---

Hej NG.

Jeg har et LAN bestående af nogle PCer med Windows XP pro.
Alle partitioner er delt på rod niveau, af hensyn til central backup.

Jeg har et ønske om at enkelte NTFS partitioner kun skal kunne tilgås
fra enkelte specifikke PCer på LANet, med andre ord, disse NTFS
partitioner, må ikke kunne tilgås fra det øvrige LAN.

Hvor og hvorledes styreres dette?

--
Med venlig hilsen Michael Petersen
residerende i Nyborg
fjern dyret i min @dresse ved privat post
http://www.petersensweb.dk

---

Petersen_Michael wrote:

> Jeg har et ønske om at enkelte NTFS partitioner kun skal kunne tilgås
> fra enkelte specifikke PCer på LANet, med andre ord, disse NTFS
> partitioner, må ikke kunne tilgås fra det øvrige LAN.
>

Det er du nødt til at styre gennem en firewall.

Hvis du har SP2 installeret, skulle du kunne bruge den indbyggede
firewall. Under exceptions kan du angive hvem der kan komme igennem.

---

jamen wrote:
> Det er du nødt til at styre gennem en firewall.

Det kan også gøres ved at konfigurere IPSec på maskinerne. Og angive at
de porte som bruges til fildeling, skal igennem IPSec filteret.

Det giver dig også den fordel, at du kan kryptere trafikken over dit lan.

---

"Petersen_Michael" <petersen_michael@dengyldnemåge.mail.tele.dk> wrote
in message news:4243229b$0$164$edfadb0f@dtext02.news.tele.dk...
>
> Jeg har et LAN bestående af nogle PCer med Windows XP pro.
> Alle partitioner er delt på rod niveau, af hensyn til central
> backup.
>
> Jeg har et ønske om at enkelte NTFS partitioner kun skal kunne
> tilgås
> fra enkelte specifikke PCer på LANet, med andre ord, disse NTFS
> partitioner, må ikke kunne tilgås fra det øvrige LAN.
>

Fjern delingen på rodniveau og sæt almindelige rettigheder efter
behov.
Dit backup-program kan så sættes op under opgavestyring til at køre
med administratorrettigheder, som så automatisk har adgang til den
prædefinerede roddeling (f.eks. \\pc1\c$) på alle maskiner.

/klaus

---

In news:QCP0e.13$Nv.7@news.get2net.dk,
Klaus Jorgensen <kj@no.spam> wrote:

> Fjern delingen på rodniveau og sæt almindelige rettigheder efter
> behov.

Hvor / hvordan sætter jeg almindelige rettigheder?

> Dit backup-program kan så sættes op under opgavestyring til at køre
> med administratorrettigheder, som så automatisk har adgang til den
> prædefinerede roddeling (f.eks. \\pc1\c$) på alle maskiner.

Hmm.. men ovenover anbefaler du at jeg fjerner deling på rodniveau?
Jeg må have det bøjet i neon..

--
Med venlig hilsen Michael Petersen
residerende i Nyborg
fjern dyret i min @dresse ved privat post
http://www.petersensweb.dk

---

"Petersen_Michael" <petersen_michael@dengyldnemåge.mail.tele.dk> wrote
in message news:42450f1c$0$168$edfadb0f@dtext02.news.tele.dk...
> In news:QCP0e.13$Nv.7@news.get2net.dk,
> Klaus Jorgensen <kj@no.spam> wrote:
>
>> Fjern delingen på rodniveau og sæt almindelige rettigheder efter
>> behov.
> Hvor / hvordan sætter jeg almindelige rettigheder?

Jeg skulle måske lige tilføje at mit forslag går ud på at du begrænser
adgangen på brugerniveau og ikke maskineniveau, således at en
navngiven bruger kan få adgang til en mappe. I stedet for at styre
adgangen per maskine, skal bestemte brugere så kun oprettes på
bestemte maskiner.
Opret brugerne på din "server" og giv dem så kun adgang til de
partitioner/mapper de har behov for - højreklik på drev/mappe og vælg
deling/sikkerhed.
I deling sætter du hvad alle brugerne skal kunne gøre via delingen. I
sikkerhed for de enkelte mapper under delingsniveauet kan du så
udpensle hvad den enkelte bruger skal kunne gøre på den enkelte mappe.
Rettigheder på mapper nedarves med mindre du bremser dette.
Husk dog at teste det på en mappestruktur uden filer - du kan komme ud
for mange sjove ting hvis du kommer til at fjerne for mange
rettigheder...

