[2003] Admin restricten van home dir

dinsdag 7 maart 2006 14:35

als jij de home-dir aanmaakt vanuit je user-mgt tool, dan worden de rechten automatisch goed gezet.

Was advocaat maar vindt het juridische nog steeds leuk. Doet tegenwoordig iets in de metaal.

Acties:

dinsdag 7 maart 2006 14:41

Topicstarter

Nee toch? Dat is juist met de profielen zo , dat die rechten gelijk goed worden gezet,
Maar hier kan de admin nog steeds in de Home Dir's.
Dat is inderdaad niet zo het geval bij roaming profiles

www.degroot-it.nl

Acties:

the_stickie

is toch niet moeilijk? de betreffende gebruiker full control, voor de rest géén rechten toewijzen

dinsdag 7 maart 2006 14:44

Acties:

dinsdag 7 maart 2006 15:12

Topicstarter

Ja , maar als je nou 200 gebruikers hebt , dan ga je die toch niet handmatig allemaal full control geven?
Hier is toch een snellere oplossing voor? tenminste dat hebbe ze me toen eens op school geleerd.....Alleen mijn geheugen is niet al te best........

www.degroot-it.nl

Acties:

dinsdag 7 maart 2006 15:23

degroot schreef op dinsdag 07 maart 2006 @ 14:44:
Ja , maar als je nou 200 gebruikers hebt , dan ga je die toch niet handmatig allemaal full control geven?
Hier is toch een snellere oplossing voor? tenminste dat hebbe ze me toen eens op school geleerd.....Alleen mijn geheugen is niet al te best........

cacls.exe

Was advocaat maar vindt het juridische nog steeds leuk. Doet tegenwoordig iets in de metaal.

Acties:

dinsdag 7 maart 2006 15:29

Topicstarter

Wat bedoel je hier precies mee?
Ik krijg dan alleen een dos venster wat snel voorbij schiet.

Ik weet dat het zowiezo in te stellen is bij share en ntfs permissions , daar heeft het mee te maken dat je alleen de users voor zijn map full control kan geven , en de admin uit de map met de home dirs erin te restricten

www.degroot-it.nl

Acties:

dinsdag 7 maart 2006 15:38

degroot schreef op dinsdag 07 maart 2006 @ 15:23:
Wat bedoel je hier precies mee?
Ik krijg dan alleen een dos venster wat snel voorbij schiet.

Ik weet dat het zowiezo in te stellen is bij share en ntfs permissions , daar heeft het mee te maken dat je alleen de users voor zijn map full control kan geven , en de admin uit de map met de home dirs erin te restricten

Via de grafische interface kan het niet, omdat elke wijziging daar een replace van de acl's inhoudt; als je nu eerst een prompt opstart, dan zul je zien dat cacls je vriend is.

Was advocaat maar vindt het juridische nog steeds leuk. Doet tegenwoordig iets in de metaal.

Acties:

dinsdag 7 maart 2006 15:42

Topicstarter

haha , maar het probleem is juist , dat ik deze permissie op school gewoon via de interface ingesteld heb , en zo wil ik het graag nog ff oefenen , omdat met examens het ook alleen maar toegestaan is om op deze manier te werken.

Ik zal nog ff mijn probleem een keer omschrijven.

Via sharing and security op mijn W2K3 server , maak ik een nieuwe map aan.
Deze map share ik , hier komen de Home directory's in te staan.

Bij AD -->user properties , Geef ik de unc in \\testdc\share\%username%

Nu wil ik de boel zo afschermen(microsofts best practice)via Share en NTFS Permissies , dat de administrator , niet in deze map kan komen , alleen de gebruiker waar deze map voor is(word bij inloggen een schijfletter aan zijn map toegekend).
Deze gebruiker mg ook niet een directory hoger gaan , zodat hij bij de andere home directory's kan komen en daarin kan kijken.

Dit alles hoort normaal(mcsa/mcse methode en MS best practive) via de 2 tabblade Sharing and Security te gaan , waar je de rechten ontneemt van de Admins en dergelijke.

