Benutzerrechte

[DocMagic]

Hallo zusammen,

ich habe ein Frage zu den Benutzer und/oder Consolenrechten:


Auf den Client PCs erfolgt der Zugriff auf die Console ohne Angabe eines Benutzernamens, nur mit Angabe eines Passworts (das des WHS Administrators...). Kann man das ändern? Oder kann man auf den Client PC's den Zugriff auf die Console von der Zugehörigkeit zu einer Gruppe abhängig machen (z.B. wenn Benutzer auf Client PC in Gruppe Administratoren dann erscheint das Icon für den Consolenzugriff, ansonsten nicht...)

Kann ich auf der WHS einen Benutzer einrichten der ausschließlich das Recht hat von Client Seite backups zu machen und sonst garnichts?

Gruß


Peter

[larry]

In die Konsole kommt nur der Admin. Das dürfte nicht änderbar sein.

Um einen Client zu sichern, muss der angemeldete User nicht als Benutzer im WHS angelegt sein. Somit benötigt der aktuell angemeldete Benutzer keinerlei Rechte am WHS.
Die Sicherung wird quasi immer vom Admin durchgeführt.

Gruß
Larry

[DocMagic]

Hallo larry,

ich sichere einen SBS2K3 Server und einige besondere Clients die sich im Netz (Domäne) befinden. Nun möchte ich natürlich nicht den "normalen" Usern die sich an diesen Clients anmelden die Möglichkeit eröffnen eine Console aufzumachen in der nur ein Passwort (egal wie stark oder schwach) einzugeben ist und dann Vollzugriff auf alle Sicherungen aller Clients und des Servers zu haben.

Wäre es ein gangbarer Weg NTFS Sicherheitsbeschärnkungen auf Verzeichnis %ProgrammFiles%\Windows Home Server zu vergeben, dass die Verbindung und das Backup zwar funktioniert, den Zugriff auf die Console aber nur Mitglieder der Gruppe Administratoren bekommen? Gibt es dazu Erfahrungen?

Danke im Voraus
Peter

[Nobby1805]

Oder kann man auf den Client PC's den Zugriff auf die Console von der Zugehörigkeit zu einer Gruppe abhängig machen (z.B. wenn Benutzer auf Client PC in Gruppe Administratoren dann erscheint das Icon für den Consolenzugriff, ansonsten nicht...)

Ergänzend zu Larry:

Ich würde es nicht als Icon für ddn Konsolenzugriff sondern als WHS-Connector Icon bezeichnen ... man müsste mal schauen in welchem Autostart dieses Icon "Gestartet" wird und es dann dort entweder rausnehmen oder so verändert dass es nur für bestimmte User gestartet wird ...

[larry]

Oder kann man auf den Client PC's den Zugriff auf die Console von der Zugehörigkeit zu einer Gruppe abhängig machen (z.B. wenn Benutzer auf Client PC in Gruppe Administratoren dann erscheint das Icon für den Consolenzugriff, ansonsten nicht...)

Ergänzend zu Larry:

Ich würde es nicht als Icon für ddn Konsolenzugriff sondern als WHS-Connector Icon bezeichnen ... man müsste mal schauen in welchem Autostart dieses Icon "Gestartet" wird und es dann dort entweder rausnehmen oder so verändert dass es nur für bestimmte User gestartet wird ...

Ich vermute aber mal, dass dann ein normaler Benutzer kein Backup mehr durchführen kann. Somit würde der Rechner nur gesichert, wenn ein Admin angemeldet ist.

@DocMagic
Wie wäre es, wenn du beim Administrator im WHS hinterlegst, dass dieser nach 3 Passwortfehleingaben gesperrt wird. Zusammen mit einem entsprechend sicheren Passwort sollte dies eigentlich ausreichend sein.
Zusätzlich würde ich mir dann aber auf dem WHS händisch einen 2. Administrator anlegen um ggf. eine Entsperrung durchzuführen.

Gruß
Larry

[Nobby1805]

Ich vermute aber mal, dass dann ein normaler Benutzer kein Backup mehr durchführen kann. Somit würde der Rechner nur gesichert, wenn ein Admin angemeldet ist.

kann eigentlich nicht sein ... die automatische Sicherung wird auch dann durchgeführt, wenn niemand angemeldet ist ... aber ich werde das heute Abend einfach mal testen

[larry]

Ich vermute aber mal, dass dann ein normaler Benutzer kein Backup mehr durchführen kann. Somit würde der Rechner nur gesichert, wenn ein Admin angemeldet ist.

kann eigentlich nicht sein ... die automatische Sicherung wird auch dann durchgeführt, wenn niemand angemeldet ist ... aber ich werde das heute Abend einfach mal testen

Nobby hat recht.
Sicherung geht trotzdem.

Wenn man also den Autostarteintrag "Windows Home Server" entfernt, ist kein Icon mehr zu sehen.

Gruß
Larry

[DocMagic]

Danke erst mal an alle für die Responds - ich bin nun schon wesentlich weiter gekommen:

Ich habe die Sicherheitsporblematik folgendermaßen gelöst (und auch getestet, funktioniert OneWallFree):

Nach der Installation vom Client habe ich

1.) Den Autostarteintrag von AllUsers in ein Benutzerkonto mit Administrativen Rechten verschoben
2.) %ProgramFiles%\Windows Home Server die Übernahme vererbter Rechte weggenommen und danach dir Rechte für Benutzer und Hauptbenutzer komplett weggenommen (alles andere belassen)
3.) Auf den Clients welche mehrfach am Tag gesichert werden eine entsprechende BatchDatei eingestellt (ebenfalls im WHS Verzeichnis) un diese in die Taskplanung gestellt

Code: Alles auswählen

REM *** WHS-ClientBackup.cmd ******
START "SBS Datensicherung" /WAIT /D "C:\Programme\Windows Home Server" Backupengine.exe -a

4.) Das Addin "SystemEventMonitor" auf der WHS installiert,
EventLog "HomeServer", Type Information, Source All, ID 261 überwacht (erfolgreiche Sicherung) und per EMail über die SBS an die Administratoren geschickt

5.) Den ganzen Tag damit getestet

Was soll ich sagen - funktioniert einwandfrei, "normale" User haben keine Chance sich mit der Console zu erbinden und können auch nicht über den Explorer auf die Programme zugreifen, die Batchdatei läuft, ich bekomme Meldungen

!! ICH BIN ZUFRIEDEN !!

Jetzt muss ich nur noch den Event für Backup Fehler rauskriegen dann ist alles Super !!

!!! Und jetzt geh ich zum Rocken !!!

Gruß an Alle

Peter