Windows Server 2016 Über AD Ordner mit Schreibschutz versehen

Hoerli

Ensign
Registriert
Nov. 2015
Beiträge
160
Hallo Forum, ich verzweifel langsam wieder an Microsoft.

Ich bin dabei, über ein Active Directory die Berechtigung und den Inhalt eines lokalen Ordners auf den Clients anzupassen.
Es gibt dazu duzende Anleitungen im Netz, die funktionieren aber nicht ganz zufriedenstellend.
Wir haben aktuell vor, einen Ornder von Google Chrome zu löschen und dann mit Schreibschutz zu erstellen.
Es geht mal (als Beispiel) um diesen Ordner:
C:\Users\BENUTZERNAME\AppData\Local\Google\Chrome\User Data\PepperFlash

Ich habe über das AD eine Policy angelegt, die den Ordner löscht und neu anlegt.
> Computerkonfiguration > Einstellungen > Windows-Einstellungen > Ordner
> Benutzerkonfiguration > Einstellungen > Windows-Einstellungen > Ordner
Der Ordner wird brav gelöscht und neu angelegt.
Doch beim Start von Chrome, löscht Chrome den Ordner ebenfalls wieder und legt ihn neu an.
Meine Vorgaben werden also wieder vernichtet, trotz aktiviertem Schreibschutz.

Also wollte ich die Ordnerberechtigung für den normalen Benutzer oder eine AD-Gruppe ändern.
So sollte der Nutzer ja nichts mehr tun dürfen.
> Computerkonfiguration > Richtlinien > Windows-Einstellungen > Dateisystem
-> Regel angelegt und den lokalen Diensten, sowie dem Benutzer alle Rechte entzogen.

Ergebnis: Chrome legt den Ordner einfach neu an und ignoriert meine Vorgaben.

=> Mein User hat keine lokalen Admin-Rechte
=> Chrome wird mit normalen User-Rechten gestartet
=> Die Regeln beinhalten den Ordnerpfad mit der Variable %UserProfile%, es sollte also mit jedem Nutzer klappen (hat Windows automatisch so gesetzt)

Was muss ich machen, um solch einen Ordner dauerhaft zu "sperren"?
Ich habe hier jetzt einmal das ganze mit Chrome vor, aber es wird noch andere Ordner geben, die ich auf diese weise ändern muss.
Entweder steh ich hier gerade komplett auf dem Schlauch, oder Windows macht wieder nicht das, was es soll.
 
benutzer haben normal automatisch vollzugriff auf C:\Users\BENUTZERNAME somit können programme da immer was ändern.
man müsste diesen ordner exzipiert für diesen Benutzer per NTFS-Sicherheit verweigern und die vererbung für diesen ordner ausschalten
 
Die GPO scheint ja zu funktionieren sonst würde der Order nicht gelöscht
Vermutlich
Hast du mal die effective permissions für den Order überprüft?
Versuch auch mal eine DENY ACL für einen Testuser vermutlich

1602063785229.png
 
Per Effektiver Berechtigung zeigt er mit an, das der Benutzer an sich volle Rechte hat, eine allgemeine AD-Gruppe aber nicht.
Da auch nach jedem Start von Chrome der Ordner neu angelegt wird, werden die Rechte auch immer wieder überschrieben. Daher bleibt nie das Verbot für den Nutzer vorhanden.
Ich habe per GPO auch z.B. für SYSTEM und den Ersteller-Besitzer alles verweigert, wird aber ignoriert.

Das mit ALC und der Vererbung schau ich mir mal an, wie ich das am einfachsten hin bekomme.
 
Versuch mal explizit ein Deny write für den User.
Ich würde es übrigens erst einmal manuell testen und wenn es funktioniert eine GPO daraus basteln
 
Zurück
Oben