Per GPO ausgeblendete Laufwerke werden angezeigt

Magicmouse · Post by *Magicmouse » 2009-11-15, 16:45 UTC

Per GPO sind die beiden Richtlinien "Laufwerke im Explorer ausblenden" und "Zugriff darauf verhindern" aktiviert. Im TotalCommander werden im Gegensatz zum Explorer die entsprechenden Laufwerke trotzdem angezeigt. Die Richtlinien werden anscheinend ignoriert.

Wie kann der TotalCommander gezwungen werden die Richtlinien ebenfalls einzuhalten?

Horst.Epp · Post by *Horst.Epp » 2009-11-15, 16:54 UTC

Warum sollte der TC Richtlinien für den Explorer beachten, er ist nicht der Explorer. Ausserdem sind diese GPOs sowieso Augenwischerei und verhindern nicht den Zugriff über andere Programme. Wenn jemand auf Laufwerken nichts sehen soll, gibt es ACLs, die ziehen immer, egal bei welchem Programm.

HolgerK · Post by *HolgerK » 2009-11-15, 17:01 UTC

wincmd.ini, Section [Configuration]

F1:4.b. wincmd.ini wrote:Allowed=
Erlaubte Laufwerke -> Zugriff einschränken!
\ steht für die 'Netzwerkumgebung'.

Einfach die Laufwerksbuchstaben angeben die benutzt werden dürfen z.B. CDE

Gruß
Holger

Magicmouse · Post by *Magicmouse » 2009-11-15, 17:53 UTC

Hallo Holger,

die Laufwerkskombinationen bei den Usern sind recht vielfältig. Existiert auch eine Eigenschaft ähnlich "NotAllowed" oder "Denied"?

Gruß Karsten

Dalai · Post by *Dalai » 2009-11-15, 18:06 UTC

Dann verhinder per NTFS-Rechten doch einfach den Zugriff auf die entsprechenden Laufwerke. Und was nutzt dir eine Einstellung "NotAllowed", wenn du das an jedem Rechner eh individuell einrichten musst? Ist doch egal, ob man nun die Whitelist oder die Blacklist einstellen muss, oder?

Es gibt keine sinnvolle und zuverlässige Möglichkeit, als über NTFS-Rechte den Zugriff zu verbieten.

MfG Dalai

HolgerK · Post by *HolgerK » 2009-11-15, 18:17 UTC

Magicmouse wrote:Existiert auch eine Eigenschaft ähnlich "NotAllowed" oder "Denied"?

Nö, soweit ich weiß nicht.
Löschvolage:

Code: Select all

Allowed=ABCDEFGHIJKLMNOPQRSTUVWXYZ\

nicht erwünschte Buchstaben bitte entfernen.

Dalai wrote:Dann verhinder per NTFS-Rechten...

Das setzt aber auch ein NFTS Laufwerk voraus, oder?

Gruß
Holger

Magicmouse · Post by *Magicmouse » 2009-11-15, 18:19 UTC

Laufwerkszugriffe sind durch ACLs geregelt. Es sollen lediglich bestimmte Laufwerke für alle entsprechenden User ausgeblendet sein. Da viele Laufwerkskombinationen extstieren, ist hier eine Blacklist-Eigenschaft optimal.

Dalai · Post by *Dalai » 2009-11-15, 18:40 UTC

HolgerK wrote:
Dalai wrote:Dann verhinder per NTFS-Rechten...
Das setzt aber auch ein NFTS Laufwerk voraus, oder?

Natürlich. Aber schon der Zugriff auf Laufwerke kann sehr vielfältig erfolgen. Es braucht ja nur jemand einen anderen TC vom Stick zu starten o.ä. und schon kommt er wieder ran. Laufwerksbuchstabe aus dem System entfernen wäre auch noch ne Möglichkeit - geht einfach per Datenträgerverwaltung. Dann kommt auch keiner wieder ran ohne Adminrechte.

Magicmouse wrote:Laufwerkszugriffe sind durch ACLs geregelt. Es sollen lediglich bestimmte Laufwerke für alle entsprechenden User ausgeblendet sein.

Jetzt verstehe ich, worauf du hinaus willst: ausblenden, nicht Zugriff verhindern, weil das schon per ACLs passiert. In meinen Augen sinnlos, denn siehe oben: wenn jemand einen TC (oder anderen Dateimanager) von einem Wechselmedium starten (kann auch ne CD/DVD sein), dann sind die Laufwerke dort nicht ausgeblendet.

MfG Dalai

Magicmouse · Post by *Magicmouse » 2009-11-15, 19:14 UTC

Devices sind gesperrt. Softwareinstallationen werden überwacht. Ziel ist es den TC über Terminalserver zur Verfügung zu stellen.

Trotzdem Danke für eure Antworten und Informationen. Ich habe so eben eine Anfrage an den Entwickler auf die Reise geschickt.

Gruß an alle
Karsten

Dalai · Post by *Dalai » 2009-11-15, 19:27 UTC

Magicmouse wrote:Softwareinstallationen werden überwacht.

Und das nutzt dir gar nichts, wenn jemand einen TC auf DVD hat. Ich habe sowas z.B., neben dem auf meinem USB-Stick. Wenn du also alles zumachen willst, musst du auch USB und optische Laufwerk bzw. alle Wechselmedien abschließen bzw. sperren.

Wenn Terminalserver da ist, wieso sind dann die Laufwerke unterschiedlich *nicht versteh*?

MfG Dalai

HolgerK · Post by *HolgerK » 2009-11-15, 19:54 UTC

Nur zur Vervollständigung:

Allowed und RestrictInterface kann alternativ auch in der Registry angegeben werden:

http://www.ghisler.ch/board/viewtopic.php?p=137722#137722

Gruß
Holger

Dalai · Post by *Dalai » 2009-11-15, 20:45 UTC

Und der TC nutzt dennoch seine INI, wenn ich eine mit UseIniInProgramDir=7 setze. Damit gelten sicher nur die Einstellungen dort - so nehme ich das zumindest an. Sind darin keine festgelegt, gibt's keine Einschränkungen.

MfG Dalai

HolgerK · Post by *HolgerK » 2009-11-15, 20:59 UTC

ghisler(Author) wrote:Der Eintrag "Allowed" kann auch in der Registry gespeichert und (per Permissions) schreibgeschützt werden, damit die User das nicht ändern können. TC nimmt dann den kleinsten gemeinsamen Nenner der Allowed-Einträge (den mit der grössten Einschränkung).

Nun, wenn ich das richtig interpretiere, dann kann man selbst mit einer alternativen wincmd.in nicht mehr Laufwerksbuchstaben zugreifbar machen als über den Registry-Eintrag erlaubt sind.

Gruß
Holger

Dalai · Post by *Dalai » 2009-11-15, 21:06 UTC

HolgerK wrote:
ghisler(Author) wrote:Der Eintrag "Allowed" kann auch in der Registry gespeichert und (per Permissions) schreibgeschützt werden, damit die User das nicht ändern können. TC nimmt dann den kleinsten gemeinsamen Nenner der Allowed-Einträge (den mit der grössten Einschränkung).
Nun, wenn ich das richtig interpretiere, dann kann man selbst mit einer alternativen wincmd.in nicht mehr Laufwerksbuchstaben zugreifbar machen als über den Registry-Eintrag erlaubt sind.

Stimmt, du hast Recht. Ich hab's grade mal ausprobiert. Allerdings macht das im HKCU IMO wenig Sinn. Muss man für jeden User setzen, auch wenn ich weiß, dass man sowas skripten kann.

MfG Dalai