[2003] Admin restricten van home dir

Pagina: 1
Acties:

  • degroot
  • Registratie: December 2003
  • Niet online
Hallo,

Ik zit met een zwaar simpel probleem , alleen ik ben al een hele ochtend aan het zoeken en krijg gewoon het juiste antwoord niet(niet via google , niet via GoT search , niet via www.windowsnetworking.com)
We hbben het zelfs al zo vaak op school gehad , ben het alleen totaal vergeten |:(

Ik heb hier een W2K3 server , op deze server bevindt zich een share , en in die share wil ik dat de users Home-Directory's komen te staan
In AD geef ik deze share in(\\testdc\share\%username%) en koppel deze aan een driveletter.

Dat gaat allemaal goed, alleen hadden we toen op school geleerd , dat het een best practice was om de admin te restricten van de Home-Directory , en daar stonden ze nogal op bij ons op school dat die regel ingevoerd was.

Kan iemand mij weer een beetje opweg helpen met de goede share/ntfs permissie's , zodat alleen de juiste eigenaar in zijn juiste home-dir kan komen , en verder niemand anders....Ook geen Admin.

Ik weet dat dit ook via een Policy kan , maar dat is niet de bedoeling , omdat wij het zo geleerd hebben via share/ntfs permissie's!

Alvast bedankt
...voel me echt ff n00b 8)7

www.degroot-it.nl


  • StevenK
  • Registratie: Februari 2001
  • Laatst online: 16:11
als jij de home-dir aanmaakt vanuit je user-mgt tool, dan worden de rechten automatisch goed gezet.

Was advocaat maar vindt het juridische nog steeds leuk. Doet tegenwoordig iets in de metaal.


  • degroot
  • Registratie: December 2003
  • Niet online
Nee toch? Dat is juist met de profielen zo , dat die rechten gelijk goed worden gezet,
Maar hier kan de admin nog steeds in de Home Dir's.
Dat is inderdaad niet zo het geval bij roaming profiles

www.degroot-it.nl


  • the_stickie
  • Registratie: Juli 2001
  • Laatst online: 14-09-2025
is toch niet moeilijk? de betreffende gebruiker full control, voor de rest géén rechten toewijzen :)

  • degroot
  • Registratie: December 2003
  • Niet online
Ja , maar als je nou 200 gebruikers hebt , dan ga je die toch niet handmatig allemaal full control geven?
Hier is toch een snellere oplossing voor? tenminste dat hebbe ze me toen eens op school geleerd.....Alleen mijn geheugen is niet al te best........ :+

www.degroot-it.nl


  • StevenK
  • Registratie: Februari 2001
  • Laatst online: 16:11
degroot schreef op dinsdag 07 maart 2006 @ 14:44:
Ja , maar als je nou 200 gebruikers hebt , dan ga je die toch niet handmatig allemaal full control geven?
Hier is toch een snellere oplossing voor? tenminste dat hebbe ze me toen eens op school geleerd.....Alleen mijn geheugen is niet al te best........ :+
cacls.exe

Was advocaat maar vindt het juridische nog steeds leuk. Doet tegenwoordig iets in de metaal.


  • degroot
  • Registratie: December 2003
  • Niet online
Wat bedoel je hier precies mee?
Ik krijg dan alleen een dos venster wat snel voorbij schiet.

Ik weet dat het zowiezo in te stellen is bij share en ntfs permissions , daar heeft het mee te maken dat je alleen de users voor zijn map full control kan geven , en de admin uit de map met de home dirs erin te restricten

www.degroot-it.nl


  • StevenK
  • Registratie: Februari 2001
  • Laatst online: 16:11
degroot schreef op dinsdag 07 maart 2006 @ 15:23:
Wat bedoel je hier precies mee?
Ik krijg dan alleen een dos venster wat snel voorbij schiet.

Ik weet dat het zowiezo in te stellen is bij share en ntfs permissions , daar heeft het mee te maken dat je alleen de users voor zijn map full control kan geven , en de admin uit de map met de home dirs erin te restricten
Via de grafische interface kan het niet, omdat elke wijziging daar een replace van de acl's inhoudt; als je nu eerst een prompt opstart, dan zul je zien dat cacls je vriend is.

Was advocaat maar vindt het juridische nog steeds leuk. Doet tegenwoordig iets in de metaal.


