Diskettenlaufwerk für Benutzer sperren

[truman]

Hallo,

ich brauch mal wieder eure Hilfe. Ich habe einen PC (WIN2000). Da gibt es einen Admin und ein paar Benutzer. Jetzt möchte ich, dass einige von den Benutzern das Diskettenlaufwerk nicht benutzten können. Geht das ?

Grüße
Truman

[SeeSite]

Was hälst Du von der Lösung in dem Du in dem Login Script unter Adminrechte eine Gruppe abfragst. Wenn der Benutzer in der entsprechenden Gruppe ist wird Ihm der Komplette Mountpoint genommen

MOUNTVOL A: /D

Dann hat der Anwender keine Möglichkeit mehr auf das Diskettenlaufwerk zuzugreifen.

Im Gegenzum musst Du natürlich auch den anderen das Laufwerk wieder z.V. stellen

MOUNTVOL A: \\?\Volume{a97f0842-e80a-11d6-ab78-806d6172696f}\

!!HINWIES!! Das muss man als Admin (RunAs) machen oder einen SuperUserDaemon installieren!

Gruß
SeeSite

[truman]

Hallo,
vielen Dank für die schnelle Antwort. Wenn ich ehrlich bin dann hab ich das mit dem mounten nicht ganz verstanden. Das kenn ich eigentlich nur von Linux.

Mir wurde geraten das adminpak von 2000 Server zu installieren. Unter Verwaltung soll das angeblich irgendwo gehen.

Hab auch schon ein extra Tool gefunden: Device Lock. Das ist allerdings nicht kostenlos und es wäre nicht sinnvoll sich das zu kaufen wenn Win diese Funktion mitbringt.

[SeeSite]

Eben drum

Tippe doch einfach mal als Admin die genannten Befehle ein und Du wirst sehen, das W2K nun auch so etwas wie Mounten kann

Es gibt viele Tools die es ermöglichen, das Diskettenlaufwerk zu sperren. DeviceLock ist jedoch etwas übertrieben, da es sich hier nicht nur um ein Tools handelt, dass Diskettenlaufwerke sperrt, sondern es kann CD-Laufwerke, LPTs und COMs sperren und das auch noch über eine RemoteAdminConsole. Daher ist es auch nicht Kostenlos, aber in einer große ADS oder Domainstruktur ein tolles Tool

Man kann auch das Gerät stoppen doch all dieses (Auch mein bescheidener Tipp braucht Adminrechte!).

Ich benutze auf jedem Client (NT4 und W2K) einen SuperUserDaemon, der es ermöglich authetifizierte Tasks (Programme) zu starten unter einem von mir definierten Account, wobei das Passwort mit 128Bit verschlüsselt ist und nicht ausgelesen werden kann

"SUD/SU package
--------------
Version 3.02

Didier CASSEREAU - Laboratoire Ondes et Acoustique, ESPCI
10 rue Vauquelin, 75005 PARIS, FRANCE
E-mail : Didier.Cassereau@espci.fr"

Ist aber FreeWare

[truman]

Hallo nochmal,

also, das mit dem mounten ist eigentlich ne super Sache. Jetzt hab ich leider nur ein paar Probleme:

1) Ich habe mir mitlerweile mein Disketten- sowie mein CD-ROM-Laufwerk weg gemounted (?). Wie bekomme ich die wieder zurück? (Ich weiß, ich weiß **lol**)

2) Wie mache ich das ganze jetzt anwenderfreundlich ? Sprich, wenn sich der eine User anmeldet soll das Lfw. da sein, bei einem anderen User wieder nicht. Einfach eine .bat schreiben ? Aber wenn ich die in den Autostart lege, dann kann der User die ja selbst wieder raus nehmen.

[SeeSite]

1.) Einfach unter der Cmd Shell mal MOUNTVOL eingeben, dort wird dann W2K alle z.V. stehenden MountPoint anzeigen. Auch das DL und das CDLW

Nun eingeben MOUNTVOL A: ........
oder MOUNTVOL Z: .........

