Zusätzliche Gruppe ntconfig.pol

Hallo zusammen,

unser PDC Samba 3 läuft seit Dezember super sauber und die Clients werden seit dem Stück für Stück an diese Domäne angeschlossen.

Per LDAP gibt es derzeit NUR zwei Gruppen:
- domadmin
- domuser

diese beiden Gruppen sind auch in der ntconfig.pol bereits konfiguriert und sind in die entsprechenden Gruppen von Windows integriert worden.

Die domuser haben keinen Zugriff auf A: und B:. Das habe ich in den policies so eingestellt.

Nun soll es aber eine weitere Gruppe geben "domuserext" (ext = extended) die genau das (A und B) darf.

Also im LDAP die Gruppe domuserext angelegt und da gehts schon los. Welche ID muss ich dieser Gruppe geben? Ich kann ihr doch nicht auch wie schon den domuser die 2027 geben!!!

in der ntconfig.pol habe ich die Gruppe domuser kopiert und die entsprechenden Verbote rausgenommen UND ich habe die domuserext der Windowsgruppe "Benutzer" hinzugefügt.

Klappen tut die ganze Sache aber trotzdem nicht. Entweder liegts an dieser ID oder der Windowsrechner hat die alte ntconfig.pol noch im Cache.

Vielleicht hat ja noch einer von Euch eine coole Idee.

Stefan Frömken

Hallo Stefan,

welche (freie) ID du einer zusätzlichen Gruppe gibst ist eigentlich völlig egal, das hat ja nichts mit den Berechtigungen zu tun.

Bei deiner Vorgehensweise führst du aber LDAP ein bischen adabsurdum, denn dort werden die Berechtigungen eigentlich über ACL's vergeben.

Und genau dort müsstest du eigentlich festlegen welche Gruppe worauf zugreifen darf.

Was du jetzt tust ist eigentlich nichts anderes als die Gruppen und User im LDAP zu führen, aber die Berechtigungen ausserhalb von LDAP zu setzen.

Das könnte irgendwann, vielleicht jetzt schon, zu Problemen führen.


P.S. Was ich allerdings nicht so gut finde ist, das du in deiner Sig Werbung für deine Firma aus dem kommerziellen IT-Bereich machst. Ich weiss nicht wie das hier generell gehandelt wird, aber bedenke bitte, das alle die sich hier einbringen, dies in ihrer Freizeit und unentgeltlich tun.

Ich mag mich ja durchaus irren, aber mit ACL's kann ich doch nicht sagen, wie ein PC sein Update-Verhalten einzustellen hat oder das der Papierkorb fixe 2% der Festplattenpartition betragen?!

Bisher dachte ich, ich könnte mit ACL's nur die Berechtigungen auf ein Netzwerk (Freigaben und co) beeinflussen.

Wie muss ich meine ntconfig.pol mit fast 100 Einstellungen denn jetzt in ACL's konvertieren?

Oder...Wie sieht z.B. eine ACL aus, um beim Windows-Start grundsätzlich das Windows-Sicherheitscenter zu starten?

Ich habs ich habs. trallala

In poledit darf NIEMALS aber auch NIEMALS eine neue Gruppe HANDSCHRIFTLICH neu eingetragen werden.

Eine neue Gruppe ist IMMER über diesen "browse..."-Button hinzuzufügen, dann, klappts auch mit den Nachbarn.

Stefan Frömken

PS: Das mit den ACL's interessiert mich aber trotzdem, weil NOCH sind wir in den Anfängen und können noch recht leicht Änderungen vornehmen.

froemken schrieb:

Ich mag mich ja durchaus irren, aber mit ACL's kann ich doch nicht sagen, wie ein PC sein Update-Verhalten einzustellen hat oder das der Papierkorb fixe 2% der Festplattenpartition betragen?!

Zum Vergrößern anklicken....

Das hattest du hier ja auch nicht erwähnt.:

froemken schrieb:

Die domuser haben keinen Zugriff auf A: und B:. Das habe ich in den policies so eingestellt.

Zum Vergrößern anklicken....

Ich konnte ja nicht ahnen das du mit "Zugriff" die Grösse des Papierkorbs meinst.

Wir müssen jetzt nur aufpassen das wir hier einige Sachen nicht durcheinander bringen.

Die von dir genannten Einstellungen kann ich in einer Active Directory Umgebung problemlos tätigen, indem ich entweder bestimmte Computer oder User in einer "OU" zusammenfasse, und für diese "OU" die entsprechenden Einstellungen tätige.

Du hast aber kein AD, sondern baust jetzt praktisch mit Samba und LDAP ein "Provisorium".

Sehr hilfreich ist es daher schonmal die windowsspezifischen User und Gruppen ins LDAP zu integrieren. Mit diesen erschlägst du schon einen Grossteil an Berechtigungen.

Für deine spezifische "Einstellungswut" wird dir aber nicht anders übig bleiben als mit dem Policy-Editor die Einstellungen zu tätigen, sie auf dem Server abzulegen, und dafür zu sorgen das sie bei der Anmeldung abgearbeitet werden.

Mann kann es aber auch übertreiben. Ich wüsste zum Beispiel keinen Grund warum z.B. die Papierkorbgröße von User zu User, oder von Gruppe zu Gruppe variieren sollte.

Ich konnte ja nicht ahnen das du mit "Zugriff" die Grösse des Papierkorbs meinst.

Zum Vergrößern anklicken....

Ahhh...Hilfe...nix durcheinander bringen...wie du schon richtig gesagt hast.

Mit dem Policy-Editor habe ich die Möglichkeit die Laufwerke A und B auszublenden bzw. den Zugriff zu sperren. Von dieser Sperre/zugriff habe ich gesprochen und auch gemeint. Schon richtig.

Als du mir dann sagtest, dass ich solche Einstellungen auch mit ACL's machen kann, habe ich dann extreme Beispiele genannt, bei denen ich davon ausgehe dass diese auf jeden Fall nicht mit ACL's zu lösen wären.

Zum Server:
LDAP 3 in dem ALLE Firmenmitarbeiter enthalten sind. Gruppen mit anmeldefähigen Mitarbeitern sind eingerichtet und sämtliche Hosts sind auch eingetragen.

Samba, SSL, eMail (Postfix, Cyrus) und eMail-Client-Adressbücher greifen auf LDAP 3 erfolgreich zu. Selbst der Fileserver erhält seine Richtlinien (für Zugriffe) aus dem LDAP

Du hast aber kein AD, sondern baust jetzt praktisch mit Samba und LDAP ein "Provisorium".

Zum Vergrößern anklicken....

Das ist wohl war, da ich mit dem Samba 3 nur einen NT-Server nachbilden kann. Ob das ein Provisorium ist, weiß ich nicht. Die ntconfig.pol ist eine Standardmöglichkeit für Systemrichtlinien aus dem NT-Zeitalter gewesen.

Für deine spezifische "Einstellungswut" wird dir aber nicht anders übig bleiben als mit dem Policy-Editor die Einstellungen zu tätigen, sie auf dem Server abzulegen, und dafür zu sorgen das sie bei der Anmeldung abgearbeitet werden.

Zum Vergrößern anklicken....

Die ntconfig.pol liegt brav im netlogon-Verzeichnisses unseres PDC-Servers (Samba 3) und wird erfolgreich von Windows2000 und Windows XP Rechnern geschluckt. http://www.gruppenrichtlinien.de ist eine super Seite was das angeht. Die Einstellungswut wird wohl auf jeden zukommen, der verhindern will, das Mitarbeiter Firmeninterne Daten mit nach Hause schleppen oder irgendwelche Virenverseuchten Disketten ins Laufwerk stecken. Bei eine Standartinstallation ist der Cache des IE 10% der Partition groß. Also bei neueren PCs = mehrere Gigabyte. Mit den Policies kann man sowas unterbinden und ausblenden.

Ich weiß nicht ob du den poledit jemals genutzt hast, aber ich denke bei 1000-1500 Einstellmöglichkeiten habe ich mich mit 80-100 sehr zurückgehalten.

Stefan Frömken[/code][/quote]

froemken schrieb:

In poledit darf NIEMALS aber auch NIEMALS eine neue Gruppe HANDSCHRIFTLICH neu eingetragen werden.

Eine neue Gruppe ist IMMER über diesen "browse..."-Button hinzuzufügen, dann, klappts auch mit den Nachbarn.

Zum Vergrößern anklicken....

Das ist nicht richtig! Natürlich kann man die Gruppen auch manuell eingeben. Man sollte allerdings ausdrücklich auf die Groß- und Kleinschreibung achten! ...dann klappts auch so mit den Nachbarn!

froemken schrieb:

Ich weiß nicht ob du den poledit jemals genutzt hast, aber ich denke bei 1000-1500 Einstellmöglichkeiten habe ich mich mit 80-100 sehr zurückgehalten.

Zum Vergrößern anklicken....

Es gibt mehr als 10.000 Sicherheitseinstellungen. Am besten ist es diese sich mal auszudrucken, und dann genau zu überlegen was ich brauch und was nicht. :idea:
Ansonsten sage ich nur "Kopieren" und einfügen.