Hallo,
ich habe bei uns mal die Zugriffsrechte auf Freigaben überprüft und dabei festgestellt, dass jeder auf sysvol/netlogon Vollzugiff hat?
Das kann ja wohl nicht sein !!!
Welche Rechte müssen für wen wie gesetzt werden?
Gibt´s Empfehlungen, Richtlinien hierzu?
danke für eure Infos
ich habe bei uns mal die Zugriffsrechte auf Freigaben
überprüft und dabei festgestellt, dass jeder auf
sysvol/netlogon Vollzugiff hat?
Das kann ja wohl nicht sein !!!
Das ist schon in Ordnung so. Tatsächlich ist nur Lesezugriff möglich. Du kannst es ja einfach mal ausprobieren, indem du dich als unprivilegierter User zu dieser Freigabe verbindest und versuchst, Daten zu ändern, löschen oder neue Dateien anzulegen. Es wird dir nicht gelingen.
Auch wenn es sich im Explorer anders darstellt, liegen in sysvol nicht einfach Verzeichnisse und Dateien, sondern eine ‚junction‘ (zu erkennen in der Ausgabe des dir-Befehls). Was du in der Freigabe siehst, sind tatsächlich also nur Hardlinks auf die eigentlichen Dateien, die in dem der sysvol-Freigabe übergeordneten Verzeichnis SYSVOL liegen. Nur die dort vergebenen Berechtigungen zählen tatsächlich.
Gruss
Schorsch
Danke Schorsch,
… es ist tatsächlich so, dass der user nichts ändern kann 
Kann ich aber das Verzeichnis vor dem User verstecken?
Er soll eigentlich die Scripts nicht sehen oder ggf. kopieren
können.
Gruß
Wolfgang
[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]
Kann ich aber das Verzeichnis vor dem User verstecken?
Er soll eigentlich die Scripts nicht sehen oder ggf. kopieren
können.
Nein. Das würde bedeuten, dass der Anwender (bzw. sein Rechner) überhaupt keinen Zugriff mehr auf die sysvol-Freigabe hätte. Die Scripts würden also nicht ausgeführt werden, was nicht unbedingt schmerzlich wäre. sysvol beinhaltet aber auch sämtliche Gruppenrichtlinien, und diese zu verstecken hiesse ActiveDirectory nachhaltig zu kastrieren.
Tatsächlich können unvorsichtige administrative Handlungen im sysvol-Zweig katastrophale Auswirkungen auf die Integrität einer ADS-Domäne nach sich ziehen, hier solltest du ausschliesslich mit den explizit für diese Zwecke vorgesehenen administrativen Werkzeugen arbeiten.
Gruss
Schorsch