  • degroot
  • Registratie: December 2003
  • Niet online
haha , maar het probleem is juist , dat ik deze permissie op school gewoon via de interface ingesteld heb , en zo wil ik het graag nog ff oefenen , omdat met examens het ook alleen maar toegestaan is om op deze manier te werken.

Ik zal nog ff mijn probleem een keer omschrijven.

Via sharing and security op mijn W2K3 server , maak ik een nieuwe map aan.
Deze map share ik , hier komen de Home directory's in te staan.

Bij AD -->user properties , Geef ik de unc in \\testdc\share\%username%

Nu wil ik de boel zo afschermen(microsofts best practice)via Share en NTFS Permissies , dat de administrator , niet in deze map kan komen , alleen de gebruiker waar deze map voor is(word bij inloggen een schijfletter aan zijn map toegekend).
Deze gebruiker mg ook niet een directory hoger gaan , zodat hij bij de andere home directory's kan komen en daarin kan kijken.

Dit alles hoort normaal(mcsa/mcse methode en MS best practive) via de 2 tabblade Sharing and Security te gaan , waar je de rechten ontneemt van de Admins en dergelijke.

Alleen ben ik de volgorde en de juiste rechten een beetje vergete.....

www.degroot-it.nl


  • StevenK
  • Registratie: Februari 2001
  • Laatst online: 16:11
degroot schreef op dinsdag 07 maart 2006 @ 15:38:
haha , maar het probleem is juist , dat ik deze permissie op school gewoon via de interface ingesteld heb , en zo wil ik het graag nog ff oefenen , omdat met examens het ook alleen maar toegestaan is om op deze manier te werken.
Je zegt net dat je het voor 200 gebruikers wil veranderen ?

Voor één is simpel: alle rechten weghalen en de user full control geven.

Was advocaat maar vindt het juridische nog steeds leuk. Doet tegenwoordig iets in de metaal.


  • djluc
  • Registratie: Oktober 2002
  • Laatst online: 15:44
Creator owner -> full control op subfolders and files.
System -> full control op folder, subfolders and files
Authenticated users -> Advanced rechten: "Read attributes, Read extended attributes, create folders/append data, read permissions"

Wel zorgen dat je die mappen dus automatisch aan laat maken (dan klopt de owner pas namelijk)!

  • degroot
  • Registratie: December 2003
  • Niet online
djluc schreef op dinsdag 07 maart 2006 @ 15:45:
Creator owner -> full control op subfolders and files.
System -> full control op folder, subfolders and files
Authenticated users -> Advanced rechten: "Read attributes, Read extended attributes, create folders/append data, read permissions"

Wel zorgen dat je die mappen dus automatisch aan laat maken (dan klopt de owner pas namelijk)!
Nu kan de Admin er nog steeds in , waarschijnlijk natuurlijk omdat in de AD , na het applyen van de user properties en het invoeren van zijn locatie van de Home-Dir , die door de Admin aangemaakt word oid?
StevenK schreef op dinsdag 07 maart 2006 @ 15:42:
[...]

Je zegt net dat je het voor 200 gebruikers wil veranderen ?

Voor één is simpel: alle rechten weghalen en de user full control geven.
Ik denk dat jij mijn vraag niet helemaal snapt , Ik wil gewoon dit van het begin af aan goed instellen , nog voordat er users instaan , er hoeft niks verandert te worden , alleen goed ingestelt te worden

[ Voor 28% gewijzigd door degroot op 07-03-2006 15:53 ]

www.degroot-it.nl


  • djluc
  • Registratie: Oktober 2002
  • Laatst online: 15:44
Heb je het wel met een nieuwe user gemaakt? Dan kan je het even goed testen.

Verwijderd

Move NT > WOS

  • degroot
  • Registratie: December 2003
  • Niet online
djluc schreef op dinsdag 07 maart 2006 @ 16:01:
Heb je het wel met een nieuwe user gemaakt? Dan kan je het even goed testen.
Ja de nieuwe Users is aangemaakt , en daarna opnieuw geprobeerd , maar de Admin kan nog steeds in de home dirs komen.....

www.degroot-it.nl


Verwijderd

Wat gebeurt er als je het volgende doet,
een map aanmaken op je server en sharen als Personal$
vervolgens de NTFS rechten van de Administrators op weigeren zetten
en via de AD de users aanmaken en de Z: schijf laten verbinden met
\\testdc\Personal$\%username%

Kijk maar eens, heb het zelf even nog niet gestest, geen tijd voor...

