[XP] Kan niet bij beveiligings-instellingen van schijf komen

De situatie:
Ik ben systeembeheerder op een basisschool, en ik heb de opdracht gekregen een server en clients te configureren, zodat de hele netwerkomgeving vernieuwd wordt. Even een lijstje:
- Het is een windows 2003 enterprise edition server, met AD en domein draaiend en werkend.
- De test client is windows XP pro met SP2 en NTFS.
- Inloggen en roaming profiles gaat allemaal goed.
- Het beveiligen van mappen op de client en over het netwerk gaat goed. Ik kan dus per map instellen welke gebruikers/groepen bepaalde rechten hebben.
- Ik heb de 'simpel delen en beveiliging' optie in de mapopties uitstaan.
- Ik heb nog geen groepsbeleiden aangemaakt of toegepast.

De aanloop:
Ik moet een hoop educatieve software installeren, waaronder wat softwarepakketten van Edurom. Sommigen hiervan draaiden alleen onder administrator accounts, maar niet onder leerling accounts. Het programma gaf ook een 'File/Path access fout', dus ik concludeer dat het programma ergens heen probeert te schrijven, waar de gebruiker geen rechten voor heeft.

Het programma weigert echt te werken, wat mij in wanhoop drijft om alle mappen en bestanden op de harde schijf volledige controle te geven aan de 'Iedereen' groep. Nu heb ik dit per map die direct onder C:\ staat gedaan, en bij geavanceerde opties van de beveiligings instellingen geselecteerd, dat alle machtigingen voor onderliggende objecten overschreven moeten worden. Alle mappen, submappen en bestanden kunnen nu gewijzigd/verwijdert/aangepast worden door iedereen (Ik weet het: het is heel slecht, maar de beveiliging kan weer aangescherpt worden als het programma werkt).

Het probleem:
Nu kwam ik er echter toch achter, dat ik geen bestanden/mappen aan kon maken of wijzigen direct onder C:\. Dit is de enige locatie waar het programma mogelijkerwijs probeert wat weg te schrijven, waar het niet bij mag. Ik denk dus: 'Geen probleem, even de beveiligings-instellingen van de C-schijf zelf veranderen'. Echter, als ik dat wil doen, staat de hele optie met delen en beveiligen niet in het rechtermuistoetsmenu(Hmm, scrabble ) van de C-schijf. Ook in de eigenschappen van de schijf is het tabblad beveiliging nergens te vinden.

Omdat het programma wel op een ander netwerk draait, en het ook onder de admin accounts draait, is het enigste wat ik kan verzinnen om read/write access te geven op de C-schijf, maar zonder dat menu lukt het niet. Waarom laat windows XP mij dat menu niet zien?

mutsje schreef op woensdag 08 december 2004 @ 11:56:
Kijk welke extra policy/restrictie jij vanaf het domain krijgt want ik kan hier in een domain gewoon als local admin bij de security options van de C schijf kijken.

Als ik met gpresult kijk, zag ik dat er nog een lokaal groepsbeleid toegepast werd op de gebruiker. Hier heb ik wel wat wijzigingen in gemaakt, maar niets wat dit zou moeten veroorzaken. Voor de zekerheid heb ik in de eigenschappen van het lokaal groepsbeleid aangevinkt dat hij niet de computer en ook niet de gebruikersinstellingen ervan moet toepassen.

Er wordt nu dus echt geen enkel beleid meer toegepast, niet op de lokale admin, maar ook niet op de domain admin. Ik heb ook de Panda Antivirus protectie uitgezet, om er zeker van te zijn dat die niks uithaalt.

Edit: Zelfs met de netwerkkabel eruit getrokken, gereboot en als local admin ingelogd, kan ik nog steeds niet bij de security opties van de schijf. Ik kan de schijf trouwens ook niet delen, dat was ik nog vergeten te vermelden in de startpost.

[ Voor 13% gewijzigd door Verwijderd op 08-12-2004 12:35 ]

mutsje schreef op woensdag 08 december 2004 @ 13:53:
computer policies kunnen 1 x applied altijd doorblijven werken. In theory zouden deze eraf moeten zijn als je reboot maar in praktijk gebeurd dit niet altijd.

Waar in de GPO zou dan gedifineerd kunnen staan dat niemand de machtigingen van het C: station aan zou mogen passen? De 2 cd drives die erin zitten, en de floppydrive kan ik ook niet delen en beveiligen. Ik heb op de client trouwens nog nooit een computer policy applied gehad, alleen user policies. Daar stonden alleen opties in wat te doen met bepaalde e-mail attachments. Ik zal morgen gpresult /Z een keer uitvoeren, om te kijken of er werkelijk geen registersleutels aangepast zijn.

Is er misschien een mogelijkheid of command om de huidig toegepaste GPO's, zichtbaar of niet een schop onder de kont te geven, zodat de nieuwe GPO's overgenomen worden. Gpupdate /force gebruik ik hier meestal voor, maar ik heb geen idee of dit ook opschoont wat jij bedoeld.

h.edink schreef op woensdag 08 december 2004 @ 22:09:
Oplossing voor het probleem met file-access(dus niet op je vraag)
Symantec heeft twee programma's(filemon en regmon) die bijhouden welke keys resp. bestanden er worden geraadpleegd, je kunt vaak met deze programma's precies bepalen welk bestand/key write access moet hebben onder alle accounten, zodat het programma opstart, meestal zit deze in zijn eigen program map.

Bedankt voor je reactie. Alhoewel ik zelf al getest had op een client in het huidige netwerk of er een bestand aangemaakt werd direct onder C:\ (en dat is ook zo), lijken mij deze programma's erg handig. Dit zal een hoop gezoek voorkomen, thx .

akimosan schreef op donderdag 09 december 2004 @ 19:23:
Een beetje buiten de disucssie maar permissions voor NTFS aanpassen kan natuurlijk ook nog altijd met het commando CACLS vanaf een prompt in plaats van met de GUI

Geweldig! Ik wist niet dat er ook een command line tool was om user rights te veranderen, maar dit werkt dus gewoon . Het werkt alleen wat ongemakkelijk, maar het moet maar.

sanfranjake schreef op vrijdag 10 december 2004 @ 12:11:
[...]

Krijg je als je de rechten van "Administrators" op de C: root aanvult met full control het schermpje in Windows wel weer?

Nee, dat krijg ik niet meer te zien. De administrators hadden trouwens al full control over C:\ kon ik zien, ik had echter ook r/w access nodig voor mijn normale gebruikers. Als de administrators geen full control rechten hadden gehad op de C-schijf, had ik ze waarschijnlijk ook nooit meer full control kunnen geven .

Ik kan dus niet meer security instellen met de GUI, dat zal wel een volledige reïnstall vereisen. Misschien bel ik Microsoft nog wel een keer, alhoewel ik zo'n vaag vermoeden heb dat zij ook niet weten wat er aan de hand is.