WinFuture-Forum.de: Benutzern Allg. Schreibrechte Auf C Nehmen - WinFuture-Forum.de

Zum Inhalt wechseln

Nachrichten zum Thema: Sicherheit
  • 3 Seiten +
  • 1
  • 2
  • 3

Benutzern Allg. Schreibrechte Auf C Nehmen Quta auf C einstellen


#1 Mitglied ist offline   contaque 

  • Gruppe: aktive Mitglieder
  • Beiträge: 332
  • Beigetreten: 05. November 04
  • Reputation: 0
  • Geschlecht:Männlich
  • Interessen:System reicht mir und Quake 4 läuft!

geschrieben 09. April 2006 - 18:51

System ist Win XP SP2 Pro. Wie kann ich eingeschr. Benutzern alle nicht benötigten Rechte (Lese, aber vor allem Schreibrechte) auf C: wegnehmen? also alle Rechte die von (schlecht geschriebenen) Programmen oder Windows selbst gebraucht werden aber nicht in %USERPROFILE& also c:\Dokumente und Einstellungen\Username liegen.

Ich kenne zwar die Möglichkeit über den Reiter Sicherheit in den Laufwerks Eigenschaften, aber die eing. Benutzer brauchen ja gewisse Rechte auf C:

Ich möchte nicht das die eingeschr. Benutzer soviel Daten wie sie wollen auf C schreiben können. Es gibt zwar die Kontingentverwaltung aber ich bin mir nicht sicher ob die so sinnvoll ist dafür. sie würde die Benutzer wenigstens laufwerksweit beschränken.

Könnte mir jemand erklären was Profilgröße beschränken in den Gruppenrichtlinien unter Benutzerkonfiguration > Administrative Vorlage > System > Benutzerprofile eigentlich genau macht?

Dieser Beitrag wurde von contaque bearbeitet: 09. April 2006 - 18:52

0

Anzeige



#2 Mitglied ist offline   Graumagier 

  • Gruppe: aktive Mitglieder
  • Beiträge: 8.811
  • Beigetreten: 01. März 04
  • Reputation: 1
  • Geschlecht:Männlich
  • Wohnort:Graz, Österreich

geschrieben 09. April 2006 - 19:03

Was willst du jetzt genau machen? Den eingeschränkten Benutzern allgemein die Schreibrechte auf C: nehmen?
"If you make something idiot proof, someone will invent a better idiot." - Marvin

For Emails always use OpenPGP. My KeyID: 0xA1E011A4
0

#3 Mitglied ist offline   contaque 

  • Gruppe: aktive Mitglieder
  • Beiträge: 332
  • Beigetreten: 05. November 04
  • Reputation: 0
  • Geschlecht:Männlich
  • Interessen:System reicht mir und Quake 4 läuft!

geschrieben 09. April 2006 - 19:38

am liebsten ja. aber das geht ja nicht. der benutzer muss ja auf order wie c:\windows und c:\programme (sofern welche dort installiert sind) zumindest lesezugriff haben.

aber als eingeschr. benutzer kann ich zB in C:\ auch schreiben.

hab ich mich missverständlich ausgedrückt?
0

#4 Mitglied ist offline   Rika 

  • Gruppe: aktive Mitglieder
  • Beiträge: 11.533
  • Beigetreten: 11. Juni 03
  • Reputation: 2
  • Geschlecht:Männlich

geschrieben 09. April 2006 - 19:41

Zitat

aber als eingeschr. benutzer kann ich zB in C:\ auch schreiben.

Nein, das kannst du per Default nicht.

Und was genau hast du nun gegen Quotas?
Konnichiwa. Manga wo shitte masu ka? Iie? Gomenne, sonoyouna koto ga tabitabi arimasu. Mangaka ojousan nihongo doujinshi desu wa 'Clamp X', 'Ayashi no Ceres', 'Card Captor Sakura', 'Tsubasa', 'Chobits', 'Sakura Taisen', 'Inuyasha' wo 'Ah! Megamisama'. Hai, mangaka gozaimashita desu ni yuujin yori.
Eingefügtes Bild
Ja, mata ne!