Alleen ben ik de volgorde en de juiste rechten een beetje vergete.....

www.degroot-it.nl

Acties:

dinsdag 7 maart 2006 15:45

degroot schreef op dinsdag 07 maart 2006 @ 15:38:
haha , maar het probleem is juist , dat ik deze permissie op school gewoon via de interface ingesteld heb , en zo wil ik het graag nog ff oefenen , omdat met examens het ook alleen maar toegestaan is om op deze manier te werken.

Je zegt net dat je het voor 200 gebruikers wil veranderen ?

Voor één is simpel: alle rechten weghalen en de user full control geven.

Was advocaat maar vindt het juridische nog steeds leuk. Doet tegenwoordig iets in de metaal.

Acties:

dinsdag 7 maart 2006 15:52

Creator owner -> full control op subfolders and files.
System -> full control op folder, subfolders and files
Authenticated users -> Advanced rechten: "Read attributes, Read extended attributes, create folders/append data, read permissions"

Wel zorgen dat je die mappen dus automatisch aan laat maken (dan klopt de owner pas namelijk)!

Acties:

dinsdag 7 maart 2006 16:01

Topicstarter

djluc schreef op dinsdag 07 maart 2006 @ 15:45:
Creator owner -> full control op subfolders and files.
System -> full control op folder, subfolders and files
Authenticated users -> Advanced rechten: "Read attributes, Read extended attributes, create folders/append data, read permissions"

Wel zorgen dat je die mappen dus automatisch aan laat maken (dan klopt de owner pas namelijk)!

Nu kan de Admin er nog steeds in , waarschijnlijk natuurlijk omdat in de AD , na het applyen van de user properties en het invoeren van zijn locatie van de Home-Dir , die door de Admin aangemaakt word oid?

StevenK schreef op dinsdag 07 maart 2006 @ 15:42:
[...]

Je zegt net dat je het voor 200 gebruikers wil veranderen ?

Voor één is simpel: alle rechten weghalen en de user full control geven.

Ik denk dat jij mijn vraag niet helemaal snapt , Ik wil gewoon dit van het begin af aan goed instellen , nog voordat er users instaan , er hoeft niks verandert te worden , alleen goed ingestelt te worden

[ Voor 28% gewijzigd door degroot op 07-03-2006 15:53 ]

www.degroot-it.nl

Acties:

dinsdag 7 maart 2006 16:05

Heb je het wel met een nieuwe user gemaakt? Dan kan je het even goed testen.

Acties:

Verwijderd

Move NT > WOS

dinsdag 7 maart 2006 16:13

Acties:

dinsdag 7 maart 2006 16:18

Topicstarter

djluc schreef op dinsdag 07 maart 2006 @ 16:01:
Heb je het wel met een nieuwe user gemaakt? Dan kan je het even goed testen.

Ja de nieuwe Users is aangemaakt , en daarna opnieuw geprobeerd , maar de Admin kan nog steeds in de home dirs komen.....

www.degroot-it.nl

Acties:

Verwijderd

Wat gebeurt er als je het volgende doet,
een map aanmaken op je server en sharen als Personal$
vervolgens de NTFS rechten van de Administrators op weigeren zetten
en via de AD de users aanmaken en de Z: schijf laten verbinden met
\\testdc\Personal$\%username%

Kijk maar eens, heb het zelf even nog niet gestest, geen tijd voor...

dinsdag 7 maart 2006 16:23

Acties:

dinsdag 7 maart 2006 16:25

Topicstarter

djluc schreef op dinsdag 07 maart 2006 @ 15:45:
Creator owner -> full control op subfolders and files.
System -> full control op folder, subfolders and files
Authenticated users -> Advanced rechten: "Read attributes, Read extended attributes, create folders/append data, read permissions"

Wel zorgen dat je die mappen dus automatisch aan laat maken (dan klopt de owner pas namelijk)!

