7
Windows Server 2012 R2 - Lokale Sicherheitsrichtlinie - Zugriff auf Netzwerk verweigern
Guten Abend zusammen,
wir haben in unserem Firmennetz einen eigenen Server 2012 R2 (als virtuelle Maschine), welcher nicht in der Domäne mit aufgenommen ist - er hat eine eigene Arbeitsgruppe und soll quasi isoliert geführt werden.
Hier habe ich noch nicht so viel Erfahrung, ich möchte im Prinzip den Zugriff auf andere System von diesem isolierten Server unterbinden, zumindest an Gruppen festgemacht.
Ich komme nämlich auf andere Server, welche sich in der Domäne befinden.
Dies soll verhindert werden, ich finde aber keine Einstellung dazu in den lokalen Sicherheitsrichtlinien.
Gibt es hierfür eine Einstellung oder muss man eine Regel definieren ?
Danke schon mal und noch einen schönen Abend.
wir haben in unserem Firmennetz einen eigenen Server 2012 R2 (als virtuelle Maschine), welcher nicht in der Domäne mit aufgenommen ist - er hat eine eigene Arbeitsgruppe und soll quasi isoliert geführt werden.
Hier habe ich noch nicht so viel Erfahrung, ich möchte im Prinzip den Zugriff auf andere System von diesem isolierten Server unterbinden, zumindest an Gruppen festgemacht.
Ich komme nämlich auf andere Server, welche sich in der Domäne befinden.
Dies soll verhindert werden, ich finde aber keine Einstellung dazu in den lokalen Sicherheitsrichtlinien.
Gibt es hierfür eine Einstellung oder muss man eine Regel definieren ?
Danke schon mal und noch einen schönen Abend.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 258613
Url: https://administrator.de/contentid/258613
Printed on: April 25, 2024 at 22:04 o'clock
7 Comments
Latest comment
Moin,
so wird das nix ... Besorge dir einen VLAN fähigen Router oder einen Layer-3 Switch und packe die beiden Netze jeweils in ein separates VLAN so wie es die Profis machen. Dann steht das auf soliden Beinen!
Ein Tutorial das dir die Grundlagen dazu vermittelt findest du hier vom Kollegen @aqui:
VLAN Installation und Routing mit M0n0wall, pfSense, DD-WRT oder Mikrotik
Ansonsten mach die Windows-Firewall des Servers so dicht das nur noch auf die IP des DefaultGW zugegriffen werden kann.
Gruß jodel32
so wird das nix ... Besorge dir einen VLAN fähigen Router oder einen Layer-3 Switch und packe die beiden Netze jeweils in ein separates VLAN so wie es die Profis machen. Dann steht das auf soliden Beinen!
Ein Tutorial das dir die Grundlagen dazu vermittelt findest du hier vom Kollegen @aqui:
VLAN Installation und Routing mit M0n0wall, pfSense, DD-WRT oder Mikrotik
Ansonsten mach die Windows-Firewall des Servers so dicht das nur noch auf die IP des DefaultGW zugegriffen werden kann.
Gruß jodel32
Hallo,
Dann ziehe ihm den virtuellen Netzwerkstecker. Schon gibt's kein Zugriff auf andere Server oder verpass ihm eine Schnittstelle welche kein Zugriff in dein Netz hat. Fertisch.
gelöst untergebuttert bzw. drängt sich nicht mehr im Vordergrund.
.
Gruß,
Peter
Dann ziehe ihm den virtuellen Netzwerkstecker. Schon gibt's kein Zugriff auf andere Server oder verpass ihm eine Schnittstelle welche kein Zugriff in dein Netz hat. Fertisch.
Ich komme nämlich auf andere Server, welche sich in der Domäne befinden.
So sollte es sein, wenn , ja wenn dann nämlich nicht die Sache mit den Benutzernamen und deren Passwörter wäre. Andere Benutzer und Passwörter und schon ist dein Problem .
Dies soll verhindert werden, ich finde aber keine Einstellung dazu in den lokalen Sicherheitsrichtlinien.
Gehst so auch nicht. Du hast ein falsches Konzept bzw. dein Design ist falsch...Gibt es hierfür eine Einstellung
Kommt auf die anderen beteiligten anoder muss man eine Regel definieren ?
Wo willst du denn welche Schilder aufstellen und wer soll die Einhaltung überwachen? Firewall bzw. VLAN bzw. Router wäre so eine Sache aber davon sagst du ja nüscht...Gruß,
Peter
Guten Abend @Mantok,
Ansonsten wie schon von @114757 angemerkt VLAN und Firewall helfen deinem Problem.
Gruß,
Dani
Ich komme nämlich auf andere Server, welche sich in der Domäne befinden.
Hoffentlich nur bis zur Benutzer- & Passwortabfrage für den Zugriff. Wenn dies nicht erscheint, hat der lokale Benutzer (Administrator) am deinem Arbeitsgruppenrechner das selbe Passwort wie der Administrator in der Domäne...Ansonsten wie schon von @114757 angemerkt VLAN und Firewall helfen deinem Problem.
Gruß,
Dani
Hallo jodel32,
danke für den Hinweis und den Vorschlag.
Unsere IT-Struktur soll Anfang bis Mitte 2015 auf neue Komponenten inkl. verschiedener V-LANs umgerüstet werden,
dann kann das auch professionell gelöst werden.
Bis dahin würde ich auf jeden Fall das mit der Firewall prüfen, klingt jedenfalls "praktikabel" bis die bessere Lösung umgesetzt ist.
An die anderen, auch vielen Dank.