(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
0

#5 Mitglied ist offline   flo 

  • Gruppe: aktive Mitglieder
  • Beiträge: 7.955
  • Beigetreten: 14. November 04
  • Reputation: 1
  • Geschlecht:Männlich

geschrieben 09. April 2006 - 19:43

Zitat

Nein, das kannst du per Default nicht.


Und ob du das kannst, Ohne irgentwelche Änderungen, einfach nur in der Systemsteuerung unter Benutzerkonnten von Administrator auf eingeschränkt geändert, und man kann auf c:\ Schreiben.

Oder gelten die Besitzrechte auch auf Laufwerke? Denn dann wäre das die erklärung dafür

Dieser Beitrag wurde von Flo bearbeitet: 09. April 2006 - 19:45

0

#6 Mitglied ist offline   contaque 

  • Gruppe: aktive Mitglieder
  • Beiträge: 332
  • Beigetreten: 05. November 04
  • Reputation: 0
  • Geschlecht:Männlich
  • Interessen:System reicht mir und Quake 4 läuft!

geschrieben 09. April 2006 - 20:20

 Zitat (Rika: 09.04.2006, 20:41)

Nein, das kannst du per Default nicht.
habe gerade einen Benutzer neu erstellt - nicht von administrator auf eingeschr. gewechselt - und mit diesem ausprobiert. ich kann ordner erstellen und dateien anlegen. dateien aber nicht in C:\ sondern nur in einem unterordner. ordner kann ich nicht löschen (auch nicht selber erstellte).

 Zitat (Rika: 09.04.2006, 20:41)

Und was genau hast du nun gegen Quotas?
eigentlich nix spezifisches. würde nur gerne das profil (also das unter c:\Dokumente und Einstellungen\Username) in seiner größe beschränken. eine regelung über quotas würde das gesamte laufwerk betreffen.


 Zitat (Flo: 09.04.2006, 20:43)

Oder gelten die Besitzrechte auch auf Laufwerke?
dürfte nix damit zu tun haben. die eingeschränkten benutzer hier (mein arbeitsaccount und der gerade neu erstellte) hatten nie admin rechte

Dieser Beitrag wurde von contaque bearbeitet: 09. April 2006 - 20:24

0

#7 Mitglied ist offline   flo 

  • Gruppe: aktive Mitglieder
  • Beiträge: 7.955
  • Beigetreten: 14. November 04
  • Reputation: 1
  • Geschlecht:Männlich

geschrieben 09. April 2006 - 20:35

Zitat

habe gerade einen Benutzer neu erstellt - nicht von administrator auf eingeschr. gewechselt - und mit diesem ausprobiert. ich kann ordner erstellen und dateien anlegen. dateien aber nicht in C:\ sondern nur in einem unterordner. ordner kann ich nicht löschen (auch nicht selber erstellte).


Ich kann direkt in C:\ was machen, habe aber von Admin in Benutzer gewechselt, also liegt es an den besitzrechen
0

#8 Mitglied ist offline   contaque 

  • Gruppe: aktive Mitglieder
  • Beiträge: 332
  • Beigetreten: 05. November 04
  • Reputation: 0
  • Geschlecht:Männlich
  • Interessen:System reicht mir und Quake 4 läuft!

geschrieben 09. April 2006 - 20:46

 Zitat (Flo: 09.04.2006, 21:35)

Ich kann direkt in C:\ was machen, habe aber von Admin in Benutzer gewechselt, also liegt es an den besitzrechen

wenn ich das richtig weiß ist der standard besitzer bei von einem admin erstellten objekt der besitzer und nicht die gruppe administrator. das ändert der reg-patch der machmichadmin von der ct beiliegt.

diese einstellung habe ich übrigens auch
0

#9 Mitglied ist offline   Rika 

  • Gruppe: aktive Mitglieder
  • Beiträge: 11.533
  • Beigetreten: 11. Juni 03
  • Reputation: 2
  • Geschlecht:Männlich

geschrieben 09. April 2006 - 22:06

Zitat

Oder gelten die Besitzrechte auch auf Laufwerke?