>> Dit backup-program kan så sættes op under opgavestyring til at køre
>> med administratorrettigheder, som så automatisk har adgang til den
>> prædefinerede roddeling (f.eks. \\pc1\c$) på alle maskiner.
>
> Hmm.. men ovenover anbefaler du at jeg fjerner deling på rodniveau?
> Jeg må have det bøjet i neon..

Jeg forstod det som om du selv havde oprettet en deling i roden (ud
over systemdelingen c$ eller d$ osv.). Du skal kun oprette deling til
brugerne på de punkter i din mappestruktur de har behov for (dette kan
dog sagtens være roden - jeg gør det bare altid på mapperne). For at
kunne lave backup kan du så bruge systemdelingen som altid er der som
standard, og som en administrator har adgang til (hvis altså
administratorkontoen er den samme på alle maskiner som bruger
delingen).

/klaus

---

In news:%t91e.3453$jJ5.3317@news.get2net.dk,
Klaus Jorgensen <kj@no.spam> wrote:

Jeg prøver om jeg kan følge med

> Jeg skulle måske lige tilføje at mit forslag går ud på at du begrænser
> adgangen på brugerniveau og ikke maskineniveau, således at en
> navngiven bruger kan få adgang til en mappe. I stedet for at styre
> adgangen per maskine, skal bestemte brugere så kun oprettes på
> bestemte maskiner.

Jeg opfatter det som at du mener en "global bruger"? Hvor / hvordan
defineres det?
De brugere jeg har oprettet på de enkelte PCer, administratore /
begrænsede bruger har jo kun rettigheder på de PCer hvor de er
oprettet..

> Opret brugerne på din "server" og giv dem så kun adgang til de
> partitioner/mapper de har behov for - højreklik på drev/mappe og vælg
> deling/sikkerhed.

Hmm.. mit LAN, er i princippet ikke opbygget omkring en server..
Konfiguration / behov er som følger:

PC 1a alle partitioner skal deles på hele netværket brugeren skal ikke
have adgang til NTFS partitioner på andre PCer.

PC 2c alle partitioner skal deles på hele netværket brugeren skal ikke
have adgang til NTFS partitioner på andre PCer.

PC 3m NTFS partitioner på denne PC skal deles med PC 4s

PC 4s NTFS partitioner på denne PC skal deles med PC 3m

FAT32 partitioner på samtlige PCer er frit tilgængelige på hele LANet

> I deling sætter du hvad alle brugerne skal kunne gøre via delingen. I
> sikkerhed for de enkelte mapper under delingsniveauet kan du så
> udpensle hvad den enkelte bruger skal kunne gøre på den enkelte mappe.
> Rettigheder på mapper nedarves med mindre du bremser dette.
> Husk dog at teste det på en mappestruktur uden filer - du kan komme ud
> for mange sjove ting hvis du kommer til at fjerne for mange
> rettigheder...

Er fejlen, at jeg et sted under installation af XP har sat flueben ved
"enkel fil deling"?

> Jeg forstod det som om du selv havde oprettet en deling i roden (ud
> over systemdelingen c$ eller d$ osv.).

> Du skal kun oprette deling til
> brugerne på de punkter i din mappestruktur de har behov for (dette kan
> dog sagtens være roden - jeg gør det bare altid på mapperne). For at
> kunne lave backup kan du så bruge systemdelingen som altid er der som
> standard, og som en administrator har adgang til (hvis altså
> administratorkontoen er den samme på alle maskiner som bruger
> delingen).

Jeg har læste ovenstående flere gange, men kan ikke holde fast i tråden.

Jeg er nok lidt langsomt opfattende med hensyn til dette emne :-/

God påske til alle.

