Hallo zusammen,
bisherige Versuche und ihre Auswirkungen:
Ändern der NTFS-Berechtigungen für „students“.
Was gemacht wurde: Die NTFS-Berechtigungen auf C: wurden geändert, indem der Gruppe „students“ das Erstellen von Ordnern und Dateien verweigert wurde (GPO: Computer-Konfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Dateisystem).
Ergebnis: Das Erstellen von Ordnern wurde für Schüler blockiert. Lehrer wurde ebenfalls blockiert, da die Gruppe „students“ Teil der authentifizierten Benutzer ist.
Die GPO „Zugriff auf Laufwerk C: verhindern“ wurde aktiviert.
Ergebnis: Schüler konnten nicht mehr auf das C:-Laufwerk zugreifen, aber auch der Zugriff auf persönliche Ordner (z. B. Dokumente) wurde blockiert. Die Schüler konnten so nicht auf ihre wichtigen Arbeitsbereiche zugreifen.
Hinweis:
Roaming-Profile oder Ordnerumleitungen kommen nicht in Frage, da sie in unserer Umgebung nicht praktikabel sind und zu anderen Problemen führen können, insbesondere da die Schüler die Klassen wechseln. Es ist zu berücksichtigen, dass andere GPOs weiterhin Ordner auf C:\ ablegen können, ohne dass es zu Konflikten kommt.
Hat jemand eine Idee, wie man das sauber lösen kann, ohne andere GPOs oder wichtige Funktionen zu beeinträchtigen? Vielen Dank schon Mal für Eure Antworten.
1.) zunächst mal eine Frage zum Verständnis: Warum sollen Schüler keine Ordner und Dateien auf C: ablegen dürfen? Nach einem Image-Abgleich sind die doch eh wieder weg, also kann dauerhaft dort ohnehin nichts gespeichert werden…Welchen Vorteil siehst du darin, wenn man dies von vornherein unterbindet?
2.) Das Windows-System erwartet, dass Benutzer zumindest auf ihrem eigenen Profilpfad (welcher sich in der Regel unter C:\Users befindet) Schreibrechte besitzen. Unterbindet man die teilweise oder vollständig, kann es immer mal wieder zu Stabilitätsproblemen führen, weil eben die ein oder andere Software was da rein schreiben will. Es widerspricht quasi dem Design von MS Windows hier Einschränkungen vornehmen zu wollen.
Welches Ziel genau soll denn mit dieser Restriktion verbunden sein?
Hallo Thomas, ich danke Dir zunächst für Deine Antwort. Der IT-Lehrer möchte nicht, dass die Schüler Ordner auf C:\ erstellen. Der Grund dafür könnte sein, dass Ordner unkontrolliert erstellt werden können. Dies betrifft den Hauptpfad C: nur, auf dem eingeschränkte Benutzer derzeit Ordner/Datei erstellen können (Standardrecht in Windows). Dadurch können Sicherheitsrisiken entstehen und es kann zu Verwirrung in der Ordnerstruktur kommen - so genau, weiß ich das auch nicht. Zum Image Abgleich: Ja, sie wären dann weg. Liebe Grüße Özgür
genau das ist das Argument und auch der Hauptgrund, warum viele Schulen linuxmuster.net einsetzen. Die Schüler können quasi das OS auf dem Rechner gnadenlos verwüsten → Auf Knopfdruck wieder in den Ursprungzustand binnen weniger Minuten wiederhergestellt.
Daher kann ich die Bedenken des IT-Lehrers nicht teilen, denn dauerhaft kann sich auf den Clients nichts einnisten.
ich sehe das genauso wie Thomas.
Die Rechner sollten so eingestellt sein,d ass sie bei jedem Booten syncen.
Die Schüler*innen hören dann nach einer Weile selber mit solchen Dingen auf, weil es einfach keine langfristige Wirkung hat.
Das ist auch das Sicherheitskonzept der lmn: bei jedem boot syncen.
Macht man das, hat man ein ganz neues Gefühl am Client: Admin und alle Nutzer.
Aber wenn du das trotzdem machen magst … das geht schon irgend wie.
Dein Problem ist ja, dass die Lehrer auch ind er Gruppe students sind: sonst wärest du ja mit der Gruppenrichtlinie schon am Ziel.
Das kannst du vielelicht umgehen, wenn du statt „students“ als Gruppe die ganzen Klassengruppen nimmst.
Also 5a, 5b, …
Ja, das ist einmal viel Aufzählen beim Einrichten, aber dann ist es kein Aufwand mehr.
Allerdings weiß ich nicht, ob Lehrer, die sich in eine Klasse eintragen, dann nicht auch in der Klassengruppe sind …
Aber ich meine es gibt sowas wie ein Hauptgruppe der man angehört, und das wäre bei Schüler*innen die Klassengruppe, während es bei Lehrern teachers ist…
Aber: ich verstehe auch nicht, warum die Lehrer den in C:\ schreiben können sollen (müssen)…
Mach doch einen Ordner
c:\temp
und verbiete C:\ für alle … fertig.
Wer da rumschmieren will, der soll das in temp machen…
Hallo Holger,
bei uns wird nicht bei jedem Start gesynct. Wenn wir die Rechner allerdings mal syncen, wären alle Änderungen weg. Wir besprechen das mit unserem IT-Lehrer. Die Berechtigungen lassen wir so, wie sie sind. Danke für die Antworten. VG Özgür