Ja, es gibt auch Berechtigungen für dne Root-Pfad. Und der Default ist dort, daß Users nur Lesen und Ausführen dürfen.

Zitat

das ändert der reg-patch der machmichadmin von der ct beiliegt.

Normalerweise macht man das über die Gruppenrichtlinie. Oder besser doch nicht, denn so etwas will man eigentlich gar nicht.

Und es erspart einem auf gar keinen Fall, die Berechtigungen trotzdem zu prüfen und gegebenenfalls zu ändern. Default-Owner ist ja nicht das einzige Problem.

Zitat

eigentlich nix spezifisches. würde nur gerne das profil (also das unter c:\Dokumente und Einstellungen\Username) in seiner größe beschränken. eine regelung über quotas würde das gesamte laufwerk betreffen.

Und wo, außer in seinem Profil, kann der Benutzer schreiben? Mir fiele da gerade mal noch %windir%\Debug\UserMode\ChkAcc.log ein.
Konnichiwa. Manga wo shitte masu ka? Iie? Gomenne, sonoyouna koto ga tabitabi arimasu. Mangaka ojousan nihongo doujinshi desu wa 'Clamp X', 'Ayashi no Ceres', 'Card Captor Sakura', 'Tsubasa', 'Chobits', 'Sakura Taisen', 'Inuyasha' wo 'Ah! Megamisama'. Hai, mangaka gozaimashita desu ni yuujin yori.
Eingefügtes Bild
Ja, mata ne!

(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
0

#10 Mitglied ist offline   flo 

  • Gruppe: aktive Mitglieder
  • Beiträge: 7.955
  • Beigetreten: 14. November 04
  • Reputation: 1
  • Geschlecht:Männlich

geschrieben 09. April 2006 - 22:11

Zitat

Ja, es gibt auch Berechtigungen für dne Root-Pfad. Und der Default ist dort, daß Users nur Lesen und Ausführen dürfen.


Gut, nur warum kann ich dann auch Schreiben? Normal passe ich die Rechte sowiso an, nur bei dem Testuser hab ich es mal gelassen
0

#11 Mitglied ist offline   Graumagier 

  • Gruppe: aktive Mitglieder
  • Beiträge: 8.811
  • Beigetreten: 01. März 04
  • Reputation: 1
  • Geschlecht:Männlich
  • Wohnort:Graz, Österreich

geschrieben 09. April 2006 - 22:15

Flo sagte:

Gut, nur warum kann ich dann auch Schreiben?

Wird wohl wie von dir gesagt daran liegen, dass du die Rechte nachträglich geändert hast.
"If you make something idiot proof, someone will invent a better idiot." - Marvin

For Emails always use OpenPGP. My KeyID: 0xA1E011A4
0

#12 Mitglied ist offline   flo 

  • Gruppe: aktive Mitglieder
  • Beiträge: 7.955
  • Beigetreten: 14. November 04
  • Reputation: 1
  • Geschlecht:Männlich

geschrieben 10. April 2006 - 09:01

Zitat

Wird wohl wie von dir gesagt daran liegen, dass du die Rechte nachträglich geändert hast.


Ja ist mir klar, nur Rika meinnt ja das wäre nicht so
0

#13 Mitglied ist offline   contaque 

  • Gruppe: aktive Mitglieder
  • Beiträge: 332
  • Beigetreten: 05. November 04
  • Reputation: 0
  • Geschlecht:Männlich
  • Interessen:System reicht mir und Quake 4 läuft!

geschrieben 10. April 2006 - 22:28

Da es wohl keine Alternative zu der Datenträgerkontingentverwaltung gibt, werde ich die wohl nutzen.

 Zitat (Rika: 09.04.2006, 23:06)

Oder besser doch nicht, denn so etwas will man eigentlich gar nicht.
warum nicht? hat in meinen augen keinen nachteil. administratoren könnten sich die benötigten rechte ja eh wieder holen.

