Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Active Directory Gastbenutzer ohne Rechte

Mitglied: peterfolta

peterfolta (Level 1) - Jetzt verbinden

31.07.2012 um 14:08 Uhr, 6878 Aufrufe, 6 Kommentare

Hallo,

im Büro wird ein WLAN zur Verfügung gestellt, das mittels WPA2-Enterprise gesichert ist und deren Authorisierung der RADIUS-Server auf dem Domänencontroller (Windows Server 2008, NICHT R2) übernimmt. Dabei sind alle Benutzer, die berechtigt sind, sich mit dem WLAN zu verbinden, Mitglied einer Gruppe namens "Wireless Users". So weit, so gut. Dies funktioniert alles prächtig. Zusätzlich ist das WLAN per MAC-Filter gesichert, indem nur erlaubte Geräte auf den AccessPoints eingetragen sind.

Nun möchte ich gerne ausgewählten Außenstehenden (externe Geschätspartner, Besucher etc.) den Zugriff auf das WLAN erlauben, damit diese die Internetverbindung nutzen können. Selbstverständlich haben diese Leute kein Benutzerkonto im Active Directory und das soll sich auch nicht ändern. Ich hatte daran gedacht, einen Benutzer im AD namens "guest" anzulegen, der Mitglied der Gruppe "Wireless Users" ist, und damit berechtigt ist, sich mit dem WLAN zu verbinden. An der Stelle soll aber auch Schluss sein. Insbesondere darf sich dieser Benutzer "guest" an KEINEM Computer im Büro anmelden können, keinerlei Zugriff auf irgendwelche Netzwerkressourcen haben (Freigaben etc.), sondern eben ausschließlich den WLAN-Zugriff auf die Internetverbindung herstellen.

Ist so etwas möglich? Wie kann ich einen Nutzer anlegen, der im Prinzip "nichts darf"? Also wirklich absolut nichts, sich nicht mal irgendwo anmelden darf. Einzige Ausnahme eben die Herstellung einer WLAN-Verbindung.

Was haltet ihr von der Idee und wie habt ihr ein solches "Problem" gelöst?

Viele Grüße aus Paderborn,
Peter
Mitglied: DerWoWusste
31.07.2012 um 14:11 Uhr
Moin.

Die Anmeldeberechtigungen kannst Du direkt im Userobjekt beschneiden (Knopf: "anmelden an"). Zugriffe auf Shares kannst Du unterbinden, indem Du evtl. die Policy "Zugriff auf diesen Computer vom Netzwerk verweigern" nutzt. Aber zwingend brauchen wirst Du diese nur, wenn Du Shares hast, auf die die Gruppe "Jeder" Zugriff hat.
Bitte warten ..
Mitglied: peterfolta
31.07.2012 um 14:15 Uhr
Zitat von DerWoWusste:
Moin.

Die Anmeldeberechtigungen kannst Du direkt im Userobjekt beschneiden (Knopf: "anmelden an"). Zugriffe auf Shares kannst
Du unterbinden, indem Du evtl. die Policy "Zugriff auf diesen Computer vom Netzwerk verweigern" nutzt. Aber zwingend
brauchen wirst Du diese nur, wenn Du Shares hast, auf die die Gruppe "Jeder" Zugriff hat.

Hi!

Das mit dem Button "Anmelden an" habe ich auch schon versucht. Wenn man dann allerdings keinen Computer angibt und die Eigenschaften mit "OK" schließt, springt die Option wieder zurück auf "Alle Computer".

Es gibt keine Shares, auf die die Gruppe "Jeder" Zugriff hat. Insofern müsste es doch reichen, wenn der Benutzer ausschließlich Mitglied von "Wireless Users" ist, oder? Also insbesondere keine Mitgliedschaft von "Domänen-Benutzer" oder "Domänen-Gäste".
Bitte warten ..
Mitglied: DerWoWusste
31.07.2012 um 14:22 Uhr
Gib doch eine Phantasieworkstation zur Anmeldeberechtigung an und fertig, dann springt nichts zurück (Du hast Recht, das Zurückspringen hatte ich auch mal bemerkkt - böse Falle!).

Wegen der Shares: im Zweifel einfach die Policy benutzen. Beispiel: GastuserA und GastuserB sind sowohl Mitglieder in Wireless, als auch in einer Gruppe "keinFreigabezugriff". Letztere Gruppe wird dann mit der GPO "Zugriff auf diesen Computer vom Netzwerk verweigern" generell ausgesperrt.
Bitte warten ..
Mitglied: catachan
31.07.2012, aktualisiert um 14:27 Uhr
Hi

ich würde vorschlagen die Gäste in ein eigenes VLAN zu verfrachten aus dem sie nur ins Internet kommen. Idealerweise kann dein AP mehrere SSID parallel fahren. Dann richtest du ein eigenes WLAN für die Gäste ein. Zusätzlich kann man auch ein Captive-Portal einrichten, an dem Sie sich authentifizieren können.
Kommt halt drauf an was für Hardware du zur Verfügung hast.

