Ordner f. Netzwerk m. Passwort freigeben

Hallo !
Ich habe schon mal die Frage gestellt ob es möglich ist in Windows XP Pro Ordner freizugeben und mit Passwort den Zugang schützen.
Die Antworten waren aber glaube ich ein Mißverständnis.
Was ich meinte, war die Freigabe der Ordner übers Netzwerk, sodass für die anderen PCs die freigegebenen Ordner sichtbar sind, diese aber nur durch Eingabe eines Passworts zu öffnen sind.
In Win 98 ging dass einfach im Menü Freigabe mit rechter Maustaste. In diesem Menü stand auch Kennwort z. B. für nur lesen, oder lesen und schreiben. Wo stellt man das in XP Pro ein?
Setzt das wirklich NTFS voraus?
Wer weiß Rat?
Vielen Dank im voraus!

 

Systemrichtlinien Editor

--------------------------------------------------------------------------------



Informationen



Mit den Systemrichtlinien können Sie Einstellungen vornehmen, ohne dass ein Anwender eine Datei ausführen muss oder etwas davon mitbekommt. Beim Anmelden an einen Server wird diese Datei automatisch von NT ausgeführt und die entsprechenden Änderungen in der Registry vorgenommen. Meist handelt es sich dabei um Schlüssel, die Rechte unter Windows beschränken. Sie können damit aber auch den Bildschirmschoner für die Anwender vorgeben.

Beim Windows NT Server wird automatisch der Systemrichtlinien Editor installiert. Bei der WS Version ist er nicht mit dabei, dort muss das Resource-Kit installiert werden, damit Sie Zugriff auf den Systemrichtlinien Editor haben. Gestartet wird das Programm über "POLEDIT.EXE"



Mit den Systemrichtlinien können für einzelne Anwender, Benutzergruppen und für bestimmte Computer Einstellungen vorgenommen werden. Diese Einstellungen können auf dem Server hinterlegt werden und gelten dann für alle Anwender, die sich an diesem Server anmelden. Da diese Datei bei jedem Anmelden überprüft wird, kann man so leicht und ohne Probleme Änderungen an Einstellungen vornehmen, die dann für bestimmte Gruppen im Netzwerk gelten.

Es wird dabei zwischen Computer- und Anwenderrichtlinien unterschieden. Diese beiden Richtlinien werden automatisch zusammengeführt und ergänzen sich. Wenn eine Richtlinie doppelt konfiguriert wurde, erhält die Anwenderrichtlinie immer Priorität vor der Computerrichtlinie. Das bedeutet also, wurde für alle Computer die Systemsteuerung deaktiviert, aber es meldet sich ein Anwender an, wo die Systemsteuerung freigeschaltet wurde, hat er Zugriff auf die Systemsteuerung.



Die Bearbeitung der Systemrichtlinien Dateien darf nur mit versionsgleichen Systemrichtlinien-Editoren erfolgen. Wenn unterschiedliche Versionen benutzt werden, kann das zu einer Inkonsistenz in den Systemrichtlinien führen.



Benutzer- und Computereinstellungen werden in den Standardvorlagen "COMMON.ADM" und "WINNT.ADM" eingestellt. Durch Erstellung von eigenen ADM - Dateien können noch mehr Richtlinien hinzugefügt oder geändert werden (siehe "Erstellen einer eigenen ADM-Datei"). Werden diese Richtlinien gespeichert, wird die Datei "NTCONFIG.POL" erstellt.



Wenn Sie nur einen Server oder eine Workstation haben bzw. mit der Policy ausstatten wollen, müssen Sie die Datei in das Verzeichnis: "%SYSTEMROOT%\system32\Repl\import\scripts" kopieren. Wenn Sie über mehrere Domänen-Controller verfügen, speichern Sie die Datei in das Verzeichnis: "%SYSTEMROOT%\system32\Repl\export\scripts" und starten Sie auf allen Servern den Verzeichnisreplikationsdienst.



Es ist unbedingt wichtig, dass die Datei im richtigen Verzeichnis liegt, ansonsten wird die Datei beim Anmelden eines USERs nicht gefunden und somit auch nicht ausgeführt. Sollten also Einstellungen bei Ihnen nicht vorgenommen werden, überprüfen Sie erst mal das NETLOGON Verzeichnis, ob die Datei vorhanden ist.



Bei der Anmeldung am Server wird die "NTCONFIG.POL" ausgelesen und auf der NT-WorkStation ausgeführt. Da die Datei zentral auf dem Server liegt, bekommt der Anwender immer die selben Desktop Einstellungen, unabhängig davon, auf welchem Rechner er sich anmeldet.



Die Benutzung des Systemrichtlinien - Editors und ein Zugriff auf die Dateien sollte nur Systemadministratoren erlaubt sein. Durch falschen Einsatz ist es auch möglich, allen Administratoren im Netz plötzlich alle Rechte zu entziehen.





Start des Systemrichtlinieneditors



Beim Start des Systemrichtlinieneditors werden als erstes die ADM-Files geladen. Wenn keine ADM-Datei gefunden wird, erscheint ein Fehlermeldung und Sie werden aufgefordert anzugeben, im welchen Verzeichnis sich die ADM-Dateien befinden.

Hier können Sie jetzt nur eine Datei angeben die dann vom Policyeditor eingelesen wird. Weitere ADM-Dateien können Sie über das Menü: "Options" -> "Policy Template" hinzufügen.



Über "Datei" -> "Neue Richtlinie" können Sie eine neue Datei anlegen. Sie sehen dann nur die beiden Symbole "Standardbenutzer" und "Standard-Computer". Alle Änderungen die Sie an diesen beiden Gruppen vornehmen gelten jeweils für alle im Netz die sich an den jeweiligen Domänen anmelden auf der die ADM-Datei abgelegt wurde. Sie können noch weitere Gruppen oder einzelne USER anlegen. Auch können einzelne Computer angelegt werden (hier kann man leider keine Gruppen von Computern erstellen, für die die Einstellungen gelten sollen).



Die meisten Einstellungen werden durch Setzen von Kontrollkästchen vorgenommen. Die Einstellungen haben folgende Bedeutung:



Aktiviert
der Wert wird in der Registrierung hinzugefügt

Leer
der Wert wird aus der Registrierung gelöscht

Schattiert
der Wert bleibt in der Registrierung unverändert






Beispiele für Konfigurationswerte, die in den ADM-Dateien geändert werden können:



Systemsteuerung
Einstellen der Systemmöglichkeiten für die Anzeige (Grafikkarte)

Desktop
Festlegen eines Hintergrundbildes

Shell
Beschränken von Einstellungen auf dem Desktop (Suchen, Beenden, Ausführen usw.)

System
Deaktivierung des Registrierungseditors und erstellen einer Liste der erlaubten Windows Anwendungen
Autostart von bestimmten Anwendungen, setzen von SNMP-Zielen

Windows NT Shell
Anpassen des Startmenüs und der Desktopoberfläche. Festlegen von bestimmten Ordnern usw.

Windows NT System
Anmeldevorgang (Einlesen der Autoexec.bat, Task-Manager und Anzeigen Meldungen)

Netzwerk
Umgang mit den Systemrichtlinien

Windows NT Netzwerk
Aktivieren bzw. deaktivieren der Laufwerksfreigabe

Windows NT-Drucker
Deaktivieren des Drucker-Spoolers, dadurch wird die System- und Netzwerkleistung gesteigert

Windows NT-Remote-Zugriff
Festlegung der Zeiten für wiederholte Versuche, eine Echtheitsbestätigung von Server zu bekommen

Windows NT-Benutzerprofile
Löschen von zwischengespeicherten Server-Profilen

Profilgröße einschränken
Damit wird die Größe für das persönliche Profilverzeichnis (C:\WINNT\PROFILES\ [USER-ID] festgelegt. Da dieses Verzeichnis bei jeder An- und Abmeldung über das Netzwerk kopiert wird, ist es sinnvoll, dieses auf eine bestimmte Größe zu beschränken. Wird die Größe überschritten, wird der Anwender darauf hingewiesen und kann sich erst abmelden, wenn er das Profilverzeichnis auf die eingestellte Größe anpasst, indem man z. B. Dateien in ein anderes Netzwerklaufwerk kopiert.



Nachdem Sie alle Einstellungen vorgenommen haben, speichern Sie die Datei wie oben angegeben in das entsprechende Verzeichnis ab.



Aufzählung fertiger ADM - Files von MS



ADM Dateien finden Sie bei MS schon für recht viele Programme. Für das OFFICE Paket finden Sie die ADM-Dateien im Resource-Kit.

Systemrichtlinien und Gruppenrichtlinien



--------------------------------------------------------------------------------



Ab Windows 2000 können Sie mit Active Directory Gruppenrichtlinien benutzen. Es besteht zwar auch die Möglichkeit, unter 2000 mit den Systemrichtlinien zu arbeiten, aber der Einsatz von Gruppenrichtlinien ist fast nicht zu vermeiden und auch sinnvoll.



Was sind Richtlinien?

Eine Richtliniendatei enthält die Informationen für den Client mit Einschränkungen für den Benutzer. Mit den Richtlinien können Sie die Clients zentral und einheitlich konfigurieren und haben die Möglichkeit, diese Einstellungen leicht zu verändern. Mit einer Richtliniendatei werden Werte ist der Registry gesetzt und verändert. Bei jeder Anmeldung an das Netzwerk werden diese Einstellungen der Richtliniendatei mit der aktuellen Computer/Anwendereinstellung verglichen und bei Unterschieden angepasst.



Die Richtlinien werden aus den Informationen einer Richtlinienvorlage (ADM-Datei) erstellt. Diese Richtlinienvorlage ist bei den System-/Gruppenrichtlinien weitgehend identisch. Informationen zum Aufbau finden Sie unter "Erstellen einer eigenen ADM-Datei" und mit der neuen Version des Registry System Wizard (RSW) können Sie auch selber ADM-Dateien erstellen.

Die Erstellung der Richtliniendatei erfolgt bei Windows NT mit dem Systemrichtlinien-Editor (Policy-Editor), der mit Hilfe der ADM-Dateien eine entsprechende Richtliniendatei erzeugt, unter Windows 2000 wird dazu die MMC mit dem Snap-In "Gruppenrichtlinie" verwendet.



Systemrichtlinien:

Die Systemrichtlinien wurden bei Windows NT eingesetzt und können wie oben schon geschrieben auch noch unter Windows 2000 weiter benutzt werden. Aus diesem Grunde gibt es auch in einem 2000-Netzwerk noch die Freigabe "Netlogon" wo die Datei NTCONFIG.POL (bzw. CONFIG.POL für Windows 9x/ME Clients) bereitgestellt werden kann. Dieses Freigabeverzeichnis finden Sie aber nicht wie bei Windows NT unter "%SYSTEMROOT%\System32\repl\import\scripts" sondern das Verzeichnis liegt bei Windows 2000 jetzt unter "%SYSTEMROOT%\Sysvol\kuppinger.com\scripts".



Bei der Anmeldung an das Netzwerk suchen die NT Clients automatisch nach der Datei NTCONFIG.POL (bzw. Windows 9x nach CONFIG.POL). Windows 2000 sucht im Gegensatz dazu automatisch nach einer Gruppenrichtlinie - wenn Sie das ändern wollen, beachten Sie dazu den Tipp: "Windows 2000 Clients sollen auch in einer NT 4.x Domäne/Workgroup eine Policy-Datei laden" . Aus diesem Grunde können die Systemrichtlinien erst abgeschafft werden, wenn keine Clients mehr im Netzwerk vorhanden sind, die auf Windows NT/9x aufsetzen. Deshalb müssen bei der Planung von 2000 Netzwerken beide Richtlinien berücksichtigt werden.



Gruppenrichtlinien

Wie oben schon beschrieben, werden auch die Gruppenrichtlinien im Prinzip mit Richtlinienvorlagen erstellt. Der große Unterschied ist aber, dass nur der Bereich Computer- und Benutzerverwaltung unter "Administrative Vorlagen" auf diese Vorlagendateien zurückgreift. Darum haben Sie auch nur hier die Möglichkeit, über das Menü "Vorlagen hinzufügen/entfernen" eigene Vorlagendateien einzubinden. Alle anderen Bereiche können vom Administrator praktisch nicht angepasst werden, da diese nur über das Ansprechen einer API erweitert werden können.



Durch diese Erweiterungen können mit Gruppenrichtlinien nicht nur (wie bei Systemrichtlinien) "Registry-Werte" verändert und gesetzt, sondern auch noch andere Werte verändert werden:

Registry-Werte setzen und verändern

Sicherheitseinstellungen und Zugriffsberechtigungen

Softwareinstallation/deinstallation und Softwareupdates

Skriptsteuerung: Anmelden/Abmelden usw.

Mappings: Hiermit können jetzt Zugriffe auf ein lokales Laufwerk auf Netzwerklaufwerke umgeleitet werden (Ordnerumleitung).

Die Verteilung/Zuweisung von Gruppenrichtlinien erfolgt nicht über die Freigabe "Netlogon", sondern über das Active Directory. Hier werden die Gruppenrichtlinien entsprechenden Sites bzw. organisatorischen Einheiten zugewiesen und gelten für die dort vorhandenen Computer und Benutzer.



Die Gruppenrichtlinien sind in drei Teile aufgeteilt, die an unterschiedlichen Stellen abgelegt werden können:



Group Policy Container
Liegt im GPC (Group Policy Container) des Active Directory
Ort: cn=Policies,cn=System,dc=domäne,dc=com

Group Policy Template
Liegt im GPT (Group Policy Template) im Ordner: SYSVOL
Ort: <systemroot>\Sysvol\domain\Policies

Erweiterungen (IPsec-Richtlinien)
Kann frei festgelegt werden.




Die Einstellungen in einer Gruppenrichtlinie werden in so genannten GPOs (Group Policy Object) gespeichert. Wird einem Container im ADS ein GPO zugewiesen, wird nur ein Link auf das GPO im Container gespeichert und nicht das GPO selber. GPOs können somit an mehreren Stellen gleichzeitig und sogar über Domänengrenzen hinweg benutzt werden.

Dabei ist zu beachten, dass ein Domänenkontroller der Domäne im lokalen Standort das GPO besitzt, ansonsten wird über die Standortverbindung auf das GPO zugegriffen, was aus Zeitgründen meist nicht wünschenswert ist.



Standardmäßig gibt es je Domäne eine "Default Domain Policy", die für alle Computer und Benutzer in der Domäne gilt. Alle Einstellungen werden auf die unteren Objekte vererbt, weshalb man sich vor der Konfiguration der Einstellungen Gedanken über den Wirkungsbereich machen sollte (Unterbrechung der Vererbung, Zugriffsberechtigungen). Aus Sicherheitsgründen gibt es für Domänencontroller eine extra Richtlinie.



Lokale Gruppenrichtlinien:

Windows 2000 Clients, die in einem Netzwerk ohne Active Directory betrieben werden, arbeiten standardmäßig auch mit Gruppenrichtlinen, suchen diese aber lokal und können so leider auch nur lokal konfiguriert werden.

Diese lokalen Gruppenrichtlinien werden bei einer Anmeldung an einer Domäne von den dort gesetzten Richtlinien überschrieben. Die lokalen Gruppenrichtlinien können nicht über Gruppen zugeordnet werden, sondern gelten pauschal für alle Benutzer des lokalen Systems, die ein Leserecht auf diese Richtlinie haben.



In der lokalen Gruppenrichtlinien stehen die Einstellungen für:

Softwareinstallation/deinstallation und Softwareupdates

Mappings: Hiermit können jetzt Zugriffe auf ein lokales Laufwerk auf Netzwerklaufwerke umgeleitet werden (Ordnerumleitung).

nicht zu Verfügung.

Die Gruppenrichtlinien werden im Verzeichnis "%Systemroot%\System32\GroupPolicy" abgelegt. Durch das Setzen von Dateizugriffberechtigungen können Accounts von der Benutzung dieser Richtlinien ausgeschlossen werden (sinnvoll für Administrative Accounts); leider können diese Accounts die Gruppenrichtlinien dann auch nicht mehr bearbeiten.



Die lokalen Gruppenrichtlinien können über "Verwaltung" -> "Lokale Sicherheitsrichtlinie" bearbeitet werden. Hier stehen aber nur die Sicherheitsrichtlinien zu Verfügung. Wenn Sie alle Einstellungen bearbeiten wollen, müssen Sie folgendermaßen vorgehen:



Die MMC starten

Datei -> "Snap-In hinzufügen/entfernen" auswählen und im Register "Eigenständig" -> "Hinzufügen" auswählen

Das Snap-In "Gruppenrichtlinie" auswählen -> "Hinzufügen"

"Lokaler Computer" -> "Fertigstellen"



Wenn Richtlinienvorlagen (ADM-Dateien) für System-/Gruppenrichtlinien gemeinsam genutzt werden sollen, muss vorher überprüft werden, ob die angesprochenen Registryeinträge auch in beiden Betriebssystemen noch vorhanden sind. Dies ist insbesondere bei Einstellungen zu prüfen, die das Betriebssystem betreffen.



Siehe auch "Erstellen einer eigenen ADM-Datei", "Windows 2000 Clients sollen auch in einer NT 4.x Domäne/Workgroup eine Policy-Datei laden", "Systemrichtlinien Editor" und "Gruppenrichtlinien und deren Verarbeitung".

 

Ist es denn möglich, existierenden Usern/Computern im Netzwerk Zugriff auf die Dateien/Ordner zu geben?
Und wie kann ich Benutzer erstellen, um jemanden Zugriff zu erlauben, OHNE dass dieser dann bei der Benutzeranmeldung [mit Bild] erscheint?

CU
~Harry

 

Ich würde als alternative nicht den Gast freigeben sondern einen Localen Benutzer anlegen, dem ich ganz bestimmte Recht zuweise. Das macht das Risiko geringer, denn solange Everyone (NTFS)sofort bei der Installation gelöscht wurde kannst Du zuweisen was er darf.

Die NTFS alternative ist in dem Fall aber die bessere.

Gruß
Christian

 

Hi,

also NTFS ist Voraussetzung, dann so:

Auf dem Windows 2000/XP muß ein Benutzerkonto mit dem Namen und dem Kennwort
existieren, wie von dem der darauf zugreifen will.
Wenn z.B. der Benutzer "Muster" mit dem Kennwort "Muster" von einem Windows 9x auf einen Windows 2000/XP
zugreifen möchte, so muss auf dem Windows 2000/XP ebenfalls ein Benutzer "Muster" mit dem Kennwort "Muster" existieren.

Alternativ können Sie auf dem Windows 2000/XP auch den Benutzer "Gast" freigeben, was allerdings ein großes
Sicherheitsrisiko birgt und deswegen nicht zu empfehlen ist !

cu

 

aber das man ein passwort und ein benutzernamen eingeben muss
ind so ein fenster wie ich im anhang hab.

 

OT:
So alt diese "Leiche" auch ist - das Problem ist seit der Geburt von XP vorhanden. Und wenn eine Suche diesen alten Thread hervorgräbt und man nachfragt ist das legitim so lange man nicht rumspamt. Und das liegt hier nun wiklich nicht vor.

 

@Eric March
aber man kann/sollte dann einen Link auf den alten Thread machen