Einen Nutzeraccount ausschließlich für Dateifreigaben (SMB)

[ReactivateMe347]

Hallo zusammen. Ich möchte für meinen Mitbewohner gerne einen Account einrichten auf meinem Windows-System, damit er und nur er im Netzwerk auf Freigaben zugreifen kann. Welche Rechte muss ich dem Nutzer nehmen? Auf meiner Liste bisher:

• Recht zur Lokalen anmeldung
• Recht zur Remotedesktop-Anmeldung
• Kein Mitgliedschaft in Gruppe "Administratoren"

Kann ein Nutzer sonst auf ein System zugreifen? Beispielsweise RPC/IPC ?
Ist es sinnvoll, den SMB-only-Account vielleicht auch aus der Benutzer-Gruppe zu verbannen? (Und funktioniert SMB dann noch) ?!

danke!

 

[Masamune2]

Für Zugriff auf Netzwerkfreigaben muss er sich weder lokal noch per RDP anmelden müssen.
"Auf diesen Computer vom Netzwerk aus zugreifen" reicht hier.

 

[Tada100]

Wenn er auf Freigaben im Netzwerk zugreifen soll, warum sollte er dann ein Acc auf deinem System haben müssen?
Hast du ein NAS, ein PC der als NAS dient oder wie darf man sich das jetzt vorstellen?

 

[Masamune2]

Ich denke er will auf eine Freigabe auf seinem PC zugreifen. Wozu sonst der Account.

 

[ReactivateMe347]

Genau, es geht um Freigaben auf einem Windows-System, nicht um ein NAS. Und die obige Liste sind Rechte, die ich dem Nutzeraccount nehmen bzw. nicht geben will. Die frage ist, ob es eben noch mehr Zugriffsmöglichkeiten gibt, die ein Windows-Account erlaubt neben RDP und lokalem Zugriff, wie eben z.B. Remote-Prozessaufruf (RPC).

 

[Bob.Dig]

Einfach keiner Gruppe zuordnen, fertig.

 

[RalphS]

Eh, genau andersherum. Gruppe oder Gruppen einrichten mit allem was erforderlich ist und dann den Burschen dort rein. Gibt's dann wen anderen, kann dieser einfach mit in die Gruppe. Kein weiterer Aufwand.

Für die Gruppen überlegen, ob es da semantische Zusammenhänge gibt. In welchem Kontext soll der/die Besucher zugreifen? Als "Netzwerkgast"? Dann die Gruppe Netzwerkgäste nennen. Gibt's mehrere verschiedene Kontexte, in denen Benutzer zugreifen können sollen (zB als Editor), dann für diese weitere Gruppen erstellen (optional, nur bei Bedarf).

Für (nur) SMB-Zugriff:

• Neue Gruppe erstellen
• Den bewußten Benutzer in die Gruppe rein und aus Users/Benutzer raus
• Überlegen ob der Benutzer nur lesen oder auch schreiben können soll
• Entsprechend der Gruppe im Dateisystem die erforderlichen Berechtigungen geben
• Der Gruppe Vollzugriff auf der Freigabe einräumen.

Local Logon oder Remote Desktop Access sind nicht erforderlich, die kannst Du beide streichen. Local Logon = An den PC ransetzen. RD Zugriff: Via mstsc.exe zugreifen.

 

[ReactivateMe347]

Berechtigungen für Freigabe/Dateisystem müssen natürlich erfolgen, versteht sich.
Also ist ein lokaler Nutzer, der weder in der Administrator- noch in der Benutzergruppe ist, frei jedlicher Berechtigungen, und abgesehen von den Dateisystem-Rechten muss weiter nichts konfiguriert werden?

 

[Masamune2]

Doch du musst konfigurieren das er vom Netzwerk auf den Rechner zugreifen darf.
secpol.msc -> Lokale Richtlinien -> Zuweisen von Benutzerrechten -> Auf diesen Computer vom Netzwerk aus zugreifen.
Wie im zweiten Beitrag geschrieben.

 

[ReactivateMe347]

Das die alle Rechte so verschieden und gleichzeitig unspezifisch benennen. RDP wäre schließlich auch über das Netzwerk - aber immerhin steht in der ausführlicheren Erklärung, dass "Auf diesen Computer vom Netzwerk aus zugreifen" RDP nicht einschließt.
entschuldige, in deinem ersten Post hattest du mich missverstanden, deswegen dachte ich, das wäre nicht relevant. Danke.

 

[Bob.Dig]

Doch du musst konfigurieren das er vom Netzwerk auf den Rechner zugreifen darf.
secpol.msc -> Lokale Richtlinien -> Zuweisen von Benutzerrechten -> Auf diesen Computer vom Netzwerk aus zugreifen.

Da steht aber schon jeder drin, von daher...