  • degroot
  • Registratie: December 2003
  • Niet online
djluc schreef op dinsdag 07 maart 2006 @ 15:45:
Creator owner -> full control op subfolders and files.
System -> full control op folder, subfolders and files
Authenticated users -> Advanced rechten: "Read attributes, Read extended attributes, create folders/append data, read permissions"

Wel zorgen dat je die mappen dus automatisch aan laat maken (dan klopt de owner pas namelijk)!
Ik hier nog even de Administrator met alles op Deny bijgezet ,
Zoals ton.luinstra bedoelt....

De administrator kan nu inderdaad niet in de home directory's komen , maar hij kan , tijdens het aanmaken van een nieuwe gebruiker , ook geen nieuwe home-directory's toezeggen aan de gebruikers in de AD....

Klopt dat zo?
Ik dacht namelijk dat Er ook nog een mogelijkheid was dat de Admin dan nog mappen voor nieuwe gebruikers aan kon maken.....Maar dat kan ik mis hebbe

www.degroot-it.nl


  • Monkeybrains
  • Registratie: Juni 2001
  • Laatst online: 18:35
Niet om het een of ander, maar is dit niet een vrij zinloze aktie? Als een administrator bij files van een gebruiker wil, kan hij daar altijd bij. Als hij de rechten niet heeft kan hij deze rechten toch aan zichzelf geven?

Daarbij, ik vindt dit een kwestie van vertrouwen. In onze omgeving ook, de admins (zijn er 2, waaronder ik) kunnen overal bij, maar komen gewoon niet in de persoonlijke directories van de gebruikers. Dus niet omdat ze het niet kunnen, maar omdat het niet hoort.

  • degroot
  • Registratie: December 2003
  • Niet online
Monkeybrains schreef op dinsdag 07 maart 2006 @ 16:25:
Niet om het een of ander, maar is dit niet een vrij zinloze aktie? Als een administrator bij files van een gebruiker wil, kan hij daar altijd bij. Als hij de rechten niet heeft kan hij deze rechten toch aan zichzelf geven?
Hier zit je in principe fout

Het kan een bedrijfspolicy zijn , dat de home-dirs afgeschermt moeten worden voor de admins.
Admins kunnen er altijd bij , maar dan moeten ze zich de owner maken , en dan moeten ze een drempel overstappen ,
Doen ze dit , dan kan een Directeur jouw ontslaan omdat jij je niet aan de regels houdt.

Zo hebben ze het ons ook vertelt op school , lijkt mij ook niet echt onzinnig , omdat een Admin niks te zoeken heeft in Home-Dirs.

Maar dit is allemaal terzijde , en lost mijn probleem ook niet echt op :o

www.degroot-it.nl


  • Monkeybrains
  • Registratie: Juni 2001
  • Laatst online: 18:35
degroot schreef op dinsdag 07 maart 2006 @ 16:31:
[...]

Hier zit je in principe fout

Het kan een bedrijfspolicy zijn , dat de home-dirs afgeschermt moeten worden voor de admins.
Admins kunnen er altijd bij , maar dan moeten ze zich de owner maken , en dan moeten ze een drempel overstappen ,
Doen ze dit , dan kan een Directeur jouw ontslaan omdat jij je niet aan de regels houdt.

Zo hebben ze het ons ook vertelt op school , lijkt mij ook niet echt onzinnig , omdat een Admin niks te zoeken heeft in Home-Dirs.

Maar dit is allemaal terzijde , en lost mijn probleem ook niet echt op :o
Helemaal gelijk, ik vroeg het me alleen af.

  • djluc
  • Registratie: Oktober 2002
  • Laatst online: 15:44
Volgens mij halen we 2 dingen door elkaar: Je kan bijvoorbeeld mijn documenten redirecten. Dan wordt er automatisch een map aangemaakt bij de login/logout procedure. Daar is de user eigenaar van waardoor het werkt. Hoe dit met homedirs werkt weet ik niet, misschien moet je die homedirs ook via een policy aan laten maken?

  • StevenK
  • Registratie: Februari 2001
  • Laatst online: 16:11
Administrator op deny is een loze actie; kijk nu eerst hoe de rechten staan op een homedir die je via de AD users & computers hebt aangemaakt, dan kun je precies zien hoe de rechten horen te staan.

Zoals hierboven ook al aangegeven: in de grafische tools zit geen mogelijkheid om achteraf de owner te assignen, dat lukt alleen via command-line tools of bij het aanmaken van de homedir.