LG
Bitte warten ..
Mitglied: Deepsys
31.07.2012 um 15:52 Uhr
Hi,

kenne ich auch nur mit zweiten WLAN und VLAN.
Das ganze mit "normalen" WPA2 und fertig.

Dann kommen die "bösen" externen Rechner noch nicht mal an den AD, und das sollte sicherer sein

VG
Deepsys
Bitte warten ..
Mitglied: clSchak
31.07.2012 um 22:03 Uhr
genau, separate SSID auf einem separaten VLAN und ggf. ein Capt. Portal dazu, dann hast ein offens WLAN wo sich die Leute aber anmelden müssen, so verlierst nicht die Kontrolle darüber wer sich alles anmeldet. Evtl. ein passendes Ticket-System dazu und gut ist (Anleitung hier im Forum von Aqui).

Gäste ins Domänen-Netz zu lassen würde ich grundsätzlich nicht machen.
Bitte warten ..
Ähnliche Inhalte
Windows Userverwaltung
Rechte Delegierung Active Directory
Frage von ThorstenRayWindows Userverwaltung2 Kommentare

Hallo zusammen, ich habe da ein kleines Problem, bei dem ich leider nicht weiter weiß und auch keine Lösung ...

Windows Server

Active Directory Benutzer ohne Login-Recht

Frage von gubbeldigubWindows Server4 Kommentare

Hallo, ich habe relativ wenig Erfahrung im Umgang mit AD. Also habe ich anhand eines Lehrbuches versucht ein Beispiel-Directory ...

Windows Server

Active Directory - Mitglieder zu Gruppe hinzufügen Rechte

Frage von WaishonWindows Server20 Kommentare

Moin zusammen, ich nutze einen Samba4 Server auf meinem Testserver, den ich als Active Directory Domain Controller aufgesetzt habe. ...

Windows Server

Active Directory Vertrauensstellung

Frage von ukulele-7Windows Server11 Kommentare

Ich muss sagen das ist meine erste Vertrauensstellung. Ich habe sie in unserer alten AD ads.domain.local Windows 2003 und ...

Neue Wissensbeiträge
Windows 10

Neue Sicherheitslücke in Windows 10 (Version 1709) durch Google öffentlich geworden

Information von kgborn vor 8 StundenWindows 10

Vor ein paar Tagen haben Googles Sicherheitsforscher vom Projekt Zero eine Sicherheitslücke im Edge-Browser publiziert. Jetzt wurde eine weitere ...

iOS
IOS 11.2.6 verfügbar
Information von sabines vor 14 StundeniOS

Mit dem Update soll der Bug behoben werden, bei dem eine bestimmte Zeichenkette IOS zum Absturz gebracht hat.

Sicherheit
Sicherheitsrisiko: Die Krux mit 7-Zip
Information von kgborn vor 1 TagSicherheit8 Kommentare

Bei vielen Anwendern ist das Tool 7-Zip zum Entpacken von Archivdateien im Einsatz. Die Software ist kostenlos und steht ...

Internet

Datendealing im WWW Tracking Methoden immer brutaler

Information von sabines vor 1 TagInternet

Interessanter Artikel zum Thema Tracking im WWW und die immer "besseren" Methoden des Trackings. Professor Arvind Narayanan (Princeton-Universität) betreibt ...

Heiß diskutierte Inhalte
Router & Routing
LANCOM VPN CLIENT einrichten
Frage von Finchen961988Router & Routing27 Kommentare

Hallo, ich habe ein Problem und hoffe ihr könnt mir helfen, wir haben einen Kunden der hat einen Speedport ...

Windows Server
AD DS findet Domäne nicht, behebbar?
Frage von schapitzWindows Server25 Kommentare

Guten Tag, ich habe bei einem Kunden ein Problem mit den AD DS. Umgebung ist folgende: Windows Server 2016 ...

LAN, WAN, Wireless
VPN Cisco ASA5505 PaloAlto PA-200
gelöst Frage von YannoschLAN, WAN, Wireless22 Kommentare

Hallo zusammen, ich würde gerne ein Site-to-Site VPN zwischen den beiden Standorten aufbauen. PaloAlto PA200 Internetanschluss Deutsche Telekom GK ...

Visual Studio
Singletone Objekt in Datei speichern
gelöst Frage von it4baerVisual Studio13 Kommentare

Hallo, ist es möglich ein Singleton-Objekt zu "serialisieren" und dann in eine Datei zu speichern um es später wieder ...