Netzwerkfreigaben

Nutzung von administrativen und eigenen Freigaben in der Domänen…

Freigaben und UNC-Pfad

Freigaben und UNC-Pfad

Standardfreigaben

NETLOGON: Freigabepfad zu C:\Windows\SYSVOL\sysvol\dombu.lokal\scripts

Anm.: klassische Anmeldeskripte seit NT - meist mit Dateiendung *.cmd statt als *.bat Dateien

SYSVOL: Freigabepfad zu C:\Windows\SYSVOL\sysvol (eine Freigabe über die dann auch die GPO mit Ordner policies erreichbar sind)

C$, Admin$: Administrative Freigaben mit angehängtem $ (das $ am Ende versteckt die Freigabe im Netz)

Übersicht mit net share in der Befehlszeile;

alternativ siehe Computerverwaltung - Freigegebene Ordner - Freigabe oder über den Server-Manager - Datei-/Speicherdienste - Freigaben

Freigaben

Hinweis: Berechtigungen bitte immer ohne Freigabe-Assistent erstellen

Windows Explorer konfigurieren: Organisieren - Ordner- und Suchoptionen - Register Ansicht - Freigabe-Assistent deaktivieren

Freigaben kennen nur einfache Berechtigungen: Vollzugriff, Ändern, Lesen

Erläuterung / Erklärung zu Security-Principal (Spezialgruppe) Jeder: Jeder / Lesen - hier ist wieder „Jeder Berechtigte“ gefragt, also meine AD-Benutzerkonten plus die Domänenbenutzer, denen meine Domäne vertraut

siehe: Active Directory-Domänen und -Vertrauensstellungen

Syntax bei Freigabenamen: mit $ am Ende sind „versteckt“;

administrative Freigaben C$, E$

NTFS und Freigaben

Zugriffsschutz auf Benutzerebene (Register „Sicherheit“) nicht vergessen!

viel feinere Berechtigungen gegenüber Freigabe-Rechten;

NTFS-Rechte vererben; Besitz übernehmen

Effektive / Effiziente Berechtigungen für Benutzer / Gruppen anzeigen lassen:

Effektiver Zugriff in den erweiterten Sicherheit-Einstellungen

Vertrauensstellungen

Wichtig für die Erkenntnisse für die „Spezialgruppe: JEDER“

Management-Console: Active Directory-Domänen und -Vertrauensstellungen;

Fachbegriffe:

  • bidirektional,

  • eingehende und ausgehende Vertrauensstellungen,

  • transitive Vertrauensstellungen (automatisch bei Domänenstamm / Tree)

net (Befehle)

net share - Freigaben auflisten oder auch erstellen

Tipp - Freigabe mit Eingabeaufforderung/cmd erstellen:

net share roaming=E:\roaming /grant:"seminar\Domänen-Benutzer,FULL" /remark:"Freigabe für Roaming-Technik"

Anm.: die Anführungszeichen/Strings in cmd nicht unbedingt nötig - aber Tipp falls mal in PowerShell unterwegs!

net view - eigene (oder auch andere) Domains/Arbeitsgruppen auflisten / Freigaben anderer Rechner anzeigen

net use - Netzwerkresourcen mappen (Netzwerklaufwerke und -Drucker)

net /? (listet Befehlsoptionen) und net use /? (listet die net use Optionen)

klassische Anmeldeskripte

mit Freigaben auf DCs und mit Netzlaufwerk per NETLOGON-Skript lw-n-mappen.cmd

Einzeiler: net use N: \\dc00\projectX

Skript lw-n-mappen.cmd wird im Kontenblatt Profil eines AD-Users konfiguriert (Anm.: erfordert also manuellen Eingriff des Admin!)

Berechtigungen für Freigabe und NTFS:

Freigabe: Jeder / Vollzugriff

NTFS-Sicherheit: gewünschte Globale Gruppe (z.B. Domänen-Benutzer) / Ändern

Befehl für Mapping von Netzresourcen (Freigaben / Drucker):

net use (mit Schaltern /?, /persistent, /delete)

Anm.: die Übung ist gut für praktische Erfahrungen mit Skripten und Netzwerklaufwerken

die modernen Varianten dann später per Gruppenrichtlinien und Start-/Stop Skripten als normale Skripte (*.cmd) oder PowerShell-Varianten (*.ps1)

Anm. zum späteren Skripting per GPOs: die Pfade zu den Skriptordnern führen in die User-Unterordner des jeweiligen GPO!

Hinweis: seit Windows 8.1 werden die Login-Skripte standardmäßig mit einer Verzögerung von 5 Minuten (!) durchgeführt, was selbstverständlich wieder durch eine Gruppenrichtlinie angepasst werden kann!

(Darstellung windowspro.de - GPO Caching und PS Skriptverzögerung)