--
Med venlig hilsen Michael Petersen
residerende i Nyborg
fjern dyret i min @dresse ved privat post
http://www.petersensweb.dk

---

On Sat, 26 Mar 2005 19:57:02 +0100, Petersen_Michael raised his head
in dk.edb.system.ms-windows and came up with this:
> In news:%t91e.3453$jJ5.3317@news.get2net.dk,
> Klaus Jorgensen <kj@no.spam> wrote:
>

> Hmm.. mit LAN, er i princippet ikke opbygget omkring en server..
> Konfiguration / behov er som følger:
>
> PC 1a alle partitioner skal deles på hele netværket brugeren skal ikke
> have adgang til NTFS partitioner på andre PCer.
>
> PC 2c alle partitioner skal deles på hele netværket brugeren skal ikke
> have adgang til NTFS partitioner på andre PCer.
>
> PC 3m NTFS partitioner på denne PC skal deles med PC 4s
>
> PC 4s NTFS partitioner på denne PC skal deles med PC 3m
>
> FAT32 partitioner på samtlige PCer er frit tilgængelige på hele LANet
>
Det der er simpelthen for indviklet. Du bliver nødt til at tage en
beslutning om hvilken maskine der skal være server og så bygge dine
shares op omkring den. Hvis du så for de brugere der sidder på PC1 og
PC2 sender deres 'Dokumenter' mappe hen på det share der skal ligge på
serveren så kan de arbejde direkte der og mappen bliver gjort cached
som offline filer i tilfælde af netværksproblemer. Samtidigt kan du så
give PC3 og PC4 adgang til hele disken/partitionen på serveren. På den
måde vil backup også blive gjort væsentligt nemmere da der ikke skal
tages backup af et helt net.

--
jda^fx
Som også har implementeret Usenet løsning #45933:
Indlæg fra Google Groups er sat i killfilter

---

In news:1x7bwq6napazt.187vs0ur3ejay$.dlg@40tude.net,
jda^fx <wh@tever.not> wrote:

> Det der er simpelthen for indviklet. Du bliver nødt til at tage en
> beslutning om hvilken maskine der skal være server og så bygge dine
> shares op omkring den. Hvis du så for de brugere der sidder på PC1 og
> PC2 sender deres 'Dokumenter' mappe hen på det share der skal ligge på
> serveren så kan de arbejde direkte der og mappen bliver gjort cached
> som offline filer i tilfælde af netværksproblemer. Samtidigt kan du så
> give PC3 og PC4 adgang til hele disken/partitionen på serveren. På den
> måde vil backup også blive gjort væsentligt nemmere da der ikke skal
> tages backup af et helt net.

Det virker fint nu, bortset fra at alle partitioner deles af alle, jeg
har ingen problemer med at backe hele nettet op på PC 4.

Det eneste der er galt er at det ikke angår PC 1 & 2 hvad PC 3 og 4 har
liggende på NTFS partitioner..

I "de gode gamle win98" dage var det nemt, at sætte password på hver
delt mappe / partition, men den feature er ikke med i XP :-/
--
Med venlig hilsen Michael Petersen
residerende i Nyborg
fjern dyret i min @dresse ved privat post
http://www.petersensweb.dk

---

Petersen_Michael wrote:
> I "de gode gamle win98" dage var det nemt, at sætte password på hver
> delt mappe / partition, men den feature er ikke med i XP :-/

Det fungerer faktisk bedre i dag. For at komme ind skal man angive
brugernavn og password (jeg antager du har deaktiveret 'enkelt
fildeling' under mappeindstillinger).

Så opretter du en speciel konto på hver af klienterne, hvor kun serveren
kender passwordet.

Som sharepermission angiver du, at kun denne ene konto har adgang.

Når serveren forbinder til klienterne, angiver du blot at den skal
benytte den specielle konto du har oprettet.

---

jamen wrote:

> Så opretter du en speciel konto på hver af klienterne, hvor kun serveren
> kender passwordet.

Det har dog den ulempe, at en bruger kan lave lokal bruteforcing på
passwordet.

---

On Sat, 26 Mar 2005 21:50:07 +0100, jamen raised his head in
dk.edb.system.ms-windows and came up with this:
> jamen wrote:
>
>> Så opretter du en speciel konto på hver af klienterne, hvor kun serveren
>> kender passwordet.
>
> Det har dog den ulempe, at en bruger kan lave lokal bruteforcing på
> passwordet.