Ik hier nog even de Administrator met alles op Deny bijgezet ,
Zoals ton.luinstra bedoelt....

De administrator kan nu inderdaad niet in de home directory's komen , maar hij kan , tijdens het aanmaken van een nieuwe gebruiker , ook geen nieuwe home-directory's toezeggen aan de gebruikers in de AD....

Klopt dat zo?
Ik dacht namelijk dat Er ook nog een mogelijkheid was dat de Admin dan nog mappen voor nieuwe gebruikers aan kon maken.....Maar dat kan ik mis hebbe

www.degroot-it.nl

Acties:

Monkeybrains

Niet om het een of ander, maar is dit niet een vrij zinloze aktie? Als een administrator bij files van een gebruiker wil, kan hij daar altijd bij. Als hij de rechten niet heeft kan hij deze rechten toch aan zichzelf geven?

Daarbij, ik vindt dit een kwestie van vertrouwen. In onze omgeving ook, de admins (zijn er 2, waaronder ik) kunnen overal bij, maar komen gewoon niet in de persoonlijke directories van de gebruikers. Dus niet omdat ze het niet kunnen, maar omdat het niet hoort.

dinsdag 7 maart 2006 16:31

Acties:

dinsdag 7 maart 2006 16:36

Topicstarter

Monkeybrains schreef op dinsdag 07 maart 2006 @ 16:25:
Niet om het een of ander, maar is dit niet een vrij zinloze aktie? Als een administrator bij files van een gebruiker wil, kan hij daar altijd bij. Als hij de rechten niet heeft kan hij deze rechten toch aan zichzelf geven?

Hier zit je in principe fout

Het kan een bedrijfspolicy zijn , dat de home-dirs afgeschermt moeten worden voor de admins.
Admins kunnen er altijd bij , maar dan moeten ze zich de owner maken , en dan moeten ze een drempel overstappen ,
Doen ze dit , dan kan een Directeur jouw ontslaan omdat jij je niet aan de regels houdt.

Zo hebben ze het ons ook vertelt op school , lijkt mij ook niet echt onzinnig , omdat een Admin niks te zoeken heeft in Home-Dirs.

Maar dit is allemaal terzijde , en lost mijn probleem ook niet echt op

www.degroot-it.nl

Acties:

Monkeybrains

degroot schreef op dinsdag 07 maart 2006 @ 16:31:
[...]

Hier zit je in principe fout

Het kan een bedrijfspolicy zijn , dat de home-dirs afgeschermt moeten worden voor de admins.
Admins kunnen er altijd bij , maar dan moeten ze zich de owner maken , en dan moeten ze een drempel overstappen ,
Doen ze dit , dan kan een Directeur jouw ontslaan omdat jij je niet aan de regels houdt.

Zo hebben ze het ons ook vertelt op school , lijkt mij ook niet echt onzinnig , omdat een Admin niks te zoeken heeft in Home-Dirs.

Maar dit is allemaal terzijde , en lost mijn probleem ook niet echt op

Helemaal gelijk, ik vroeg het me alleen af.

dinsdag 7 maart 2006 16:39

Acties:

dinsdag 7 maart 2006 16:39

Volgens mij halen we 2 dingen door elkaar: Je kan bijvoorbeeld mijn documenten redirecten. Dan wordt er automatisch een map aangemaakt bij de login/logout procedure. Daar is de user eigenaar van waardoor het werkt. Hoe dit met homedirs werkt weet ik niet, misschien moet je die homedirs ook via een policy aan laten maken?

Acties:

dinsdag 7 maart 2006 16:42

Administrator op deny is een loze actie; kijk nu eerst hoe de rechten staan op een homedir die je via de AD users & computers hebt aangemaakt, dan kun je precies zien hoe de rechten horen te staan.

Zoals hierboven ook al aangegeven: in de grafische tools zit geen mogelijkheid om achteraf de owner te assignen, dat lukt alleen via command-line tools of bij het aanmaken van de homedir.

