12
Netzwerkfreigaben-sichtbare PCs für einen PC einschränken
Hallo!
Ich brüte momentan ein Netzwerkproblem. Gegeben ist ein Netzwerk mit passwortgeschützen und freie/ungeschützten Freigaben. Ein PC AAA (Windows Vista Home Premium) soll als einzige mögliche Freigabe auf eine für alle PCs im Netzwerk freigegebene Freigabe auf PC BBB (Windows 7 Pro) zugreifen können. Leider befinden sich auf PC BBB noch weitere Freigaben, auf die PC AAA nicht zugreifen können soll und auf die die anderen PCs XYZ des Netzwerk weiterhin ohne Passwort zugreifen können sollen.
Der Zugriff von PC AAA auf PC BBB soll möglichst per Einbindung als Netzwerklaufwerk erfolgen.
Mein erster Ansatz wäre:
1. Die ohne Passwort zugänglichen Freigaben auf den PCs XYZ für PC AAA per Firewalleinstellung auf PC AAA verbieten. Also sozusagen brachial mit der Keule die Kommunikation alle lokalen festen IPs für PC AAA verbieten, außer die IP von PC BBB und der Fritzbox fürs Internet. Mir fällt dafür keine elegante Lösung ein.
2. Jetzt bleibt das Problem der mehreren ungeschützen Freigaben auf PC BBB. Mir fällt da auch mit aktivierter kennwortgeschützten Netzwerkfreigabe keine Möglichkeit ein, auf PC BBB die passwortfreien Freigaben vor PC AAA zu verstecken (ohne Account Jeder bleibt PC AAA zwar außen vor, aber mit Einbindung Gast RW für die anderen PCs XYZ kann PC AAA auf PC BBB ja wieder auf die nicht gewollten Freigaben zugreifen.
Gäbe es noch eine komplett andere Lösungsmöglichkeit? Ich komme an dieser Stelle nicht weiter.
Gruß Micha
Ich brüte momentan ein Netzwerkproblem. Gegeben ist ein Netzwerk mit passwortgeschützen und freie/ungeschützten Freigaben. Ein PC AAA (Windows Vista Home Premium) soll als einzige mögliche Freigabe auf eine für alle PCs im Netzwerk freigegebene Freigabe auf PC BBB (Windows 7 Pro) zugreifen können. Leider befinden sich auf PC BBB noch weitere Freigaben, auf die PC AAA nicht zugreifen können soll und auf die die anderen PCs XYZ des Netzwerk weiterhin ohne Passwort zugreifen können sollen.
Der Zugriff von PC AAA auf PC BBB soll möglichst per Einbindung als Netzwerklaufwerk erfolgen.
Mein erster Ansatz wäre:
1. Die ohne Passwort zugänglichen Freigaben auf den PCs XYZ für PC AAA per Firewalleinstellung auf PC AAA verbieten. Also sozusagen brachial mit der Keule die Kommunikation alle lokalen festen IPs für PC AAA verbieten, außer die IP von PC BBB und der Fritzbox fürs Internet. Mir fällt dafür keine elegante Lösung ein.
2. Jetzt bleibt das Problem der mehreren ungeschützen Freigaben auf PC BBB. Mir fällt da auch mit aktivierter kennwortgeschützten Netzwerkfreigabe keine Möglichkeit ein, auf PC BBB die passwortfreien Freigaben vor PC AAA zu verstecken (ohne Account Jeder bleibt PC AAA zwar außen vor, aber mit Einbindung Gast RW für die anderen PCs XYZ kann PC AAA auf PC BBB ja wieder auf die nicht gewollten Freigaben zugreifen.
Gäbe es noch eine komplett andere Lösungsmöglichkeit? Ich komme an dieser Stelle nicht weiter.
Gruß Micha
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 179284
Url: https://administrator.de/contentid/179284
Printed on: April 24, 2024 at 22:04 o'clock
12 Comments
Latest comment
entschuldige, dass ich das nicht verstehe, aber meinst du es ungefähr so?
https://sites.google.com/site/0918509381309h/
edit: falls hier ein bild mt völlig anderem zusammenhang erscheint: ich benutze diese seite nur für die aktuellsten themen. jedes bild wird aber mindestens einen monat bleiben.
https://sites.google.com/site/0918509381309h/
edit: falls hier ein bild mt völlig anderem zusammenhang erscheint: ich benutze diese seite nur für die aktuellsten themen. jedes bild wird aber mindestens einen monat bleiben.
