group policy

Aşağıdaki makale yardımcı olacaktır.

Dostlukla... 

http://support.microsoft.com/kb/231289  

Benim yapmak istediğim sürücü gizlemek değil.

Kullanıcılar başka pc üzerinden kendi accountları ile oturum açıp C dizinine erişemidiği gibi D dizininede erişememisini istiyorum.

Bu nasıl yapılabilir..

Konuyla ilgili fikriyatı olan yokmu arkadaşlar..

Merhaba,

User Conf / Administrative Temp./Windows Comp /Win.Explorer altında

Hide these specified drivers in my computer : Tüm sürücüleri gizler.

Prevent access to driver from my computer : Sürücülere girişi yasaklar. Hatırladığım kadarıyla buradan sürücüyü seçebiliyordunuz.

Keyifli çalışmalar. 

Benim yapmak istediğim sürücü gizlemek değil.

Kullanıcılar başka pc üzerinden kendi accountları ile oturum açıp C dizinine erişemidiği gibi D dizininede erişememisini istiyorum.

Bu nasıl yapılabilir..

Peki kendi PC'lerindeki D:/ sürücüsü için durum ne olacak?

Ugur beyin dediğine ek olarak Prevent access yaptığımızda kullanıcı administrator olarak yetkilendirilsede sürücüye giriş engelleniyordu. Bunun çözümünü delegation kısmında administrator için gpo uygulamamayı seçerek yaptım.  Yeni başlayan biri olarak bulabildiğim bu.

Ben de ek olarak C dizinine girişide tamamen engellemeliyim ama engelledikten sonra da user giriş yaptığında doğal olarak desktop kullanamıyor. Bununla ilgilide çözüm önerisi olan varsa sevinirim.

Ben de ek olarak C dizinine girişide tamamen engellemeliyim ama engelledikten sonra da user giriş yaptığında doğal olarak desktop kullanamıyor. Bununla ilgilide çözüm önerisi olan varsa sevinirim.

Selam,

Bir sürücü için prevent access to drive policy uyguladıktan sonra sadece Windows Explorer üzerinden yapılmaya çalışılan erişim denemeleri engellenir. Örneğin uygulamalar ve diğer bazı yöntemler yine disk'e erişerişebilir. C: (system) sürücüsü için de durum aynı. Kullanıcı oturum açtığında Windows Explorer üzerinden sürücüye girip dizin/dosya'ları göremez ama masa üstü, C:'den gelen kısa yollar ve C:\Program Files altında bulunan tüm programlar yine çalışmaya devam eder.

Evet haklısınız programlar sorunsuz çalışıyor. Fakat desktop ta bir klasör haliyle açılamıyor. Acaba C ye giriş söylenen şekilde engellenip sadece desktop dizinine özel bir izin verme gibi birşey yapılabilir mi?

Bu olmaz. Yani kullanıcı desktop'a da yazabiliyor olmalı çünkü bu, ntfs izinleri ile kontrol edilir ve profil üst ntfs tanımlarından miras alınır, varsayılan durumda kullanıcı disklere erişemese de desktop'a yazabilir. Eğer yazamıyorsa, ntfs ayarlarında bir değişiklik yapılmıştır.

Evet dediğiniz gibi yazabiliyor. Metin belgesi olusturup okuyabiliyor ama klasör oluştursada oluşturduğu klasöre girmek istediğinde sistem yöneticinizle görüşün uyarısı geliyor. Anladığım kadarıyla bu kuralda desktopta izinli olsada alt dizinlerine giriş engelleniyor. Bununla ilgili alt dizinlerine özel bir izin tanımlamak istiyorum gpo da ama malesef nasıl yapacağımı bulamadım. Yeni başlayan biri olarak umarım anlamsız birşey istemiyorumdur. Yardımlarınız için teşekkürler

Bu senaryodaki bazı durumları ntfs izni tanımlayarak veya GPO ile aşma şansınız yok bu nedenle folder redirection ile sadece deskop'ı (veya tüm profili) yönlendirmek çok daha doğru bir seçim olur. Bu konu için iki şansınız var.