 Zitat (Rika: 09.04.2006, 23:06)

Und es erspart einem auf gar keinen Fall, die Berechtigungen trotzdem zu prüfen und gegebenenfalls zu ändern. Default-Owner ist ja nicht das einzige Problem.
Da komm ich nicht ganz mit. Meinst du wenn ein Programm die Rechte (falsch) setzt, zB wie die Sicherheitslücke durch div. Virenscanner die teilweise Vollzugriff auf das Programmverzeichnis gewähren? aber wie soll ich das für jeden Ordner überprüfen?

 Zitat (contaque: 09.04.2006, 21:20)

habe gerade einen Benutzer neu erstellt - nicht von administrator auf eingeschr. gewechselt - und mit diesem ausprobiert. ich kann ordner erstellen und dateien anlegen. dateien aber nicht in C:\ sondern nur in einem unterordner. ordner kann ich nicht löschen (auch nicht selber erstellte).
zuerst mal will ich das ändern.

der Lesezugriff muss ja bleiben, aber ich würde gerne sicherstellen das ein Benutzer keine Schreibrechte hat. Im Anhang sind Screenshots von den Rechten der Benutzer. Warum da 3 Einträge für Benutzer sind weiß ich nicht.

Angehängte Miniaturbilder

  • Angehängtes Bild: rechtec.png

Dieser Beitrag wurde von contaque bearbeitet: 10. April 2006 - 22:29

0

#14 Mitglied ist offline   ShadowHunter 

  • Gruppe: aktive Mitglieder
  • Beiträge: 4.199
  • Beigetreten: 31. August 04
  • Reputation: 1

geschrieben 11. April 2006 - 00:35

Zitat

Im Anhang sind Screenshots von den Rechten der Benutzer

Entweder bin ich blind oder sonstwas, wo kann ich diese Einstellungen tätigen, also wo finde ich diese.
hab gerade ewig gesucht das aber nirgends gefunden, was sich auf deinen Screenshots vorfindet 8)
Danke schoma
"Wir können Regierungen nicht trauen, wir müssen sie kontrollieren"
(Marco Gercke)
0

#15 Mitglied ist offline   Rika 

  • Gruppe: aktive Mitglieder
  • Beiträge: 11.533
  • Beigetreten: 11. Juni 03
  • Reputation: 2
  • Geschlecht:Männlich

geschrieben 11. April 2006 - 00:41

Zitat

warum nicht? hat in meinen augen keinen nachteil.

Du kannst einer Datei dann nicht mehr zuordnen, ob die vom System, vom Administrator oder vom kurzweilig mit Adminrechten ausgestattetem Benutzer stammt.

Zitat

Meinst du wenn ein Programm die Rechte (falsch) setzt, zB wie die Sicherheitslücke durch div. Virenscanner die teilweise Vollzugriff auf das Programmverzeichnis gewähren?

Ja. Programme die den Owner selbst setzen (und damit benannte Einstellung umgehen), NULL-DACLs, ... - das alles musst du trotzdem prüfen.

Zitat

aber wie soll ich das für jeden Ordner überprüfen?

http://www.sysintern...AccessEnum.html


Jedenfalls scheinst du die Standardberechtigungen versaut zu haben. Also schnapp dir Secedit und spielt das Workstation-Template wieder ein, besser noch du vergibst anschließend ordentliche Berechtigungen (Jeder durch Authentifzierte Benutzer ersetzen).
Konnichiwa. Manga wo shitte masu ka? Iie? Gomenne, sonoyouna koto ga tabitabi arimasu. Mangaka ojousan nihongo doujinshi desu wa 'Clamp X', 'Ayashi no Ceres', 'Card Captor Sakura', 'Tsubasa', 'Chobits', 'Sakura Taisen', 'Inuyasha' wo 'Ah! Megamisama'. Hai, mangaka gozaimashita desu ni yuujin yori.
Eingefügtes Bild
Ja, mata ne!

(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
0

Thema verteilen:


  • 3 Seiten +
  • 1
  • 2
  • 3

1 Besucher lesen dieses Thema
Mitglieder: 0, Gäste: 1, unsichtbare Mitglieder: 0