Was advocaat maar vindt het juridische nog steeds leuk. Doet tegenwoordig iets in de metaal.


Verwijderd

Misschien niet relevant, maar als de admin er niet in kan, kan er ook niet ge-backupped worden.
Mits je weer een speciaal service account aanmaakt en deze wel weer rechten geeft.

  • djluc
  • Registratie: Oktober 2002
  • Laatst online: 15:44
Verwijderd schreef op dinsdag 07 maart 2006 @ 16:42:
Misschien niet relevant, maar als de admin er niet in kan, kan er ook niet ge-backupped worden.
Mits je weer een speciaal service account aanmaakt en deze wel weer rechten geeft.
Er is een speciaal account wat voor backups gebruikt wordt met uitzonderlijke rechten.

  • degroot
  • Registratie: December 2003
  • Niet online
Ik zal vanavond nog eens diep in het MCSA boek spitten

Met back-up Operators kan je geloof ik nog backups maken van de home-dirs

Maar volgens mij moet je eerst alle mappen aanmaken in de AD , en dan pas de Admin eruit halen , heb zowat een hele dag lopen klote , maar zla het vanavond nog eens kijken of misschienhet MCSA boek uitkomst kan brengen

Ben nu klaar op het werk , Morgenvroeg zal ik een update geven van de vordering / oplossing voor dit probleem
Alvast bedankt voor nu

www.degroot-it.nl


  • StevenK
  • Registratie: Februari 2001
  • Laatst online: 16:11
Verwijderd schreef op dinsdag 07 maart 2006 @ 16:42:
Misschien niet relevant, maar als de admin er niet in kan, kan er ook niet ge-backupped worden.
Mits je weer een speciaal service account aanmaakt en deze wel weer rechten geeft.
Think again. Het is juist daarom dat windows speciale user rights heeft. Een backup-account hoeft geen rechten op de files te hebben voor het maken van een backup of een restore, maar wel de user rights 'backup files and directories' en 'restore files and directories'

Was advocaat maar vindt het juridische nog steeds leuk. Doet tegenwoordig iets in de metaal.


Verwijderd

:o

  • djluc
  • Registratie: Oktober 2002
  • Laatst online: 15:44
degroot schreef op dinsdag 07 maart 2006 @ 16:51:
Maar volgens mij moet je eerst alle mappen aanmaken in de AD[...]
Waarom laat je die mappen nou niet gewoon automatisch aanmaken? Dan ben je van al je problemen af, dit staat zo ook in artikelen van MS.

  • degroot
  • Registratie: December 2003
  • Niet online
djluc schreef op dinsdag 07 maart 2006 @ 18:49:
[...]
Waarom laat je die mappen nou niet gewoon automatisch aanmaken? Dan ben je van al je problemen af, dit staat zo ook in artikelen van MS.
Die worden ook automatisch aangemaakt , zodra je op aply klikt , bij user properties in de AD , dan word automatisch de map aangemaakt , mits je de goede rechten hebt......
De home-dirs worden niet zoals de roaming profiles pas aangemaakt als je inlogt

www.degroot-it.nl


  • djluc
  • Registratie: Oktober 2002
  • Laatst online: 15:44
Kan je homedirs niet automatisch aan laten maken bij het inloggen? Het verschil tussen beide is nu namelijk dat de owner administrator is en dat wil je niet. Eventueel kan je met een scriptje achteraf de owner van de mappen veranderen naar de user maar dat is ook niet echt een handige oplossing.

  • StevenK
  • Registratie: Februari 2001
  • Laatst online: 16:11
djluc schreef op woensdag 08 maart 2006 @ 08:33:
Kan je homedirs niet automatisch aan laten maken bij het inloggen? Het verschil tussen beide is nu namelijk dat de owner administrator is
Als jij de homedir vanuit de AD users & compu's aanmaakt, is de user zelf de owner.

Was advocaat maar vindt het juridische nog steeds leuk. Doet tegenwoordig iets in de metaal.


  • djluc
  • Registratie: Oktober 2002
  • Laatst online: 15:44
StevenK schreef op woensdag 08 maart 2006 @ 09:29:
[...]

Als jij de homedir vanuit de AD users & compu's aanmaakt, is de user zelf de owner.
Dan moet het werken als het ingesteld wordt zoals ik in deze post schrijf: djluc in "[w2k3]admin restricten van home dir"
Pagina: 1