Mir ist schon bewusst, dass hier vielleicht Informationen fehlen können, aber ich bin noch relativ neu auf dem Server Gebiet, sorry,
wenn ich da zu wenig geliefert habe.
Ich gebe hier bescheid, ob es soweit gepasst hat.
danke für den Hinweis und den Vorschlag.
Unsere IT-Struktur soll Anfang bis Mitte 2015 auf neue Komponenten inkl. verschiedener V-LANs umgerüstet werden,
dann kann das auch professionell gelöst werden.
Bis dahin würde ich auf jeden Fall das mit der Firewall prüfen, klingt jedenfalls "praktikabel" bis die bessere Lösung umgesetzt ist.
An die anderen, auch vielen Dank.
Mir ist schon bewusst, dass hier vielleicht Informationen fehlen können, aber ich bin noch relativ neu auf dem Server Gebiet, sorry,
wenn ich da zu wenig geliefert habe.
Ich gebe hier bescheid, ob es soweit gepasst hat.
Hi.
Liefer' doch lieber weitere Informationen, anstatt einem bestimmten Tipp nachzugehen, der auf deinen spärlichen bisherigen Infos aufbaut
->"isoliert"=? Was soll trotz Isolation von wem erreichbar sein?
->"Zugriff auf andere System von diesem isolierten Server unterbinden" - welche Art von Zugriff denn?
->"Ich komme nämlich auf andere Server, welche sich in der Domäne befinden" - Du meinst, Du kannst deren Freigaben erreichen, Dich per remote Desktop verbinden, sie anpingen? Warum stellt das ein Problem dar?
Vermutlich lässt sich alles, was Du willst, über die lokale eingebaute Firewall am Server ausreichend lösen. Für fundierte Hilfe solltest Du jedoch mal auf meine 3 ->Zeilen eingehen.
Liefer' doch lieber weitere Informationen, anstatt einem bestimmten Tipp nachzugehen, der auf deinen spärlichen bisherigen Infos aufbaut
->"isoliert"=? Was soll trotz Isolation von wem erreichbar sein?
->"Zugriff auf andere System von diesem isolierten Server unterbinden" - welche Art von Zugriff denn?
->"Ich komme nämlich auf andere Server, welche sich in der Domäne befinden" - Du meinst, Du kannst deren Freigaben erreichen, Dich per remote Desktop verbinden, sie anpingen? Warum stellt das ein Problem dar?
Vermutlich lässt sich alles, was Du willst, über die lokale eingebaute Firewall am Server ausreichend lösen. Für fundierte Hilfe solltest Du jedoch mal auf meine 3 ->Zeilen eingehen.
Hi DerWoWusste,
danke für die Rückmeldung und ein frohes neues Jahr
Grundsätzlich stehe ich ja vor dem Problem, dass ich nicht genau weiß, welche Informationen fehlen könnten
Gerne gehe ich die Punkte mal durch.
->"isoliert"=? Was soll trotz Isolation von wem erreichbar sein?
Also, man soll per Citrix-Remote Desktop App auf den Server kommen, von da dann aber nur spärlich weitere Netzwerkzugriffe ausführen können.
Im Detail eigentlich nur eine bzw. zwei externe IP-Adressen, eine Webseite, das wars.
->"Zugriff auf andere System von diesem isolierten Server unterbinden" - welche Art von Zugriff denn?
Jede Art von Zugriff, schon am besten gar nicht unter "Netzwerk" auflisten.
->"Ich komme nämlich auf andere Server, welche sich in der Domäne befinden"
Du meinst, Du kannst deren Freigaben erreichen, Dich per remote Desktop verbinden, sie anpingen?
Warum stellt das ein Problem dar?
Die Nutzer auf diesem Server sollen genau das nicht können. Der Rest des Netzes außerhalb dieses Servers ist für die Nutzer darauf tabu.
Wenn es die Admins können etc. ist es ok.
Ich hoffe, die Infos helfen ein wenig weiter ?
Wenn nicht, dann bitte ich um eine weitere "Stütze", welche weitere Infos benötigt werden.
Viele Grüße
danke für die Rückmeldung und ein frohes neues Jahr
Grundsätzlich stehe ich ja vor dem Problem, dass ich nicht genau weiß, welche Informationen fehlen könnten
Gerne gehe ich die Punkte mal durch.
->"isoliert"=? Was soll trotz Isolation von wem erreichbar sein?
Also, man soll per Citrix-Remote Desktop App auf den Server kommen, von da dann aber nur spärlich weitere Netzwerkzugriffe ausführen können.
Im Detail eigentlich nur eine bzw. zwei externe IP-Adressen, eine Webseite, das wars.
->"Zugriff auf andere System von diesem isolierten Server unterbinden" - welche Art von Zugriff denn?
Jede Art von Zugriff, schon am besten gar nicht unter "Netzwerk" auflisten.
->"Ich komme nämlich auf andere Server, welche sich in der Domäne befinden"
Du meinst, Du kannst deren Freigaben erreichen, Dich per remote Desktop verbinden, sie anpingen?
Warum stellt das ein Problem dar?
Die Nutzer auf diesem Server sollen genau das nicht können. Der Rest des Netzes außerhalb dieses Servers ist für die Nutzer darauf tabu.
Wenn es die Admins können etc. ist es ok.
Ich hoffe, die Infos helfen ein wenig weiter ?
Wenn nicht, dann bitte ich um eine weitere "Stütze", welche weitere Infos benötigt werden.
Viele Grüße
Du kannst alles mit der lokalen Firewall des Servers machen. Wenn Du konkrete Fragen dazu hast, musst Du sie stellen.
