[2003] Toegang map zwervende profielen* - Serversoftware en clouddiensten

donderdag 20 november 2008 19:09

Acties:

Verwijderd

Topicstarter

L.s.
Ik heb een map op de server waarin alle zwervende profielen staan (win 2003 server). De naam van de map is met een $ onzichtbaar gemaakt maar handige leerlingen weten de map met de naam profielen$ toch te vinden vanaf de werkstations (win xp). Ze maken gewoon een nieuwe snelkoppeling vanaf het bureaublad en hebben dan toegang tot alle bestanden van iedere gebruiker.
Ik krijg de rechten op de map waar deze profielen instaan niet goed ingesteld. M.a.w. het is altijd mogelijk om te lezen of anders krijg ik de profielen er niet meer in!
Waar moet ik nu de oplossing zoeken: Een share maken met een naam die moeilijk te raden is, met de policy editor gaan klooien of kan ik de rechten zo instellen dat het systeem de map gebruikt om de profielen weg teschrijven zonder dat iedereen maar in rond kan vogelen?

Holtere

donderdag 20 november 2008 19:11

Acties:

asfaloth_arwen

Kijk hier even: [Windows200X] Howto:Roaming profiles, redirection & policies

Tip gebruik Engelse benamingen, dat levert veel meer resultaten op met zoek acties

Verder, geen share proberen te beveiligen met een rare naam (security through obscurity), maar gewoon de rechten juist instellen

[ Voor 26% gewijzigd door asfaloth_arwen op 20-11-2008 19:12 ]

Specs

vrijdag 21 november 2008 14:24

Acties:

Aikon

Hier staan al de benodigde rechten:
http://technet.microsoft.com/en-us/library/cc737633.aspx

Zoeken op roaming profile permissions.

Er zijn trouwens zat tooltjes om alle gedeelde mappen (inclusief zogenaamde verborgen mappen met $) te indexeren binnen enkele minuten. Totale flauwekul beveiliging dus om met gekke namen te werken.

Sowieso is het al handig als je leerlingen in een aparte groep dumpt en deze vervolgens geen rechten geeft op bijv. de leraren profielen. Dat scheelt al flink en is bijzonder simpel.

[ Voor 21% gewijzigd door Aikon op 21-11-2008 14:26 ]

vrijdag 21 november 2008 14:30

Acties:

KingEd

op Windows 2003 kun je dit tooltje gebruiken (gratis te downloaden bij MS): ABE (Access based enumeration). Hiermee kun je binnen shares de folders waar je als (ingelogde) gebruiker geen rechten op hebt ook niet zien (a la Novell).

vrijdag 21 november 2008 15:00

Acties:

sanfranjake

Computers can do that?

KingEd schreef op vrijdag 21 november 2008 @ 14:30:
op Windows 2003 kun je dit tooltje gebruiken (gratis te downloaden bij MS): ABE (Access based enumeration). Hiermee kun je binnen shares de folders waar je als (ingelogde) gebruiker geen rechten op hebt ook niet zien (a la Novell).

Maar dan moet je eerst wel de rechten goedzetten zoals in de post boven je, anders heeft dat natuurlijk nog geen zin

Opzich is het verder voor een school wel een goed idee, want ABE wordt in tegenstelling tot $-shares serverside afgehandeld (let op! kan wel hoge load genereren)....

[ Voor 15% gewijzigd door sanfranjake op 21-11-2008 15:00 ]

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters

vrijdag 21 november 2008 15:31

Acties:

Verwijderd

Beste dat je kan doen is :

1) In je gpo bij folder redirection de optie "grant user exclusive rights to this folder" laten aangevinkt staan (zou normaal standaard zo zijn).
2) De my documents redirecten naar je hidden share (of andere user map)
3) nu zul je wel krijgen dat je als administrator ook niet meer in de map van die gebruiker kan. Beste is hiervoor:
- Ipv de folder door het systeem te laten aanmaken als administrator de map zelf aanmaken
- Inloggen met de gebruiker en security options van de map editen zodat ook de administrators toegang (mss zelf full control?) krijgen op de map

vrijdag 21 november 2008 15:36

Acties:

2bmws

Ik heb hier de leerlingen in een aparte beveiligingsgroep staan en als je die groep nu gewoon op deny access zet is het toch ok?

ik neem tenminste aan dat de leerlingen profielen in een andere map opgeslagen staan, hier wel iig?!

Time is an illusion, Lunchtime doubly so

zaterdag 22 november 2008 10:30

Acties:

Verwijderd

Topicstarter

bedankt voor de tips en aanwijzigingen. Ik ga er volgende week weer mee verder experimenteren.
Het is wel zo dat het complete profiel van de gebruikers in dezelfde map staat, dus ook "my documents". De hoeveelheid eigen bestanden is nooit zo groot, ook niet omvangrijk. Er zijn ook hoogstens vijftig gebruikers, het leek me daarom niet nodig?

Met dank,
Holtere

zaterdag 22 november 2008 10:43

Acties:

alt-92

ye olde farte

Verwijderd schreef op vrijdag 21 november 2008 @ 15:31:

- Inloggen met de gebruiker en security options van de map editen zodat ook de administrators toegang (mss zelf full control?) krijgen op de map

Er is ook een GPO optie om dat automatisch te doen, maar die moet dan ook aangezet worden voor de werkstations van waaraf de profielen worden aangemaakt (het werkstation beheert namelijk het aanmaakproces van de folders).

Voordat je dat doet, twee punten:
1) dat werkt alleen voor nieuw aan te maken profielen, het is dus geen achteraf instelbare optie.
2) vergewis je ervan dat je beheerders ook privacy-technisch bij die folders mogen voordat je dat aanzet. Het zijn namelijk prive-documenten van je gebruikers, en afhankelijk van je organisatie kunnen daar afspraken over gemaakt zijn.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

maandag 24 november 2008 16:25

Acties:

2bmws

Verwijderd schreef op zaterdag 22 november 2008 @ 10:30:
bedankt voor de tips en aanwijzigingen. Ik ga er volgende week weer mee verder experimenteren.
Het is wel zo dat het complete profiel van de gebruikers in dezelfde map staat, dus ook "my documents". De hoeveelheid eigen bestanden is nooit zo groot, ook niet omvangrijk. Er zijn ook hoogstens vijftig gebruikers, het leek me daarom niet nodig?

Met dank,
Holtere

Je kan ook de my documents dmv een policy op een andere netwerkshare zetten (bv. de fileserver)
scheelt ook weer in de laad tijd van het profiel.

Time is an illusion, Lunchtime doubly so