[2003] NTFS access by computer - Serversoftware en clouddiensten

woensdag 12 juli 2006 08:58

Acties:

Topicstarter

Achtergrondinformatie:
School met 2 domeinen:
school.com voor leerlingen en school.nl voor medewerkers.
Om de beheersbaarheid en functionaliteit te verbeteren is besloten om te mergen naar 1 domein.
Tijdens de voorbereidingen hebben we al zeer veel problemen getackled.
Paar aardigheidjes die er bij zitten: .adm files voor folder mappings en printer distributie gemaakt.
Software gaan we d.m.v. software policies en .msi files distribueren.
Probleem waar het nu over gaat zit hem in het startmenu.

Software zal gedistribueerd worden op functionaliteit van de plek waar de pc staat, deze software moet voor alle gebruikers benaderbaar zijn.
Ik kan wel het startmenu omleiden gebaseerd op computer d.m.v. loopback adressing. Ik moet dan echter voor elk type machine andere startmenus maken.

Wat wij graag willen is 1 groot startmenu, welke alleen de software weergeeft die ook daadwerkelijk beschikbaar is. Wincloak is een programma van Scriptlogic welke de mogelijkheid geeft om folders te verbergen waarop men geen toegang heeft (geen reclame). (Acces based enumeration ftw) Heel mooi allemaal dus.

Probleem: Hoe wijs ik rechten toe aan folders in het startmenu (welke op domain niveau omgeleid wordt naar een dfs share) gebaseerd op de computer waarop een gebruiker zich aanmeldt?
Alleen de betreffende computer full acces geven werkt helaas niet, dan blijft de toegang geweigerd.
In de how-to's heb ik niets kunnen vinden en na een paar dagen googlen is tweakers mijn laatste optie.

donderdag 13 juli 2006 14:29

Acties:

elevator

Officieel moto fan :)

Ten eerste puur uit nieuwsgierigheid - wat bedoel je met een speciale .ADM file voor printer distributie?

Ik ben bang dat dit niet gaat werken op deze manier (het verbergen met enkel rechten werkt overigens ook al standaard op Windows 2003 met de juiste servicepack - dit heet Access Based Enumeration en kan met een aparte tool aangezet worden).

Ik snap eigenlijk niet precies wat nou het verschil is tussen rechten toe gaan kennen per type machine, of een GPO maken per type machine - waarom is de een meer werk dan de ander?

donderdag 13 juli 2006 14:59

Acties:

Xiliath

Topicstarter

elevator schreef op donderdag 13 juli 2006 @ 14:29:
Ten eerste puur uit nieuwsgierigheid - wat bedoel je met een speciale .ADM file voor printer distributie?

Een .adm file die ik aan een group policy hang en daarmee automatisch printers kan installeren voor een machine

Als jem wil hebben dan kan ik wel de code posten, stelt weinig voor.

elevator schreef op donderdag 13 juli 2006 @ 14:29:
Ik ben bang dat dit niet gaat werken op deze manier (het verbergen met enkel rechten werkt overigens ook al standaard op Windows 2003 met de juiste servicepack - dit heet Access Based Enumeration en kan met een aparte tool aangezet worden).

Ok, dit ga ik zo direct even uitzoeken. klinkt veelbelovend.
Edit:
Dit is gaaf. En zo simpel!
Thanks alot $_/-\o_$

elevator schreef op donderdag 13 juli 2006 @ 14:29:

Ik snap eigenlijk niet precies wat nou het verschil is tussen rechten toe gaan kennen per type machine, of een GPO maken per type machine - waarom is de een meer werk dan de ander?

Mapomleiding naar je startmenu kan maar 1 keer. En stacked dus niet.
Als ik folder acces via computers kan toewijzen dan kan ik bijvoorbeeld de map "office" in het startmenu toegankelijk maken voor de security group office waar alle pc's in zitten die dit mogen gebruiken.
Op die manier kan ik 1 startmenu maken die voor de gehele organisatie geldt.

[ Voor 4% gewijzigd door Xiliath op 13-07-2006 15:09 ]

donderdag 13 juli 2006 15:27

Acties:

Verwijderd

Wij gebruiken groep policies om diverse afdelingen een ander start menu te geven.
Policy is te vinden onder User Configuration=>Windows Settings=>Folder Redirection=>Start Menu.

Setting:Advanced (specify locations for various groups)

Je kan dit per computer/functie groep doen. Rechten kun je dan de computers en alle users toekennen als alleen lezen. Moet voldoende zijn. Je moet er wel rekening mee houden dat je dus groepen computers moet maken. Waarschijnlijk heb je deze al om de MSI's naar toe te pompen.

donderdag 13 juli 2006 15:36

Acties:

Xiliath

Topicstarter

Verwijderd schreef op donderdag 13 juli 2006 @ 15:27:
Wij gebruiken groep policies om diverse afdelingen een ander start menu te geven.
Policy is te vinden onder User Configuration=>Windows Settings=>Folder Redirection=>Start Menu.

Setting:Advanced (specify locations for various groups)

Je kan dit per computer/functie groep doen. Rechten kun je dan de computers en alle users toekennen als alleen lezen. Moet voldoende zijn. Je moet er wel rekening mee houden dat je dus groepen computers moet maken. Waarschijnlijk heb je deze al om de MSI's naar toe te pompen.

Thanks voor je reply, maar je begrijpt me niet helemaal.
Dit gebruiken we al, nadeel hiervan is dat je meerdere startmenus in gebruik hebt.
Meerdere menus onderhouden is dus ook extra werk tijdens een change, bv. extra software, dan moet je in elk startmenu gaan sleutelen.

Vergeet niet dat dit een school is met 500 pc's die gebaseerd op de plek bepaalde functionaliteit heeft. Wildgroei aan startmenu's zit ik niet echt op te wachten
Ik wil bij nieuwe software gewoon 1 map toevoegen aan het startmenu en met ntfs rechten dichtknijpen welke pc's er wel/niet bij mogen.

Hoe stel ik rechten op een netwerkmap in voor een computer?

donderdag 13 juli 2006 16:59

Acties:

elevator

Officieel moto fan :)

wappie1980 schreef op donderdag 13 juli 2006 @ 14:59:
Een .adm file die ik aan een group policy hang en daarmee automatisch printers kan installeren voor een machine
Als jem wil hebben dan kan ik wel de code posten, stelt weinig voor.

Maar je doet dit toch niet door direct in de HKCU\Printers\Connections te pielen hoop ik? Iig - heb je in 2003 R2 mogelijkheden om dit te doen zonder dat je hier zelf .ADM's voor hoeft te schrijven

Mapomleiding naar je startmenu kan maar 1 keer. En stacked dus niet.
Als ik folder acces via computers kan toewijzen dan kan ik bijvoorbeeld de map "office" in het startmenu toegankelijk maken voor de security group office waar alle pc's in zitten die dit mogen gebruiken.
Op die manier kan ik 1 startmenu maken die voor de gehele organisatie geldt.

Ok, daar heb je een punt. Ik ben bang dat je het toch niet gaat lukken standaard.

Wat je eventueel kan proberen is zorgen dat er een programma onder de NetworkSystem account draait (bv. een batchfile met srvany), die dan contact zoekt met een netwerk drive en vervolgens een startmenu copieert lokaal naar de PC. Als je dan vervolgens je start menu daar naar redirect, heb je theoretisch wat je wil volgens mij. Of dit praktisch wel werkt zou ik je niet durven te garanderen, maar je kan het altijd proberen

donderdag 13 juli 2006 17:23

Acties:

Xiliath

Topicstarter

elevator schreef op donderdag 13 juli 2006 @ 16:59:
[...]

Maar je doet dit toch niet door direct in de HKCU\Printers\Connections te pielen hoop ik? Iig - heb je in 2003 R2 mogelijkheden om dit te doen zonder dat je hier zelf .ADM's voor hoeft te schrijven

Toch wel, zie onder. Heb hier nog geen problemen mee gehad, maar aan je reactie te merken ben je hier niet dol op. Hoezo niet?
Ik zal eens zoeken in de w2k3 R2, ben wel benieuwd.

code:

CLASS USER

 

CATEGORY "Printers"

 

POLICY "Printernaam"

KEYNAME "Printers\Connections\,,servernaam,printersharenaam

PART "Server"

EDITTEXT

DEFAULT "\\servernaam"

VALUENAME "Server"

END PART

PART "Provider"

EDITTEXT

DEFAULT "win32spl.dll"

VALUENAME "Provider"

END PART

END POLICY

 

END CATEGORY

Data lokaal moeten kopieren vind ik geen mooie oplossing.
Zit zelf te denken om een aantal standaard mappen te maken.
Deze mappen worden dan gelinked door middel van snelkoppelingen aan het startmenu.
Op die manier hou ik in ieder geval de boel beheersbaar.
Nadeel is wel dat ik voor elke groep computers een start menu moet maken. Helaas, dit is imo echt een gebrek in windows.

donderdag 13 juli 2006 17:31

Acties:

elevator

Officieel moto fan :)

wappie1980 schreef op donderdag 13 juli 2006 @ 17:23:
Toch wel, zie onder. Heb hier nog geen problemen mee gehad, maar aan je reactie te merken ben je hier niet dol op. Hoezo niet?

Tis meer een gevoel waarom ik dit soort trucen niet zo goed vind - printer drivers zijn imho altijd redelijk gevoelig en 'crash prone', op deze manier dit in je Windows hacken ben ik niet zo'n voorstander van gewoon

Data lokaal moeten kopieren vind ik geen mooie oplossing.

Bwah, je start menu op een server zetten heeft ook qua performantie en beschikbaarheid natuurlijk een aantal nadelen. 400 PCs die monitors hebben uitstaan of het start menu niet gewijzigd is is ook niet iets waar een fileserver nou een specifieke meerwaarde bij heeft

donderdag 13 juli 2006 17:41

Acties:

Xiliath

Topicstarter

elevator schreef op donderdag 13 juli 2006 @ 17:31:
Bwah, je start menu op een server zetten heeft ook qua performantie en beschikbaarheid natuurlijk een aantal nadelen. 400 PCs die monitors hebben uitstaan of het start menu niet gewijzigd is is ook niet iets waar een fileserver nou een specifieke meerwaarde bij heeft

Valt mee hoor, 4 locaties, 500 machines, 20 servers, startmenu centraal d.m.v. DFS. (locatie die ondergetekende beheerd heeft er nu bijna 300)
Performance zit wel goed.
Beheersbaarheid is het toverwoord aangezien we hier slechts 3 personen voor hebben.

donderdag 13 juli 2006 20:30

Acties:

elevator

Officieel moto fan :)

Ik zeg niet dat het niet kan (ik gebruik het ook voor een TS omgeving

) maar je moet je afvragen of het echt wel iets toevoegt naast een copy oplossing, zeker omdat het toch nu al niet helemaal aansluit bij je eigenlijke wensen en een andere oplossing -misschien- wel

donderdag 13 juli 2006 20:41

Acties:

Xiliath

Topicstarter

Daar heb je wel gelijk in.
Ik ben er inderdaad bang voor dat wat ik wil niet mogelijk gaat zijn.
In ieder geval bedankt voor je inbreng en je verwijzing naar acces based enumeration, dat scheelt me iig alweer wat euro's. Je tip naar 2003 R2 is ook erg nuttig, zal me daar later eens in verdiepen.

Als er iemand is die misschien een idee heeft om computer based ntfs rechten aan folders te hangen, laat het dan even weten, zou erg mooi zijn.

vrijdag 14 juli 2006 12:29

Acties:

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

wappie1980 schreef op donderdag 13 juli 2006 @ 20:41:
Als er iemand is die misschien een idee heeft om computer based ntfs rechten aan folders te hangen, laat het dan even weten, zou erg mooi zijn.

Dat kan gewoon, wat is het probleem? Sterker nog, ik kan zelfs computers lid maken van een security group en vervolgens NTFS rechten aan deze security group uitdelen.

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

vrijdag 14 juli 2006 13:35

Acties:

Xiliath

Topicstarter

Question Mark schreef op vrijdag 14 juli 2006 @ 12:29:
[...]
Dat kan gewoon, wat is het probleem? Sterker nog, ik kan zelfs computers lid maken van een security group en vervolgens NTFS rechten aan deze security group uitdelen.

Dat kan ja, geen probleem.
Maar hoe ga ik dan toegang krijgen tot een map waar alleen een security group met computer-members rechten op heeft?
Folder acces wordt alleen op gebruikersniveau gecontroleerd blijkbaar en niet op computerniveau.

Probeer het maar eens.

PS: Ben nu aan het kijken naar "trust computer for delegation".
Dit heeft met Kerberos rechten te maken, misschien is dit een oplossing, waarschijnlijk niet.

vrijdag 14 juli 2006 13:43

Acties:

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

wappie1980 schreef op vrijdag 14 juli 2006 @ 13:35:
[...]Folder acces wordt alleen op gebruikersniveau gecontroleerd blijkbaar en niet op computerniveau.

Komt dit niet omdat gewoon omdat uitgedeelde NTFS-rechten cumulatief zijn? User heeft read-rechten, computerobject heeft geen read-rechten, resulteert in Read-rechten voor de user.

Heb je al eens getest met het 'deny' recht voor computerobjecten. Dit overruled nl. alle cumulatief verkregen rechten. Ik heb dit niet getest overigens.

[ Voor 5% gewijzigd door Question Mark op 14-07-2006 13:44 ]

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

vrijdag 14 juli 2006 13:46

Acties:

Xiliath

Topicstarter

User heeft geen rechten op de betreffende map, alleen de computer, en wel "full acces". Als je de map benaderd vanaf de opgegeven pc krijg je een acces denied. Dit test ik al een week op alle mogelijke manieren. computer los opgeven, via een group, share "full acces" voor computer etc etc. het werkt gewoon niet blijkbaar.

edit: ik maak wel even een voorbeeldje

(computerobject staat standaard een $ achter)
Share: \\testserver\testshare

Share permissions
Testpc$: Full Access

NTFS permissions
Testpc$: Full access

Submap: \\testserver\testshare\startmenu
NTFS permissions
Testpc$: Full access

Inloggen op Testpc, jammer helaas, geen toegang tot de map

edit: user wel acces geven dan werkt het wel. ZELFS als je een deny aan de computer geeft.
Conclusie: Computer objecten worden genegeerd bij het bepalen van toegang tot een map.

[ Voor 60% gewijzigd door Xiliath op 14-07-2006 13:56 ]

vrijdag 14 juli 2006 14:59

Acties:

elevator

Officieel moto fan :)

Nee, computer objecten worden niet genegeerd maar het object waarmee je authenticeert is niet de computer maar de user, vandaar ook mijn opmerking om ies te starten onder de network service account omdat je dan als die computer authenticeert

vrijdag 14 juli 2006 15:04

Acties:

Xiliath

Topicstarter

elevator schreef op vrijdag 14 juli 2006 @ 14:59:
Nee, computer objecten worden niet genegeerd maar het object waarmee je authenticeert is niet de computer maar de user, vandaar ook mijn opmerking om ies te starten onder de network service account omdat je dan als die computer authenticeert

Als hij alleen authenticeerd met users dan negeert ie dus computers.
Lood om oud ijzer lol. We snappen elkaar in ieder geval.
Morgen eerst een week op vakantie, daarna beginnen we met de migratie, dit gaat 3 weken duren.
Mochten er nog mensen ideeen hebben, post ze hier dan aub.

Ik zal iig laten weten hoe we het uiteindelijk opgelost hebben