2) Das mit dem Mounten kannst Du ja auf dem Server als Loginscript mit KIX32 unter dem verzeichnis NETLOGON auf dem Server anlegen. Dann noch schnell bei alles Benutzern ein Loinscript vergeben und zwei Gruppen angelegt (CD_Laufwerk) und K_CD:Laufwerk) oder so ähnlich

Das fragst Du dann im Loginscript ab, in welcher Gruppe der jeweilige Anwender nun ist und dann eben entsprechen Mount oder löschen


Das geht aber nur, wenn Du diese RunAs Service nutzt, da es der normale Anwender nicht kann, das Mounten!!!!!

Gruß
SeeSite

[reipu]

warum in der Systemsteuerung nicht deaktivieren (kann dann nur der Admin wieder aktivieren), mach ich so bei uns in der Produktion (+ CD)

[truman]

@SeeSite
Ich hab meine Lfw. wieder zurück, danke. Ich wusste nicht, dass Win hier zwischen Groß und Kleinschreibung unterscheidet.
Die Idee mit dem Server ist nicht schlecht, hab nur leider keinen. Es geht sich hier ja nur lokal um einen Rechner der von mehreren benutzt wird.

@reipu
Die Idee ist auch gut, nur so kann dann leider keiner der User die Lfw. nutzen.

Ich werde wohl bei der Lösung mit DeviceLock bleiben. Das funzt recht gut und so teuer ist es auch nicht.

Ich habe aber noch ein paar andere Vorschläge erhalten und würde gerne wissen, was ihr davon haltet:

1) Ich solle einfach das adminpak von 2000Server installieren und die Einstellung in den lokalen Sicherheitsrichtlinien vornehmen. Ich konnte da nur leider nichts finden.

2) Start--> Ausführen --> Poledit
Da solls auch angeblich gehen, doch da habe ich auch nichts finden können.

Was sagt ihr dazu?

Thx
Truman

[Marze]

Poledit is nich Bestandteil des "normalen" W2k. Aber sicher wuerde es auch gehen. Nur musst Du Dich dann in die Welt der ADM's reinfitzeln

So der Vorschlag von SeeSite passt, dann verwende ihn doch. Alles andre is reine Kosmetik un Deine Sache.

[StOniE]

gib dem Benutzer Adminrechte und starte gpedit.msc auf der Lokalen Station, gehe auf
+Benutzerkonfiguration
.+Administrative Vorlagen
..+Windows-Komponenten
...+Windows Explorer
....-Zugriff auf Laufwerke vom Arbeitsplatz nicht zulassen
....-Diese angegebenen Datenträger im Fenster "Arbeitsplatz" ausblenden

Erklärung:
==============================================
Verhindert, dass Benutzer in Arbeitsplatz auf den Inhalt ausgewählter Laufwerke zugreifen.

Durch Aktivieren dieser Richtlinie, können Benutzer den Inhalt ausgewählter Laufwerke in Arbeitsplatz, Windows Explorer oder Netzwerkumgebung nicht einsehen. Außerdem können Benutzer nicht die Dialogfelder "Ausführen" oder "Netzlaufwerk verbinden" verwenden oder den Befehl "dir" ausführen, um Verzeichnisse auf diesen Laufwerken anzuzeigen.
==============================================

danach dem User wieder die Adminrechte nehmen.

oder aber in der Kommandozeile im Dosfenster:
runas /user:Computername\administrator "mmc c:\winnt\system32\gpedit.msc"
eingeben, die Frage nach dem Administratorpasswort richtig beantworten und dann in Gpedit.msc die Einstellungen vornehmen (und wieder schließen). Als Administrator Einloggen und gpedit starten bringt nichts, da Gpedit diese Einstellung um Profil des angemeldeten Benutzer ausführen muss.

Dasselbe geht auch auf dem Domaincontroller ohne zu der besagten Workstation hinzugehen. (user Markieren und Gruppenrichtlinie nur fuer den User einstellen (nicht für die gesamte Domäne!!!))