Genau. Wobei für XYZ sichergestellt werden soll, dass der Zugriff auf Dateigruppe A und B ohne Eingabe Benutzeraccount/Passwort, also passwortfrei,möglich bleibt.
Das ganze über das Anlegen von zusätzlichen Benutzeraccounts nebst Passwort zu erledigen geht leider nicht, da bei einem neuen Rechner XYZ wieder ein Benutzeraccount auf BBB dafür angelegt werden müsste und der zur Freigabe hinzugefügt werden müsste.
Das ganze über das Anlegen von zusätzlichen Benutzeraccounts nebst Passwort zu erledigen geht leider nicht, da bei einem neuen Rechner XYZ wieder ein Benutzeraccount auf BBB dafür angelegt werden müsste und der zur Freigabe hinzugefügt werden müsste.
Mach doch einfach eine zentrale Benutzerverwaltung LDAP, AD, NDS, kerberos o.ä dann mußrt Du nicht jedesmal einzelne User anlegen.
lks
lks
da entsteht bei mir die frage: kann benutzer von AAA auf einen pc der gruppe XYZ zugreifen (über den arbeitsplatz oder über remote) und darf er das? bzw andersherum...
also sollen die dateien nur vor dem rechner oder auch vor dem user geschützt werden?
also sollen die dateien nur vor dem rechner oder auch vor dem user geschützt werden?
Noch eine Anmerkung:
Sofern der PC nicht per IPSEC oder einer anderen authentisierten Verbindung Kontakt aufnimmt, nützen die üblichen verbindungen normalerweise nichts, weil man z.B. ganz einfach die IP-und MAC-Adressen ändern kann und damit die i.d.R. auf Adressen basierenden Regeln von Firewalls unterläuft. Sinnvoller wäre es imho das auf Basis von Benutzern zu regeln.
lks
Sofern der PC nicht per IPSEC oder einer anderen authentisierten Verbindung Kontakt aufnimmt, nützen die üblichen verbindungen normalerweise nichts, weil man z.B. ganz einfach die IP-und MAC-Adressen ändern kann und damit die i.d.R. auf Adressen basierenden Regeln von Firewalls unterläuft. Sinnvoller wäre es imho das auf Basis von Benutzern zu regeln.
lks
Ich dachte sowas geht nur bei Windows Server Versionen. Hier sind das aber nur normale Win XP, Vista, 7 und Apple Boxen.
Zitat von @104659:
da entsteht bei mir die frage: kann benutzer von AAA auf einen pc der gruppe XYZ zugreifen (über den arbeitsplatz oder
über remote) und darf er das? bzw andersherum...
also sollen die dateien nur vor dem rechner oder auch vor dem user geschützt werden?
da entsteht bei mir die frage: kann benutzer von AAA auf einen pc der gruppe XYZ zugreifen (über den arbeitsplatz oder
über remote) und darf er das? bzw andersherum...
also sollen die dateien nur vor dem rechner oder auch vor dem user geschützt werden?
Im Prinzip beides. Der Rechner hat nur einen User(Account).
Zitat von @Lochkartenstanzer:
Noch eine Anmerkung:
Sofern der PC nicht per IPSEC oder einer anderen authentisierten Verbindung Kontakt aufnimmt, nützen die üblichen
verbindungen normalerweise nichts, weil man z.B. ganz einfach die IP-und MAC-Adressen ändern kann und damit die i.d.R. auf
Adressen basierenden Regeln von Firewalls unterläuft. Sinnvoller wäre es imho das auf Basis von Benutzern zu regeln.
lks
Noch eine Anmerkung:
Sofern der PC nicht per IPSEC oder einer anderen authentisierten Verbindung Kontakt aufnimmt, nützen die üblichen
verbindungen normalerweise nichts, weil man z.B. ganz einfach die IP-und MAC-Adressen ändern kann und damit die i.d.R. auf
Adressen basierenden Regeln von Firewalls unterläuft. Sinnvoller wäre es imho das auf Basis von Benutzern zu regeln.
lks
Da Stimme ich voll zu. Habe ich so auch schon kommuniziert gehabt. Aber Benutzeraccounts und so sind ja viel zu lästig...
