Win 2k3, Truecrypt, Freigaben und eingeschränkte Benutzer - Kombinieren?

[tele]

Hallo Leute,

ich habe einen Windows Server 2003 SP2 mit 2 Partitionen. Partition 1 ist die gute alte c-Platte für Windows. Die zweite Partition ist mit Truecrypt 4.3 verschlüsselt. Darin befindet sich eine NTFS Partition (also die Partition wird direkt verschlüsselt und mittels \Device\Harddisk0\Partition2 gemountet).

Auf dem Server soll ein Benutzer mit eingeschränkten Rechten arbeiten. Dieser Benutzer darf auf keinen Fall ein Administratorpassword kennen. Der Benutzer darf aber beim Start das Passwort für das Truecrypt-Volume per Hand eintippen.

Jetzt das Problem: Der Server-Dienst, der ja bekanntlich für Freigaben verantworlich ist startet üblicherweise wesentlich eher, als der Bentuzer das Truecrypt Passwort eintippt. Ergo gibt es auch zum Zeitpunkt des Mountens keine Freigabe für die frisch eingehängte Partition. Dies soll aber erreicht werden. Ich habe herausgefunden, dass dazu z.B. der Dienst Server (oder auch bekannt als Lanmanserver) neu gestartet werden muss. Allerdings darf der Benutzer, der das Volume mounted keine Dienste neustarten (wäre ja noch schöner).

Jetzt die Frage: wie bekomme ich das hin, dass ich einen eingeschränkten Benutzer haben kann, der ein Volume irgendwann nach seiner Anmeldung mounted und für dieses Volume automatisch Freigaben eingerichtet werden? Es sollten ja auch nicht immer neue Shares angelegt werden (z.B. mittels RMTSHARE.exe).

Ich bin dankbar für alle Arten von Tipps, Hinweisen Leads und Trick.

Gruß

tele

[Joshua]

Ich kann dir nicht folgen: Sitzt der User direkt am Server oder soll er über Netzwerk auf die Freigabe zugreifen?

Cheers,
Joshua

[tele]

Hallo,

der Benutzer mit eingeschränkten Rechten sitzt wahlweise direkt am Rechner oder verbindet sich auf den Terminalserver.

Gruß

tele

[EoN]

Hm.. das Problem ist gar nicht so einfach.
Mir würde dazu jetzt spontan folgendes einfallen:
Du schreibst Dir nen Programm/Skript, welches dann mit Adminrechten auf dem Server läuft. Dieses schaut z.B. minütlich in die Registry, ob ein Dienst Reload-Flag gesetzt wurde. Wenn es True ist, läd das Programm den entsprechenden Dienst neu und setzt das Flag wieder auf False.

Zusätzlich dazu brauchst Du ein kleines Programm/Skript, welches wenn der User die GUI von TrueCrypt geschlossen hat das entsprechende Flag in der Registry auf True setzt. Das ganze sollte durch das sequenzielle Abarbeiten in einer Batch Datei evtl. realisierbar sein.

Da ich in VBA/Windows Scripting leider überhaupt nicht fit bin, kann ich Dir leider keine genaueren Tipps zur Realisierung geben.

[tele]

Hm, an sowas hatte ich auch schon gedacht - mir kommt es aber ein wenig trocken hoch wenn ich an solche Art von Skripte denke.

Ich muss mal sehen, ob ein eingeschränkter Benutzer geplante Tasks losfeuern kann, die dann unter einen adminkonto laufen, dann hätte ich sowohl die entsprechenden Rechte vor-eingegeben und bräuchte kein extra Skripting/Polling. Ich meld mich dann mal wenn ich das ausprobiert hab.

Gruß

tele

[tele]

So Mädels,

hierm al meine Lösung:
das mit dem geplanten Tasks wollte nicht so recht funktionieren (oder es gab ein Layer 8 Problem), da eingeschränkte Nutzer sich einfach nicht geplante Tasks anzeigen lassen können (Zugriff verweigert) und ich keinen Plan hab, wo ich die Rechte dafür setzen könnte.

Daher hab ich den Refresh der Shares erstmal sein lassen und mir folgendes gedacht:
Die Systempartition wird ja ständig freigegeben, also wäre es praktisch, wenn TrueCrypt in einen Ordner und nicht einen Laufwerksbuchstaben mounten könnte. Ich bin im TrueCrypt Forum auf Folgendes gestoßen:
Mount Container as Folder?

Geht also leider auch nicht so. Aber das besagte Junction funktioniert super.

Ich habe mittels

Code:

juntion c:\d d:\

einfach den Inhalt von D:\ in einen Ordner auf c:\ (der lustigerweise d heißt - hohoho) umgeleitet und es funktioniert - tätätätä.


Danke trotzdem für die ganzen Tipps und Hilfen.

Gruß

tele