ein an kein Netzwerk (außer Internet) angeschlossener PC unter Windows XPpro SP2 wird von mehreren Anwendern genutzt, für die ich jeweils ein eigenes Benutzerkonto angelegt habe. Vermeiden möchte ich vor allem Fehlbedienungen durch die Benutzer, wie z. B. unbeabsichtigtes Verschieben von Ordnern in andere Ordner (ist schon vorgekommen und hat ziemliches Chaos verursacht), versehentliches Löschen von Dateien etc. Darüberhinaus möchte ich den Anwendern allerdings erlauben, die angeschlossenen HDD-Partitionen selbst zu defragmentieren (mit Diskeeper), sich ins Internet einzuwählen (mit Online-Timer), Programme zu starten und im jeweiligen Eigene-Dateien-Ordner Dateien abzuspeichern.
Bisher habe ich dazu folgendes konfiguriert:
Unter „Ordneroptionen“ habe die „Einfache Dateifreigabe“ abgewählt.
Für beide Partitionen der Festplatte habe ich für alle User (außer für mich als Admin) die Zugriffe auf
„Lesen, Ausführen“,
„Ordnerinhalt auflisten“ und
„Lesen“
beschränkt (auf Ebene der Laufwerke bzw. Partitionen).
Das bisherige Ergebnis meiner administrativen Aktivitäten ist, daß die Anwender nun keine Dateien oder Ordner mehr verschieben oder löschen können, nur versagen ihnen nun einige Programme leider den Dienst. Wie bekomme ich es hin, daß sie weiterhin alle Programme starten, defragmentieren und Programm-Updates durchführen können, ohne ihnen zu viele Zugriffsrechte einräumen zu müssen?
Moin,
Meine liebste Lösung wäre , nimm Linux
Aber das wird wohl mal eben nix.
Also hab ich folgenden Vorschlag.
Weil die Programme selber gewisse Dateien Anlegen und Löschen ,innerhalb der Eigenen Dateien z.B. ,ist es nicht sinnvoll diesen zu sperren.
Die Aufwendige Methode wäre ein Backup der Eigenen Dateien auf eine Separate Partition. Chronologisch . Und sich um die rechte dort kümmern , auf unveränderlicheKit (P.S. MD5 Checksumme sich mailen).
Also Archive Funktionen.
Ist die Frage in welchem Rhythmus . 1 Minute, 10 Minuten , 1 Stunde.
Und wann kommen alte Backups wohin ?
Gute Systeme schauen nur nach veränderten Dateien und machen parziale Backups, die man quasi in jede Phase zurückspielen kann. Es wird also nicht immer ein komplettes Abbild gemacht.
Ich weiss nicht wie weit das mit Windows Bordmitteln geht.
Fazit : Eine Sicherung per Intervall auf einen gesperrten Bereich. Ansonsten werden wohl immerwieder Programme etwas zu selbständig agieren.
Unter „Ordneroptionen“ habe die „Einfache Dateifreigabe“
abgewählt.
sehr gut
Für beide Partitionen der Festplatte habe ich für alle User
(außer für mich als Admin) die Zugriffe auf
„Lesen, Ausführen“,
„Ordnerinhalt auflisten“ und
„Lesen“
beschränkt (auf Ebene der Laufwerke bzw. Partitionen).
ups, das ist zu viel des Guten. Gerade die C: Partition mit den Ordnern Dokumente und Einstellungen, Programme und Windows benötigt auch Schreibrechte.
Wie bekomme ich es hin, daß sie
weiterhin alle Programme starten, defragmentieren und
Programm-Updates durchführen können, ohne ihnen zu viele
Zugriffsrechte einräumen zu müssen?
tja, da ist Finetuning angesagt: d.h. pro Ordner mußt du individuelle Rechte vergeben.
Das bisherige Ergebnis meiner administrativen Aktivitäten ist,
daß die Anwender nun keine Dateien oder Ordner mehr
verschieben oder löschen können, nur versagen ihnen nun einige
Programme leider den Dienst. Wie bekomme ich es hin, daß sie
weiterhin alle Programme starten, defragmentieren und
Programm-Updates durchführen können, ohne ihnen zu viele
Zugriffsrechte einräumen zu müssen?
Es wäre hilfreich, zu wissen, welche Programm-Funktionen versagen.
Zunächst mal könntest Du die Freigaben mittels Sicherheit>Erweitert>Effektive Berechtigungen präzisieren.
Wenn für bestimmte Anwendungen weitergehende Berechtigungen erforderlich sind, solltest Du nicht nur nach Benutzern, sondern auch nach Pfadnamen differenzieren. Dazu zunächst die geringste Freigabeebene auf alle Dateien vererben und dann in den tieferen Verzeichnissen die Freigabe erhöhen.
Die Aufwendige Methode wäre ein Backup der Eigenen Dateien auf
eine Separate Partition. Chronologisch . Und sich um die
rechte dort kümmern , auf unveränderlicheKit (P.S. MD5
Checksumme sich mailen).
