Ich hab den (hippen) Herrn Byod am Telefonapparillo, er schlägt Microsoft Intune vor. ;) (Oder ein anderes MDM / eine andere EMS)