Ik zal wel niet goed op google gezocht hebben, maar ik heb het zelf niet kunnen vinden.

Ik zou graag op een Windows server (2003, Standard), een account willen aanmaken dat alleen toegang heeft tot 1 bepaalde directory, bv "C:\X". In die map moet ie alles kunnen en ook programmas kunnen openen, echter buiten die map (en evt zijn eigen user map (C:\Documents and Settings\X\*) mag ie niks kunnen openen en het liefst niet eens kunnen zien.

Is er een makkelijke manier om dit te doen, buiten voor alle mappen & bestanden apart rechten voor die gebruiker te maken of anders gezegt: Wat is de beste manier om dit te doen (Virtualisatie zou ik het liefst vermijden)?

Met een group policy kan je de drives verstoppen (er is software die daar lak aan heeft en dus wel C toont). Je zou een netwerkschijf kunnen maken naar een share op C, die kan je direct in de root laten uit komen. Met een policy kan je weer voorkomen dat de gebruiker het netwerk kan browsen.

Mapjes dicht timeren kan wel makkelijker alleen zie je ze nog wel, om ze echt te laten verdwijnen moet je dus iets mee doen.

Dit is wel te doen met NTFS permissions en group policies op Windows 2003. Voeg het account toe aan de groep "Users" die sowieso al beperkt is.

Logt de gebruiker op de server zelf aan (via console en/of RDP) of maakt hij connectie via een andere PC?

Remote Desktop inderdaad.

dan heb ie al admin rights

dan heb ie al admin rights

Om in te loggen via RDP heb je geen admin rechten nodig hoor...
:dots:

Je kunt idd met group policies dit maken, maar ik weet niet of het wel mogelijk is om de mappen inderdaad niet te laten zien. Het niet openen ervan is wel mogelijk, maak gewoon een losse groep aan voeg hem daar aan toe en zet dan de juiste rechten op de mappen. Je kan mensen weigeren op mappen maar ook toelaten. Tevens kun je gewoon netjes aan geven of ze mogen schrijven, wijzigen of niks zeg maar.

Met remote desktop is het mogelijk om met 2e maximaal te connecten, anders moet je over naar terminal services.. Maar ik weet niet exact of het nu wel perse de administrators moeten zijn of niet.

Administrator rechten zijn NIET nodig!! Voeg de gebruiker toe aan de "Remote Desktop Users" groep en hij kan inloggen.

Gewoon even verder zoeken in plaats van een account meteen Power User of Administrator te maken omdat iets niet lukt..

:lovewht:.

Administrator rechten zijn NIET nodig!! Voeg de gebruiker toe aan de "Remote Desktop Users" groep en hij kan inloggen.

Gewoon even verder zoeken in plaats van een account meteen Power User of Administrator te maken omdat iets niet lukt..

:lovewht:.

Ja dacht ik al maar wist het niet meer zeker hoe het zat als je geen terminal services gebruikt namelijk. Maar zoeken doet inderdaad wonderen :thumbup:

Echt helemaal verbergen word lastig, maar kan redelijk via GPO.
Rechten op de drive werkt goed via NTFS permissions.

Kan dit helpen: (of heb ik vraag verkeerd begrepen)
Access-based Enumeration
Access-based Enumeration is een nieuwe functie van Windows Server 2003, Service Pack 1. Dankzij deze functie kunnen gebruikers bij het bladeren door de inhoud van Windows Server 2003-bestandsservers alleen de bestanden en mappen opvragen waartoe ze toegang hebben. Dit voorkomt dat gebruikers die een verbinding maken met een bestandsserver, in verwarring worden gebracht door grote aantallen bestanden en mappen die voor de gebruiker niet toegankelijk zijn.

Wat doet Access-based Enumeration?
Access-based Enumeration zorgt ervoor dat de lijst van beschikbare bestanden en mappen op een server wordt gefilterd en dat alleen bestanden en mappen worden weergegeven die voor de aanvragende gebruiker toegankelijk zijn.

Hoi,

Ik weet niet precies wat je host op je windows 2k3 server. Maar wanneer je gebruikers erop wil laten werken via rdp (max 2 users) of Terminal Services (licentiekosten) dan raad ik dat sterk af. via group policy / NTFS permissions / en een heel scala aan andere tools kun je een server aardig secure inrichten. Maar er zijn altijd programma wiens rechten structuur meer vereist dan je lief is. Het gevolg is dat een kwaadwillende gebruiker, en soms ook een onwetende gebruiker, nog steeds de andere services die je draait om zeep kan helpen.
Best practices is dan ook dat je een losse srv2k3 install als member server op het domain aanmeld, en daar terminal server op draait.

Met vriendelijek groet,
Jori Huisman
HVPS Hosting