Das ganze Netzwerk bei dem Bekannten ist ansich eh total unsicher. Der Bekannte hat eine Minifirma bei sich im Hause. Dessen Netzwerk ist komplett zusammen mit sein Privatnetzwerk. Also die Computer der Familie stehen gleich neben den paar Firmenrechnern im Netzwerk. Alle Freigaben sind nicht per Passwort geschützt. Seine paar Sachbearbeiterinnen können angeblich nur PC anstellen, ihr Warenwirtschaftsprogramm bedienen und auf das in ihrem Account eingebundene Netzlaufwerk zugreifen (ohne zu Wissen, dass das Netzwerk ist). Auch könnten seine Kinder momentan auf alle intimsten firmeninternen Dateien lesend und schreibend zugreifen, da im Netzwerk ohne Passwort freigegeben. Aber der Bekannte mein halt, das er eh nur im Hause von sowas Kenntnis hat und seine Kinder Verbot haben auf die Firmenfreigaben zuzugreifen.......... Unglaublich.
Tja. Nun leider soll es jetzt einen Praktikanten geben. Der ist natürlich etwas jünger und netzwerktechnisch eventuell nicht so unbedarft. Und der soll halt nicht auf alle Unternehmens- und Familiendaten zugreifen können, sondern nur auf einen bestimmten Ordner in einem Netzwerk in dem ansonsten weiterhin alles für alle ohne Konfigurationsaufwand bei neuen Rechnern erlaubt sein soll.
Selbstredend habe ich natürlich erstmal vorgeschlagen, dass da sicherheitstechnisch so Einiges geändert werden müsste. Allem voran die Trennung Familiennetzwerk und Fimennetzwerk. Aber der Bekannte möchte es nicht sicherer.
ich nehme mal an der praktikant soll AAA bedienen. was bringt dann solch eine struktur wenn der vollzugriff-pc direkt daneben steht?
da muss ich lochkartenstnazer zustimmen: sinvoller wäre es über benutzerkonten.
und die halbe stunde mehr für einen neuen benutzer muss man dann halt in kauf nehmen.
da muss ich lochkartenstnazer zustimmen: sinvoller wäre es über benutzerkonten.
und die halbe stunde mehr für einen neuen benutzer muss man dann halt in kauf nehmen.
Wenn das so ist, dann solltest Du dem bekannten mal ins gewissen Rden, wieviel ihm den seine daten wert sind. (z.B. praktikant kopiert daten udn verkauft sie mesitbietend).
Wieviel Vertrauen in seine Kinder hat der Mann denn? Es wären nicht die ersten Blagen, die sich auf Ihren Rechnern (unabsichtlich) irgendetwas einfangen und alles verschlimmbessern (im Netz verbreiten), weil sie sich nciht trauen Papi einzuweihen.
lks
Wieviel Vertrauen in seine Kinder hat der Mann denn? Es wären nicht die ersten Blagen, die sich auf Ihren Rechnern (unabsichtlich) irgendetwas einfangen und alles verschlimmbessern (im Netz verbreiten), weil sie sich nciht trauen Papi einzuweihen.
lks
Ja, wie schon gesagt: entweder komplett neu aufgebautes Netzwerk oder gar keine Sicherheit
Du kannst einfacgh eine Linux-Kiste mit LDAP und/oder Kerberos aufsetzen und schon hast Due eine Benutzerverwaltung. Du könntest da auch SAMBA nehmen und hättest dann zumidnest eine NT4-Domain mit Benutzerverwaltung. Die Linuxkisten könnten sogar virtuell auf einem der leistungstärkeren rechner untergebracht sein. Notfalls nimmt man einfach eine virtuelle Kiste mit W2K (gibt es ganz günstig auf ebay) und mach damit ADS.
Natürlich geht es mit einem aktuellen W2K8R2-Server am einfachsten, aber unbedingt notwendig ist der nicht.
lks
PS: Ein Neukonzeption des Netzwerkes und Trennung von Privat und Firma wäre das sinnvollste. Ansonsten soll er damit leben, daß sein Netz halt unsicher ist und jeder alles machen darf.
Natürlich geht es mit einem aktuellen W2K8R2-Server am einfachsten, aber unbedingt notwendig ist der nicht.
lks
PS: Ein Neukonzeption des Netzwerkes und Trennung von Privat und Firma wäre das sinnvollste. Ansonsten soll er damit leben, daß sein Netz halt unsicher ist und jeder alles machen darf.