Hallo Sascha, hab Dank für Deine Antwort. Ist vielleicht eine gute Idee mit automatisierten Backups dieses Ordners. Mein Problem ist nur, daß ich den Usern zum Ausführen von Programmen offenbar so viele Schreibrechte einräumen muß, daß sie auch in ANDEREN Ordnern dann Ordner verschieben oder Dateien löschen können.
ups, das ist zu viel des Guten. Gerade die C: Partition mit
den Ordnern Dokumente und Einstellungen, Programme und Windows
benötigt auch Schreibrechte.
ist das nicht durch die dem System zugestandenen globalen Rechte abgegolten? Zumindest dachte ich bisher so.
Es wäre hilfreich, zu wissen, welche Programm-Funktionen
versagen.
Diskeeper verweigert dem „einfachen User“ den Dienst mit der Bemerkung, man müsse als Administrator angemeldet sein, um das Prog nutzen zu können…
Dagegen hülfe ja quasi nur, die User in die Gruppe „Administratoren“ aufzunehmen und dann dieser Gruppe die Zugriffsrechte zu beschränken. Doof ist bloß, daß mein eigener Account ebenfalls dazugehört und ich mir dann quasi selbst das Wasser abgrabe. Nachher bin ich plötzlich selbst nur noch limitierter User und habe keinen Vollzugriff mehr auf den Rechner. Das wäre mehr als peinlich Oder gibt es da Abhilfe? Kann ich z. B. Administrator sein ohne zur Gruppe der „Administratoren“ gehören zu müssen?
Das Internet-Einwahlprogramm „Online-Timer“ gibt eine Fehlermeldung und schließt sich sofort wieder.
Zunächst mal könntest Du die Freigaben mittels
Sicherheit>Erweitert>Effektive Berechtigungen
präzisieren.
Ja, das habe ich gesehen. Das muß ich dann offenbar für jeden Ordner speziell festlegen.
Wenn für bestimmte Anwendungen weitergehende Berechtigungen
erforderlich sind, solltest Du nicht nur nach Benutzern,
sondern auch nach Pfadnamen differenzieren. Dazu zunächst die
geringste Freigabeebene auf alle Dateien vererben und dann in
den tieferen Verzeichnissen die Freigabe erhöhen.
Ich würde ja auch lieber Linux nehmen.
Gruppe Programme einrichten , da kommen die User der Programme rein , z.b. ftpuserprg httpuserprg . Manche Programme muss man vielleicht mappen auf den ProgramUser damit sie nicht mit UserUser gestartet werden. Dann bekommt der Ordner schreib ausführen lese rechte für die Gruppe Programme und nur Lesen fur Other.
Auch einige Arbeit zu tun.
Dann Ist z.b. /home (Eigene Dateien) als Programmgruppe mit schreibrechten und ausführbar angelegt nutzbar. User können aber nur lesen.
Der Hacken, wer mit einem Programm das was er erstellt auch löscht, der hat es gelöscht (wenn es nicht im Papierkorb landet).
[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]
ein an kein Netzwerk (außer Internet) angeschlossener PC
Aha! Deshalb auch unter „Netzwerke“ gepostet… SCNR
Zur Sache:
Vergiss das mit dem Diskeeper. Das ist unter NTFS sowieso überflüssig und den normalen Usern würde ich es schon gleich garnicht erlauben.
Für die anderen Probleme lade Dir von Sysinternals die Programme filemon und regmon herunter und lasse aufzeichnen, was die fraglichen Programme eigentlich „tun“ wollen - und nicht dürfen. Dann kannst Du einzeln die entsprechenden Rechte in Verzeichnissen und Registryzweigen vergeben.
ist das nicht durch die dem System zugestandenen globalen
Rechte abgegolten? Zumindest dachte ich bisher so.
nicht wenn du auf oberster Ebene = C: die globelen Rechte veränderst. Durch Vererbung werden auch alle daruter liegenden Ordner und Dateien mit geändert.
Kann ich z. B. Administrator sein ohne zur Gruppe der
„Administratoren“ gehören zu müssen?
Da bin ich überfragt. Ich bin mir aber relativ sicher, dass Du mit aktivem Vollzugriff automatisch in der Gruppe bist. Evtl. klappt es, wenn man in den Effektiven Berechtigungen alle Häkchen außer Vollzugriff aktiviert. Schließlich hat man dann auch „Vollzugriff“.
Das Internet-Einwahlprogramm „Online-Timer“ gibt eine
Fehlermeldung und schließt sich sofort wieder.
Ich schließe mal aus dem Namen, dass es auch die Online-Zeit misst. Dafür versucht es dann wohl eine Log-Datei zu schreiben. Die sind meist in einem „Anwendungsdaten“-Ordner zu finden, bei dem Programmtyp wohl unter „all users“ (weil Internet ja für alle was kostet).
Wenn für bestimmte Anwendungen weitergehende Berechtigungen
erforderlich sind, solltest Du nicht nur nach Benutzern,
sondern auch nach Pfadnamen differenzieren. Dazu zunächst die
geringste Freigabeebene auf alle Dateien vererben und dann in
den tieferen Verzeichnissen die Freigabe erhöhen.
Das ist sicher ein guter Tip!
Verfluch mich aber nicht, wenn das vererben ein Weilchen dauert. Bei meinen 30GB Software ärgere ich mich schon mal ein paar Minuten, wenn ich mich verklickt hab.
Oder gibt es da Abhilfe? Kann ich z. B. Administrator sein ohne zur Gruppe der „Administratoren“ gehören zu müssen?