Standardfreigabe aufheben (Benutzer, CertEnroll, etc...)

[Cosmose]

Moin,

Betreibe den 2012E ganz frisch und möchte ihn als File-/Medienserver verwenden. Ich nutze die Clients (Windows 7) OHNE Domäne (per bekanntem Workaround).
Ich wollte jetzt anfangen, für einzelne Familienmitglieder und Freunde Benutzer anzulegen, damit diese bspw. auf Musik oder Filme zugreifen können.
Hierzu habe ich einen Testbenutzer im Dashboard angelegt. Nach Login mit diesem Benutzer über \\Serverip sehe ich alle selbst getätigten Freigaben (auch solche, für die der Nutzer keinerlei Rechte hat) und die Standardfreigaben, bei denen der Nutzer erschreckend viel Rechte hat.

a) Wieso kann der Testbenutzer Ordner sehen, auf die er eh nicht zugreifen darf?
b) Freigegebene Standardordner sind:
Benutzer - Hierin kann der Testnutzer alle bisher bestehenden angelegten Nutzernamen als Ordnernamen sehen, u.a. auch den Namen des Haupt-Administratorkontos. Das kann doch so nicht gewollt sein oder?
netlogon - Zugriff möglich, Ordner leer
sysvol - Zugriff möglich, Ordner enthält: policies/scripts
CertEnroll - Zugriff möglich, Ordner enthält: Zertifikate
Ordnerumleitung - Zugriff möglich, Ordner leer
Sicherung von Dateiversionsverläufen - Zugriff möglich, Ordner leer

Wenn ich im Dashboard den Nutzer auswähle und seine Freigaben bearbeiten möchte, erscheinen diese Ordner gar nicht.
Lassen sich diese Freigaben unterbinden? Ich bin kein Netzwerkexperte, halte einige dieser Freigaben aber für kritisch.

Danke im Voraus
Cosi

[marol.68]

Hallo,

du findest diese Einstellung im Server- Manager.
In der Übersicht links findest du den Punkt "Datei-/ und Speicherdienste"
Nach klick darauf kommt der Unterpunkt "Freigaben"
Hier kannst du mit der rechten Maustaste auf den Ordner klicken, den du nur für die User sichtbar machen möchtest, die Berechtigungen haben.
Klicke dann auf "Eigenschaften" und dann auf "Einstellungen".
Hier musst du das Häkchen bei "Zugriffsbasierte Aufzählung aktivieren" setzen.

Dann ist dieser Ordner nur für die User sichtbar, die auch Berechtigungen haben.

Hoffe du kommst klar mit der Anleitung

Grüße

Martin

[Cosmose]

Hallo Martin,

Danke für deine fixe Antwort!
Sie hat mich teilweise weitergebracht: Im Ordner "Benutzer" wird jetzt nur noch der Ordner des eingeloggten Benutzers gezeigt. Das ist schonmal super!

Obwohl ich die Änderung für alle angesprochenen Ordner übernommen habe, werden diese weiterhin angezeigt. (D.h. CertEnroll, Clientsicherungen, etc...) Teilweise kann man in die Ordner sogar rein, obwohl diese rechte nicht explizit von mir vergeben wurden.

Weißt du da noch Näheres?

[Domii666]

Würde mich auch intressieren.

Gruß Domi

[Roland M.]

Hallo!

a) Wieso kann der Testbenutzer Ordner sehen, auf die er eh nicht zugreifen darf?

Weil das bei Microsoft seit ca. Windows NT so Standard ist.
Ja, ist keine schöne Antwort, aber entspricht den Tatsachen.

b) Freigegebene Standardordner sind:
Benutzer - Hierin kann der Testnutzer alle bisher bestehenden angelegten Nutzernamen als Ordnernamen sehen, u.a. auch den Namen des Haupt-Administratorkontos. Das kann doch so nicht gewollt sein oder?

Gegenfrage: Warum nicht? Was stört dich daran?

netlogon - Zugriff möglich, Ordner leer

Relikt aus Urzeiten, es lebe die Kompatibilität.
Und nein, ich würde es nicht riskieren, diese Freigabe zu löschen...

sysvol - Zugriff möglich, Ordner enthält: policies/scripts
CertEnroll - Zugriff möglich, Ordner enthält: Zertifikate
Ordnerumleitung - Zugriff möglich, Ordner leer
Sicherung von Dateiversionsverläufen - Zugriff möglich, Ordner leer

Tja, da behaupte ich einfach einmal, das sind Ordner, die für den ordnungsgemäßen Betrieb einfach notwendig sind.
Wie soll beispielweise ein Benutzer/Client ein Zertifikat bekommen, wenn er keinen Zugriff hat?

Wenn ich im Dashboard den Nutzer auswähle und seine Freigaben bearbeiten möchte, erscheinen diese Ordner gar nicht.

Weil man an Standardfreigaben nicht schrauben sollte?

Lassen sich diese Freigaben unterbinden?

Wenn du den Server neu aufsetzen willst, kannst du diese Freigaben ja gerne löschen!

Ich bin kein Netzwerkexperte, halte einige dieser Freigaben aber für kritisch.

Als Experte will ich mich trotz rund 20 Jahren Berufserfahrung auf PC-Netzwerken nicht nennen, ich sehe das aber nicht als kritisch an.
Probleme gab es immer dann, wenn "Administratoren" (aka Kunden) gescheiter sein wollten als Microsoft.


Roland

[cybermann]

Gehen tut das schon das man die Ordner aus blendet auf den der Benutzer kein zugriff haben soll.
Ich habe das aber nur für den Benutzer gemacht den ich für meine WD live Benutze.Das wird offentlich keine so große auswirkungen haben.

[heissm]

Wenn ich mich richtig erinnere bekommt man eine Warnung wenn man versucht die Standardfreigaben (CertEnroll,...) zu beenden. Laut dieser Warnung werden diese zwingen für den Betrieb des Servers benötigt. Ich habe allerdings nicht versucht was wirklich passiert wenn sie nicht mehr da sind ....