1) Local disk üzerinde yeni bir partition yaratın (örneğin F:/), kullanıcı veya tüm kullanıcıların desktop'larını bu sürücüye yönlendirin, ardından diğer tüm sürücü harflerine erişimi engelleyin (C:/ D:/ vs..). Kullanıcı açık olan F:/ sürücüsüne girebilse de sadece kendi klasörlerine erişebiliyor olacak. Hatta bu senaryoda özel ntfs izinleri ile çok daha ilginç şeyler yapılabilir.

2) Yine folder redirection ile desktop klasörlerini bir network share üzerine taşıyın. Ardından tüm sürücülere erişimi engelleyin.

O halde folder redirection deneyeceğim.

Zaman ayırıp cevaplandırdığınız için teşekkür ediyorum. Kolay gelsin.

Konuyu ben açtım başkası soruyu değiştirip kapatmış[:)]

Serhat hocam, öncelikle elinize ağzınıza sağlık. Uğur hocamın  bahsettiği şekilde denedim ancak D sürücüsü tamamen erişilemez oldu. Kendi kullanıcısı bile erişemiyor.

Benim sorum şöyle;

Siz ofiste kendi bilgisayarınızı kullanıyorsunuz. Bilgisayarınız domain ortamında. Masanızdan kalktınız ve başkası geldi sizin bilgisayara oturdu ve kendi kullanıcısıyla oturum açtı. Bu şekilde C sürücüsü altındaki (Desktop belgelerim )vs gibi datalarınıza ulaşamıyor ancak D sürücüsündeki datalara ulaşabiliyor. Ben D sürücüsüne tıkladığında da erişim engellendi mesajı versin istiyorum.

Teşekkürler yardımlarınız için...

Fikriyatı olan yok mu arkadaşlar?

Kendi oturumlarından erişebiliyor olacaklar hocam..

Kendi oturumundan kullanabilir olacak..

İstediğin Mantık Olarak Ters Bişi Yani Konuyu Açıldığından Beri takip Ediyor Senin için Araştırıyorum Kendim Bazı Methodlar Deniyorum Ama Bunu Yapamıyorum Tree Part Bir Yazılım İle Olabilir Belki Daha Detaylı Araştırıp Eğer Bir Tree Part Yazılım Bulursam Seninle Paylaşacağım 

"Senin İstediğin Her Kullanıcı Domainde Olan X Bilgisarların Hepsini Açabilsin Yanlız Kendi Makinesi Hariç Hangi Makinede Oturum Açarsa Açsın D: Sürücüsüne Giremesin " Yanlız GPO'dan Bunu Şu Pc'ler İçin Diyemezsin Kullanıcı Bazlı Policy Olduğu İçin Tüm client'larda Geçerli olur Local Policy Üzerinden Bir Araştırma Yapacam Onunda Sonucunu Paylaşırım...

Ben aslında herkesin ihtiyacı olduğu bir soru sordum. Çoğu domain ortamı kullanan yerler bilgisayar adına göre oturum açma şeklinde ayarlama yapmıyor. Ben şu zamanda neden hala başka bilgisayarda oturum açamasınlar diye oturup 500 adet bilgisayar adını domaine kaydedim. Birde mantıksız olan durum, kullanıcılar başka pc de oturum açamıyacaksa domain çok önemli bir avantajını yitirmiş olmuyor mu? Bunun microsoft tarafından artık bir çözüme ulaştırılması gerekmiyor mu?

Yapılması gereken sadece C sürücüsü gibi diğer sürücülerede authentication user hakkını kaldıracak ancak biz istersek permisions ayarlarından eklediğimizde erişebilecek. Mantık aslında basit ama neden microsoft bu yönde işlerimizi artık kolaylaştırmıyor ve neden hala complex olmayan birşey için bile 3. party yazılımlara ihtiyaç duyuyoruz. İnşallah Server 8 de bunu düşünürler.

Cevaplar ve yorumlar için teşekkürler..