Ikke hvis det er en bruger som kun er 'Bruger' og ikke 'Administrator'
--
jda^fx
Som også har implementeret Usenet løsning #45933:
Indlæg fra Google Groups er sat i killfilter

---

jda^fx wrote:

> Ikke hvis det er en bruger som kun er 'Bruger' og ikke 'Administrator'

SAM filen ligger til fri kopiering hvis man starter maskinen udenom Windows

---

On Sat, 26 Mar 2005 23:54:01 +0100, jamen wrote:

> jda^fx wrote:
>
>> Ikke hvis det er en bruger som kun er 'Bruger' og ikke 'Administrator'
>
> SAM filen ligger til fri kopiering hvis man starter maskinen udenom Windows

Ja, der findes også programmer hvor man kan boote på floppyer så man kan
enten læse eller ændre passwords fra Windows. Men så snakker vi bare ikke
om en bruger længere. Så snakker vi om indbrud. Men hvis du vil sikre dig
mod det, så fjern alt andet end harddisken fra bootrækkefølgen og sæt
password på BIOS. Så ved jeg godt at man kan skille den ad, kortslutte BIOS
og så er der ikke password på længere. Og sådan kan man blive ved
--
jda^fx

---

On Sat, 26 Mar 2005 21:17:52 +0100, Petersen_Michael raised his head
in dk.edb.system.ms-windows and came up with this:
> In news:1x7bwq6napazt.187vs0ur3ejay$.dlg@40tude.net,
> jda^fx <wh@tever.not> wrote:
>
>> Det der er simpelthen for indviklet. Du bliver nødt til at tage en
>> beslutning om hvilken maskine der skal være server og så bygge dine
>> shares op omkring den. Hvis du så for de brugere der sidder på PC1 og
>> PC2 sender deres 'Dokumenter' mappe hen på det share der skal ligge på
>> serveren så kan de arbejde direkte der og mappen bliver gjort cached
>> som offline filer i tilfælde af netværksproblemer. Samtidigt kan du så
>> give PC3 og PC4 adgang til hele disken/partitionen på serveren. På den
>> måde vil backup også blive gjort væsentligt nemmere da der ikke skal
>> tages backup af et helt net.
>
> Det virker fint nu, bortset fra at alle partitioner deles af alle, jeg
> har ingen problemer med at backe hele nettet op på PC 4.
>
> Det eneste der er galt er at det ikke angår PC 1 & 2 hvad PC 3 og 4 har
> liggende på NTFS partitioner..

Min pointe er bare, at du gøre det mere besværligt og indviklet for
dig selv end det behøver at være hvis du udnytter XPs
netværksfaciliteter.
>
> I "de gode gamle win98" dage var det nemt, at sætte password på hver
> delt mappe / partition, men den feature er ikke med i XP :-/

Joda. Hvis du først fjerner 'Enkel fildeling' Funktioner ->
mappeindstillinger -> vis -> fjernkrydset i brug enkel fildeling. Så
får du mulighed for at sætte rettigheder på de shares du laver. Når du
højreklikker på en delt mappe -> egenskaber -> deling -> tilladelser
så start med at fjerne 'Alle' Når du så baefter klikker på 'tilføj'
kan du sætte brugere på som skal have adgang til sharet.

> I "de gode gamle win98" dage...
Jeg forstår ik'}:¤/
--
jda^fx
Som også har implementeret Usenet løsning #45933:
Indlæg fra Google Groups er sat i killfilter

---

In news:dnq1anrasg4f.r189z7khaufd.dlg@40tude.net,
jda^fx <wh@tever.not> wrote:

> Min pointe er bare, at du gøre det mere besværligt og indviklet for
> dig selv end det behøver at være hvis du udnytter XPs
> netværksfaciliteter.

Dem må jeg jo så lære at kende

>> I "de gode gamle win98" dage var det nemt, at sætte password på hver
>> delt mappe / partition, men den feature er ikke med i XP :-/
>
> Joda. Hvis du først fjerner 'Enkel fildeling' Funktioner ->
> mappeindstillinger -> vis -> fjernkrydset i brug enkel fildeling.

Jeg har nu fjernet enkel fildeling. Så langt så godt.

> Så
> får du mulighed for at sætte rettigheder på de shares du laver. Når du
> højreklikker på en delt mappe -> egenskaber -> deling -> tilladelser
> så start med at fjerne 'Alle' Når du så baefter klikker på 'tilføj'
> kan du sætte brugere på som skal have adgang til sharet.

Nu har jeg endnu ikke fjernet alle (vil lige sikre mig at der er hul
igennem, inden der går noget galt)
Men jeg kan ikke lige se mig ud af at oprette brugere uden for den
pågældende PC?

>> I "de gode gamle win98" dage...
> Jeg forstår ik'}:¤/

Har det noget med vilje at gøre
--
Med venlig hilsen Michael Petersen
residerende i Nyborg
fjern dyret i min @dresse ved privat post
http://www.petersensweb.dk