Explorer: In 'Dieser PC'-Übersicht Laufwerke ohne Lesezugriff ausblenden

GwenDragon · Beitrag von **GwenDragon** » 22.04.2017, 16:30

Kann ich eigentlich Laufwerke, die keine Berechtigung für denjenigen Nutzer haben, ausblenden?

Beitrag von **Tante Google** » 22.04.2017, 16:30

moinmoin · Beitrag von **moinmoin** » 22.04.2017, 16:35

Wüsste nur, dass es für alle geht.

GwenDragon · Beitrag von **GwenDragon** » 22.04.2017, 16:40

Schade.
Bei Kontextmenüs ist es ja so, wenn keine Berechtigung existiert, erscheint das Kontextmemnü für den Nutzer nicht.
Hätte ja sein können, dass es bei Laufwerk-Zugriffen auch so ist.

Birkuli · Beitrag von **Birkuli** » 23.04.2017, 12:14

Hallo @GwenDragon,

in begrenzten Umfang kann man mit externen Tools für den Hausgebrauch so etwas bewerkstelligen,
http://www.easeus.de/partitionieren-tip ... ecken.html
das wäre so ein Tool, sonst kannst du noch über die "Eigenschaften" der Partition die Berechtigungen expliziert angeben indem du das Benutzerkonto hinzufügst und die Berechtigungen setzt, Verbote haben Vorrang vor Erlaubnis, so kann man da ein System sehr gut konfigurieren.
Eine Sicherheitsadministration sollte Zentral aus dem echten, komplett fertig eingerichteten „Administrator Konto“ erfolgen aus dem man dann alle Benutzer Konten anlegt und verwaltet.
Leider ist es bei Windows so, dass die Konfigurierbarkeit zwar da ist aber es sehr viel Spezialwissen, was die Möglichkeiten anbetrifft nötig sind, das ist wohl nur Informatikern die speziell die Fachrichtung Domänen und User Administration absolviert haben vorbehalten.
Arbeiten mit den Gruppenrichtlinien, lokalen Sicherheitsrichtlinien und Sicherheitseinstellungen der Programme, Dienste und Dateien die zu der jeweiligen Funktion eine Abhängigkeit haben, müssen konfiguriert werden inkl. des Vererbens der Berechtigungen nach unten hin.
Ob sich solche Beschränkungen dann in einer Gruppenrichtlinie abspeichern lassen weiß ich nicht oder ob man den ganzen Kram bei einer neuen Version (clean Install) immer von Null an wieder machen muss.
Gewisse Regeln und Einstellungen lassen sich in die Einstellungen des „Default User“ ablegen was für die Erstellung eines neuen Benutzer Kontos herangezogen wird, so muss man das Rad nicht immer neu erfinden.
Zur Information einige Möglichkeiten Rollen zuzuweisen, https://technet.microsoft.com/library/dn789205
Ich glaube das macht nur Sinn, wenn das System tatsächlich mehrere Jahre als „RTM Stable“ laufen soll.
Die Richtlinien sind soweit ich weiß Plattformübergreifend, evtl. kannst du mit der "Linux Bash" da einige Dinge unter Linux regeln, letztendlich ist jedes System was an einen Server anmeldebar ist völlig konfigurierbar, sogar die Home die sich nicht an Domains anmelden kann enthält alle Richtlinien.
Auch die verschiedenen Windows Versionen spielen da eine Rolle, ob das auch in einer Professional bewerkstelligt werden kann oder erst ab Enterprise weiß ich nicht.
Einige Gruppenrichtlinien lassen sich erst ab dem Enterprise importieren, aber wenn man schaut bekommt man eine legale Lizenz schon für 25€.

„nichts für ungut GwenDragon, ich möchte in keiner Weise deine Intelligenz und umfassende Kompetenz in Frage stellen, da deine Welt ja mehr Linux ist sehe ich dir das auch nach, aber deine Frage stellt sich mir so als hättest du gefragt, „ich möchte fliegen und zaubern können, was muss ich tun?“, Ironie Ende.

Auf das umfangreiche Formatieren und mit Smoothies pflastern habe ich mal verzichtet.
Gruß Birkuli

Birkuli · Beitrag von **Birkuli** » 23.04.2017, 15:23

Nachtrag,
hier in diesem Beitrag ist beschrieben wie man mit den GPO agieren kann, Downloads von MS sind auf dieser Seite auch enthalten und sollten bis zur 1607 laufen, die angezeigten Erweiterungen kann man also durch "kopieren" in den angegebenen Ordner aktivieren.
http://www.security-insider.de/windows- ... -a-503514/
die Richtlinien müssen genau zu dem benutzten System passen sonst hagelt es Fehlermeldungen und man zerschießt sich seine regulären Einstellungen, die Regeln können nicht mit der "gpedit.msc" importiert werden, dort sind nur Importe der veralteten *.adm Dateien möglich nicht jedoch der neuen *.adm(x) Dateien.
Vorlagen für Windows 10 findet man hier,
https://www.microsoft.com/de-DE/downloa ... x?id=48257
zu Übungszwecken kannst du eine Regel Datei ja mal zur Probe bearbeiten um die Auswirkungen zu erforschen, am besten die kleinste.
Zu den *.admx Dateien gehören auch jeweils die *.adm(l) Dateien im Unterordner der jeweiligen Sprache, die Dateien können mit jeder Textverarbeitung bearbeitet werden aber ich würde einen Skript Editor bevorzugen wie Notepad++ oder so.
Hast du erstmal eine Regel definiert so kannst du sie immer wieder einfügen.
Ein bearbeiten von Dateien im xml Format ist dir ja sicherlich vertraut, in den *.adml Dateien sind schon eine Menge möglicher Parameter beschrieben.
Die vorhandenen Rollen befinden sich im System Laufwerk im Ordner „C:\Windows\PolicyDefinitions“
und die deutschen Sprachdateien im Unterordner
„C:\Windows\PolicyDefinitions\de-DE“
Schönen Gruß und viel Spaß Reinhard (Birkuli)

GwenDragon · Beitrag von **GwenDragon** » 23.04.2017, 15:38

Birkuli hat geschrieben:(…) sonst kannst du noch über die "Eigenschaften" der Partition die Berechtigungen expliziert angeben indem du das Benutzerkonto hinzufügst und die Berechtigungen setzt, Verbote haben Vorrang vor Erlaubnis, so kann man da ein System sehr gut konfigurieren.

Partitions haben im Datenträgermanager keine Extraeigenschft, das sind doch eh die Laufwerkseigenschften. Oder wie?
Die Laufwerke nur für den einen Nutzer haben sowieso nur SYSTEM, Nutzer und Administratoren as Rechte. Alle anderen haben gar keine Rechte.
Trotzdem sind die LW in der Übersicht anderer sichtbar. Also blendet da nix aus.
Oder verstehe ich dich miss!?

Birkuli hat geschrieben:„nichts für ungut GwenDragon, ich möchte in keiner Weise deine Intelligenz und umfassende Kompetenz in Frage stellen, da deine Welt ja mehr Linux ist sehe ich dir das auch nach, aber deine Frage stellt sich mir so als hättest du gefragt, „ich möchte fliegen und zaubern können, was muss ich tun?“, Ironie Ende.

Willste mich grad zergen? Sag dch einfach: Windows? Geht nicht.
Du Scherzbold, ich fragte weil man bei Windows an allem unmögliche Ecken konfigurieren muss, um zu einem Ergebnis zu kommen.
Ich will keinen MSCSE machen müssen, nur um ein bisschen die Explorer-Anzeige zu verändern.

Birkuli · Beitrag von **Birkuli** » 23.04.2017, 16:34

Hallo @GwenDragon,
ich will dich nicht veräppeln, nur mit den weitreichenden Gruppenrichtlinien lässt sich so etwas einstellen, aber leider ist mir dafür auch noch kein weitreichendes Frontend bekannt was für solche Aufgaben geeignet ist, wäre eine echte Marktlücke.
Über die Registry müsste für jeden Benutzer ein eigener Stamm angelegt werden der beim Start des Benutzers dann statt des Admins geladen wird, (geht aber glaub ich nur mit Server Profilen da dort die Profile in einem eigenen Bereich gespeichert werden und online eingelesen werden) lokale Registry Profile sozusagen, dann könnte man in den Ansichten die Optionen enable oder disable stellen, aber ohne Studium geht das wohl nicht.
Über ein Skript ließe sich dann die Laufwerksanzeige oder Partitionsanzeige konfigurieren.
Darin kannst du das Programm Mountvol.exe aufrufen und alle Bereitstellungspunkte außer dem Systemlaufwerk natürlich für den Benutzer ausblenden, auch sollten sich keine Systembestandteile auf der Partition befinden die ausgeblendet werden soll.
angenommen der Benutzer soll deine Partition F:\ nicht sehen dann wäre folgender Befehl im Skript notwendig, mountvol f:\ /d für diesen Benutzer ist ab sofort das Laufwerk F:\ nicht mehr verfügbar, eine Übersicht der vorhandenen Laufwerke und deren ID bekommst du mit dem Befehl
mountvol.exe >c:\Mountvol.txt in einer Admin Konsole im Laufwerk C: ist nun die Textdatei wo alle Laufwerke aufgeführt sind. Mit Diskpart.exe wäre das Global, beträfe also alle Nutzer.
Das Skript oder die CMD kannst du nun über Autostart in der Registry aufrufen um zu verhindern das der Benutzer das umgehen kann.
Aber auch das ist sehr aufwändig zu konfigurieren, sonst, "Nein Windows kann das nicht".
Gruß Birkuli

GwenDragon · Beitrag von **GwenDragon** » 23.04.2017, 16:42

@Birkuli
Danke für den Hinstuppser! Ach, jetzt kapier ich: :doh:

Nutzerabhängiges Mounten. Ja, das wäre eine Möglichkeit. Aber für meinen Zweck ist das zu viel Aufwand bei meinem PC.

Ich überlege mir mal was mit einem Loginskript für bestimmte Benutzer, wenn ich Lust habe.
Jetzt ist das nicht so wichtig.

Birkuli · Beitrag von **Birkuli** » 23.04.2017, 18:13

habe gerade noch einmal probiert, mountvol.exe ist auch global da es als Admin ausgeführt wird, müsste also auch beim Admin ein Script die Laufwerke wieder einschalten, ich habe das über Batch gelöst als ich damit experimentiert habe.
Die Batches habe ich noch, wenn du irgendwann mal Lust hast kann ich dir meine Daten in einer Art Howto geben, dann must nicht alles neu machen, sondern nur an deine Geometrie anpassen.
Gruß Birkuli

Ach ja, für das automatische starten von Programmen mit Administrator Berechtigung als Benutzer gibt es Tools die das erledigen.

Microsoft macht es uns wirklich nicht leicht.