Was advocaat maar vindt het juridische nog steeds leuk. Doet tegenwoordig iets in de metaal.

Acties:

Verwijderd

Misschien niet relevant, maar als de admin er niet in kan, kan er ook niet ge-backupped worden.
Mits je weer een speciaal service account aanmaakt en deze wel weer rechten geeft.

dinsdag 7 maart 2006 16:48

Acties:

dinsdag 7 maart 2006 16:51

Verwijderd schreef op dinsdag 07 maart 2006 @ 16:42:
Misschien niet relevant, maar als de admin er niet in kan, kan er ook niet ge-backupped worden.
Mits je weer een speciaal service account aanmaakt en deze wel weer rechten geeft.

Er is een speciaal account wat voor backups gebruikt wordt met uitzonderlijke rechten.

Acties:

dinsdag 7 maart 2006 16:51

Topicstarter

Ik zal vanavond nog eens diep in het MCSA boek spitten

Met back-up Operators kan je geloof ik nog backups maken van de home-dirs

Maar volgens mij moet je eerst alle mappen aanmaken in de AD , en dan pas de Admin eruit halen , heb zowat een hele dag lopen klote , maar zla het vanavond nog eens kijken of misschienhet MCSA boek uitkomst kan brengen

Ben nu klaar op het werk , Morgenvroeg zal ik een update geven van de vordering / oplossing voor dit probleem
Alvast bedankt voor nu

www.degroot-it.nl

Acties:

dinsdag 7 maart 2006 16:54

Verwijderd schreef op dinsdag 07 maart 2006 @ 16:42:
Misschien niet relevant, maar als de admin er niet in kan, kan er ook niet ge-backupped worden.
Mits je weer een speciaal service account aanmaakt en deze wel weer rechten geeft.

Think again. Het is juist daarom dat windows speciale user rights heeft. Een backup-account hoeft geen rechten op de files te hebben voor het maken van een backup of een restore, maar wel de user rights 'backup files and directories' en 'restore files and directories'

Was advocaat maar vindt het juridische nog steeds leuk. Doet tegenwoordig iets in de metaal.

Acties:

Verwijderd

dinsdag 7 maart 2006 18:49

Acties:

dinsdag 7 maart 2006 19:24

degroot schreef op dinsdag 07 maart 2006 @ 16:51:
Maar volgens mij moet je eerst alle mappen aanmaken in de AD[...]

Waarom laat je die mappen nou niet gewoon automatisch aanmaken? Dan ben je van al je problemen af, dit staat zo ook in artikelen van MS.

Acties:

woensdag 8 maart 2006 08:33

Topicstarter

djluc schreef op dinsdag 07 maart 2006 @ 18:49:
[...]
Waarom laat je die mappen nou niet gewoon automatisch aanmaken? Dan ben je van al je problemen af, dit staat zo ook in artikelen van MS.

Die worden ook automatisch aangemaakt , zodra je op aply klikt , bij user properties in de AD , dan word automatisch de map aangemaakt , mits je de goede rechten hebt......
De home-dirs worden niet zoals de roaming profiles pas aangemaakt als je inlogt

www.degroot-it.nl

Acties:

woensdag 8 maart 2006 09:29

Kan je homedirs niet automatisch aan laten maken bij het inloggen? Het verschil tussen beide is nu namelijk dat de owner administrator is en dat wil je niet. Eventueel kan je met een scriptje achteraf de owner van de mappen veranderen naar de user maar dat is ook niet echt een handige oplossing.

Acties:

woensdag 8 maart 2006 09:40

djluc schreef op woensdag 08 maart 2006 @ 08:33:
Kan je homedirs niet automatisch aan laten maken bij het inloggen? Het verschil tussen beide is nu namelijk dat de owner administrator is

Als jij de homedir vanuit de AD users & compu's aanmaakt, is de user zelf de owner.

Was advocaat maar vindt het juridische nog steeds leuk. Doet tegenwoordig iets in de metaal.

Acties: