gewone gebruiker shares laten aanmaken - Serversoftware en clouddiensten

woensdag 22 augustus 2007 01:25

Acties:

Heerlijk Helder

Topicstarter

Tja, beetje moeilijk omschreven misschien maar stel dat ik een gebruiker op een locatie heb en die mag wat dingen op de server doen maar ik wil hem uiteraard niet domain admin maken.

Hij kan aanloggen op de server (verders niets, ook vooral niet uitzetten

) en heeft volledige rechten over de D: schijf.
Hij kan ook mapjes aanmaken etc maar geen shares aanmaken.
Als hij naar de properties van een map gaat ziet hij wel het security tabblad maar niet het sharing tabblad.

Ik wil graag dat hij ook shares aan kan maken.
Heb me rot gezocht op google en hier en wellicht gebruik ik de verkeerde keywords.

Voor de duidelijkheid:
De server is een windows server 2003 domain controller (en niet bepaald de enigste in het domein) dus ik wil hem niet aan een domein groep zoals server administrators of account administrators toevoegen.
Lokale groepen bestaan uiteraard niet omdat het een DC is.
Ik wil graag dat hij alleen op deze DC de rechten heeft om shares aan te maken.

Ik denk dat het iets te maken heeft met rechten op de registry hive hklm\currentcontrolset\services\lanmanserver

Iemand ervaring hiermee of een tip op welke keywords ik moet zoeken?

mookie

woensdag 22 augustus 2007 01:49

Acties:

Verwijderd

misschien een id, je maakt hem wel zorg alleen dat hij geen rdp kan starten ,

verder is het wel handig om hem lid te maken van een denied access group en deze op eventuele andere snappins in dat domain van die dc plaatsen. als er sprake is van onderliggende trusts moet je dat ffe afvangen.

connect naar desbetreffende dc.
1 je maakt met mmc een lege snapin ,
2 via file --add/remove snapin
3 scroll benede , zie shared folders
zorg bij het instellen dat de snapin alleen op de gewenste DC werkt.

sla deze op , mail die naar hem toe. hij zou nu shares moeten kunnen maken, en geen andere fratsen kunnen uithalen..
hij moet wel domain admin zijn om shares te kunnen publiseren, echter zeg ik dit met twijfel... maar volgens mij kan een alleen een admin dit.. maar als hij alleen dit msc filtje zou hebben dan zit je wel veilig, tenzij hij er een rotzooitje van maakt. .. Eventueel kan je ook nog als beheerder tegen hem zeggen dat shares eerst per email gemeld moeten worden voordat ze gepubliseerd worden. ( ik ga er vanuit dat jij de beheerder bent , en dat men jouw ass er op aankijkt als het fout gaat)
maar dat zou je nog wat overzicht kunnen geven en eventuele indek mailtjes zijn altijd handig

gr sj.

[ Voor 32% gewijzigd door Verwijderd op 22-08-2007 02:01 ]

woensdag 22 augustus 2007 01:54

Acties:

mookie

Heerlijk Helder

Topicstarter

die snap-in in de MMC kan hij wel openen maar als hij dan op het "Shares" mapje klikt waar je alle shares van de server in zou moeten kunnen zien krijg ik een schermpje met access denied.

Hem administrator maken kan niet want het is een DC en kent daarom geen lokale groepen en hem admin in het domein maken gaat het zowiezo niet worden...

mookie

woensdag 22 augustus 2007 02:04

Acties:

Verwijderd

mookie schreef op woensdag 22 augustus 2007 @ 01:54:
die snap-in in de MMC kan hij wel openen maar als hij dan op het "Shares" mapje klikt waar je alle shares van de server in zou moeten kunnen zien krijg ik een schermpje met access denied.

Hem administrator maken kan niet want het is een DC en kent daarom geen lokale groepen en hem admin in het domein maken gaat het zowiezo niet worden...

die access dienied is zeker door de rechten , en maby een onderliggen domain creeeren en hem daarin rechten geven ... ? als hij perse niet in de rest mag komen ?

dit soort gedoe kan je oplossen dmv contracten tegenover de werknemer. , de acces van domain admin. geld alleen binnen dat domain. . tis hoe je netwerk indeeld....
ps, netwerk kennis/verantwoording ligt niet op user niv .. maar nog altijd bij een beheerder.. tenslotte zet je ook niet een puber achter het stuur in een auto, success enz ....
Hij zal eerst moeten leren autorijden, rijbewijs halen ? ik denk dat ze bij MS en binnen de IT daar ook vanuit gaan.

[ Voor 26% gewijzigd door Verwijderd op 22-08-2007 02:14 ]

woensdag 22 augustus 2007 02:25

Acties:

Verwijderd

bedenk net nog een ander maniertje

DFS .,.... als je een map aan maakt die in de DFS hangt , en je geeft hem rechten op die map om daarin te klooie ...

of met een scriptje ofz ? en via de ADSI van AD de share bekend maken ?

Set objComputer = GetObject _
("LDAP://OU=Finance, DC=fabrikam, DC=com")
Set objShare = objComputer.Create("volume", "CN=FinanceShare")
objShare.Put "uNCName", "\\atl-dc-02\FinanceShare"
objShare.Put "Description", "Public share for users in the Finance group."
objShare.Put "Keywords", Array("finance", "fiscal", "monetary")
objShare.SetInfo

Kijk maar ....

[ Voor 57% gewijzigd door Verwijderd op 22-08-2007 02:30 ]

woensdag 22 augustus 2007 02:30

Acties:

mookie

Heerlijk Helder

Topicstarter

Tja, het project gaat over domein consolidatie dus een extra domeintje aanmaken voor elke locatie waar een lokaal persoon wat rechten moet hebben zal niet goed overkomen...

En om in je voorbeeld van de puber een tegenargument te geven, de beste meneer aldaar rijdt al heel lang auto, ook met grote auto's en kan daar wel mee overweg gaan. Het enige is dat als hij een conflict met zijn baas krijgt waar ik niets van afweet hij dan wel het wachtwoord van zijn baas kan resetten en stiekem in de auto van zijn baas kan gaan rijden om te kijken of hij ergens briefjes tegenkomt waarin staat dat ze hem buiten willen gooien...

Het gaat mij er dus niet om dat hij technisch niet weet wat hij doet maar dat er een bepaald moment zou kunnen komen dat hij er moreel gezien niet meer mee om kan gaan.

Child domains aanmaken kan ik dus niet ivm domein consolidatie en domain admin maken kan ik niet ivm bovenstaand voorbeeld.

Het is dus echt de bedoeling dat hij enkel file shares kan aanmaken, verders niets...
Ik heb al wel honderden van die software pakketjes gezien waarmee je bepaalde gebruikers rechten kunt geven om dingen te doen zoals shares aan te maken waarbij dat pakketje dan achter de schermen stiekem met een admin accountje die taak uitvoert maar dat pakketje heb ik niet en het lijkt me dat het ook op een standaard manier moet kunnen...

mookie

woensdag 22 augustus 2007 03:07

Acties:

mookie

Heerlijk Helder

Topicstarter

tja, dat scriptje zit ik eigenlijk ook aan te denken.
vbscript in een ASP pagina douwen en die pagina in een website zetten die alleen toegankelijk is voor zijn account... anonymous authentication uitschakelen en integrated inschakelen....

ik wacht nog ff af maar anders ga ik daar maar voor...

mookie

woensdag 22 augustus 2007 03:12

Acties:

Verwijderd

mookie schreef op woensdag 22 augustus 2007 @ 02:30:
Het enige is dat als hij een conflict met zijn baas krijgt waar ik niets van afweet hij dan wel het wachtwoord van zijn baas kan resetten en stiekem in de auto van zijn baas kan gaan rijden om te kijken of hij ergens briefjes tegenkomt waarin staat dat ze hem buiten willen gooien...

audit logs zijn daarin altijd heel verhelderend. .. maar ik denk dat je toch moet gaan klooien met het maken van een admin profiel / desktop wat helemaal afgetimmerd is ( geen uitvoeren, rdp)... dmv group policy's en daar in de gemaakte snapin in plaatsen
dus rename een admin account en begin met testen, maar vergeet niet een denied access op beheer snap ins van je domain..
probeer dan maar is onder een test account dan maar accounts aan te passe .. gaat je niet lukken .. alleen moet je wel iets verzinnen betreft het aanpassen van rechten en waar de snapins staan,
echter zit je wel met het volgende , stel hij installed een admin tool .. zoals dameware .. zo kan je wel aan de gang blijven .. is denk ik ook nog wel af te vangen of dat hij geen rechten kan aanpassen , ect

ik kan me herinneren dat ze welleens altiris gebruiken in grotere omgevingen. misschien een beter id. ?

woensdag 22 augustus 2007 13:36

Acties:

Verwijderd

pffff hij wil geen admin account geven. Een dichtgetimmerd admin account bestaat niet, zeker niet als iemand technisch onderlegt is. zowieso geef je al een paar zeer twijfelachtige oplossingen voor "professional", maar goed...

server admin is misschien wel de enige oplossing, hiermee heb je wel rechten op een dc, maar kan je geen wijzigingen in AD maken (lees even op ms.com wat het allemaal precies kan).

Een andere benadering zou zijn met filemon/regmon kijken wat er allemaal gebeurt als je een share aanmaakt en kijken of die rechten geven voldoende is.

[ Voor 4% gewijzigd door Verwijderd op 22-08-2007 13:38 ]

woensdag 22 augustus 2007 17:14

Acties:

mookie

Heerlijk Helder

Topicstarter

Nou, na eindeloze combinaties in google intypen waarbij je uiteindelijk een typefout maakt kom je dus op een pagina waar dan weer een linkje staat naar een pagine met daarin: Jawel! Het magische antwoordt!!!

Met Tweakui kun je gewoon die rechten wijzigen per server, zelfs op domain controllers want het staat dus wel ingesteld in de lokale registry. Alleen die binaire data editen is een beetje moeilijk voor het menselijk brein dus met tweakui (laatste versie werkt ook op 2003) kun je netjes groepen en accountjes toevoegen.

Hier een linkje met uitleg van wat te doen om b.v. enkel de kerstman file en printer shares aan te kunnen laten maken:

http://blogs.msdn.com/aar...ve/2005/04/18/409105.aspx

Toch vreemd dat ik de enigste ben die dit nodig heeft... anderen gaan wellicht voor de makkelijke server admin of toch domain admin rechten denk ik... maar goed... ik heb mijn biertje vanavond verdient! (vind ik zelf dan)

[ Voor 3% gewijzigd door mookie op 22-08-2007 17:16 ]

mookie

woensdag 22 augustus 2007 18:28

Acties:

Zwelgje

mookie schreef op woensdag 22 augustus 2007 @ 17:14:
Nou, na eindeloze combinaties in google intypen waarbij je uiteindelijk een typefout maakt kom je dus op een pagina waar dan weer een linkje staat naar een pagine met daarin: Jawel! Het magische antwoordt!!!

Met Tweakui kun je gewoon die rechten wijzigen per server, zelfs op domain controllers want het staat dus wel ingesteld in de lokale registry. Alleen die binaire data editen is een beetje moeilijk voor het menselijk brein dus met tweakui (laatste versie werkt ook op 2003) kun je netjes groepen en accountjes toevoegen.

Hier een linkje met uitleg van wat te doen om b.v. enkel de kerstman file en printer shares aan te kunnen laten maken:

http://blogs.msdn.com/aar...ve/2005/04/18/409105.aspx

Toch vreemd dat ik de enigste ben die dit nodig heeft... anderen gaan wellicht voor de makkelijke server admin of toch domain admin rechten denk ik... maar goed... ik heb mijn biertje vanavond verdient! (vind ik zelf dan)

mm tja iemand die een dergelijke oplossing 'professioneel' durft te noemen verdient in mijn optiek geen bier maar heel wat anders

ranzige tools op je DC gaa draaien is wel het laatste wat je wilt maar goed.

als je het maar goed documenteerd!, zou erg vervelend zijn als iemand over x jaar komt klagen over een security lek op 'een van de de domaincontrollers' en jij bent er niet meer

A wise man's life is based around fuck you

woensdag 22 augustus 2007 18:40

Acties:

Verwijderd

't is tenminste nog een ms tooltje. unsupported weliswaar, maar toch

woensdag 22 augustus 2007 23:55

Acties:

mookie

Heerlijk Helder

Topicstarter

In ieder geval gebruik ik de techniek zoals hij bedoeld is. De rechten om shares aan te maken worden nu eenmaal via die registry keys geregeld. In mijn ogen ook jammer dat lanmanserver op dat gebied niet GPO aware is en dat je het netjes via een policy kunt instellen. Net als lanmanworkstation maar als je b.v. oppurtunistic locking uit wilt zetten (en dat wil je als je nog steeds oude bagger applicaties gebruikt die file based databases gebruiken zoals paradox DB's) dan zul je dat ook nog altijd via het registry moeten doen. Tattooing is minder netjes dan een policy maar als MS daar geen ondersteuning voor heeft...

Ach, meningen verschillen en techneuten hebben altijd een andere mening van wat beter is maar ik zit aan mijn bier (en niet ONS bier)!

Proost!

mookie

donderdag 23 augustus 2007 14:36

Acties:

Verwijderd

mookie schreef op woensdag 22 augustus 2007 @ 23:55:
In ieder geval gebruik ik de techniek zoals hij bedoeld is. De rechten om shares aan te maken worden nu eenmaal via die registry keys geregeld. In mijn ogen ook jammer dat lanmanserver op dat gebied niet GPO aware is en dat je het netjes via een policy kunt instellen. Net als lanmanworkstation maar als je b.v. oppurtunistic locking uit wilt zetten (en dat wil je als je nog steeds oude bagger applicaties gebruikt die file based databases gebruiken zoals paradox DB's) dan zul je dat ook nog altijd via het registry moeten doen. Tattooing is minder netjes dan een policy maar als MS daar geen ondersteuning voor heeft...

Ach, meningen verschillen en techneuten hebben altijd een andere mening van wat beter is maar ik zit aan mijn bier (en niet ONS bier)!

Proost!

Op dat tijdstip had ik al wat meer biertjes op

Maar dan nog snapk ik niet dat je van zulke tooltjes op je DC wilt laten draaien...het lijkt mij dat dit binnen de DC wel te regelen valt met rechten, policies en aparte users, maar dan moet je dit gaan testen op een test omgeving en niet zolang mogelijk gaan zoeken op google...mijn ervaring is dat je met pratijk ervaring meer leert en verder komt dan heeeeeeeeeeeeeeeeeeeeeeel veeeeeeeeeeeeeeeeel theorie doorlezen...

Maar toch goed dat je je probleem opgelost hebt!

Pagina: 1

Reageer