9
AD Win 2k3 Server - Kontoanmeldung in Relation zur momentanen IP,MAC-adresse,UUID machen.
Also ich habe hier eine Idee und ein damit verbundenes Problem:
Ich habe einen Win 2k3 Server mit AD, DHCP. Alle Clients im Netz sind natürlich NICHT im AD registriert.
Ich plane eine LAN bei der sich die Teilnehmerclients abhängig von Ihrer IP/MACadresse/UUID mit einem Konto anmelden das sich nur unter dieser IP/ MACadresse/UUID anmelden lässt - für die Dauer der LAN.
Gibts da Policyeinstellungen wo ich solche Prüfungen durchführen lassen kann bevor sich die Clients vollständig anmelden können?
Ich möchte eben die Zugriffe (FTP usw) sicherstellen und nachverfolgen können. Und ich will leicht manipulierbare komponenten wie MAC/IP ausschliessen, deshalb die UUID-Prüfung.
Ich hab leider noch keine Idee wie sich so etwas umsetzen ließe.
Wenn jemand eine andere Idee zur genannten Problematik hat wäre ich sehr dankbar.
greetz
Ich habe einen Win 2k3 Server mit AD, DHCP. Alle Clients im Netz sind natürlich NICHT im AD registriert.
Ich plane eine LAN bei der sich die Teilnehmerclients abhängig von Ihrer IP/MACadresse/UUID mit einem Konto anmelden das sich nur unter dieser IP/ MACadresse/UUID anmelden lässt - für die Dauer der LAN.
Gibts da Policyeinstellungen wo ich solche Prüfungen durchführen lassen kann bevor sich die Clients vollständig anmelden können?
Ich möchte eben die Zugriffe (FTP usw) sicherstellen und nachverfolgen können. Und ich will leicht manipulierbare komponenten wie MAC/IP ausschliessen, deshalb die UUID-Prüfung.
Ich hab leider noch keine Idee wie sich so etwas umsetzen ließe.
Wenn jemand eine andere Idee zur genannten Problematik hat wäre ich sehr dankbar.
greetz
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 138538
Url: https://administrator.de/contentid/138538
Printed on: April 23, 2024 at 14:04 o'clock
9 Comments
Latest comment
Hallo Lutz!
ullaaallaaaaaaa
Du schreibst, die Clienst sind NICHT im AD registriert. Wofür betreibst Du es dann?
Was meinst Du mit "für die Dauer der LAN"?
stehe ich auf der Leitung, oder sind das Tippfehler...?
Du könntest innerhalb der Gruppenrichtlinienverwaltung einzelne Rechner in eine OU zusammenfassen oder zu einer Gruppe hinzufügen...
Denkbar wäre auch ein VBScript, das nach dem Login überprüft, ob die UUID in einer Liste vorhaden ist und den User im NMgativfall wieder abmeldet...
wenn es nun aber darum geht, Webzugriffe zu Verfolgen, dann ist das ohnehin imho nicht der richtige Weg. Da hilft Dir dann ein ISA oder ähnliches wesentlich besser...
Falls ich irgendetwas grundlegend falsch verstanden habe: Sorry!
gutes gelingen
lg
Edi
ullaaallaaaaaaa
Du schreibst, die Clienst sind NICHT im AD registriert. Wofür betreibst Du es dann?
Was meinst Du mit "für die Dauer der LAN"?
stehe ich auf der Leitung, oder sind das Tippfehler...?
Du könntest innerhalb der Gruppenrichtlinienverwaltung einzelne Rechner in eine OU zusammenfassen oder zu einer Gruppe hinzufügen...
Denkbar wäre auch ein VBScript, das nach dem Login überprüft, ob die UUID in einer Liste vorhaden ist und den User im NMgativfall wieder abmeldet...
wenn es nun aber darum geht, Webzugriffe zu Verfolgen, dann ist das ohnehin imho nicht der richtige Weg. Da hilft Dir dann ein ISA oder ähnliches wesentlich besser...
Falls ich irgendetwas grundlegend falsch verstanden habe: Sorry!
gutes gelingen
lg
Edi
Okok also bevor hier noch mehr Inhaltslöcher entstehen mit LAN meine ich ne "LAN-Party". I'm sry. Ich hätts gleich deutlicher ausdrücken müssen. LAN-Party, deswegen auch "für die Dauer der LAN(-Party)"
greetz
greetz
OK!
Jetzt kommt etwas Licht in die Sache...
dh, NICHT im AD ist korrekt...
Dann kannst Du aber die Idee mit
Woher sollen Deine Admin-Schreibrechte für die Registry der Clients kommen (auf die Du ja per GPO zugreifst), wenn sie nicht Mitglied im AD sind und Du folgedessen auch nicht deren Administrator?
Du brauchst ein völlig anderes Konzept.
Vorweg: was anderes als am Proxyserver die Quell- und Ziel-IP-Adressen zu Protokollieren wird nicht funktionieren...
(lasse mich aber gerne eines Besseren belehren...)
Was soll den herauskommen? Was sind Deine Mindestanforderungen an die Sicherheit deiner Lanparty?
Jetzt kommt etwas Licht in die Sache...
dh, NICHT im AD ist korrekt...
Dann kannst Du aber die Idee mit
abhängig von Ihrer IP/MACadresse/UUID mit einem Konto anmelden
undGrouppolicy
gleich vergessen! Wie soll sich jemand im AD anmelden, wenn der Client nicht Mitglied ist?Woher sollen Deine Admin-Schreibrechte für die Registry der Clients kommen (auf die Du ja per GPO zugreifst), wenn sie nicht Mitglied im AD sind und Du folgedessen auch nicht deren Administrator?
Du brauchst ein völlig anderes Konzept.
Vorweg: was anderes als am Proxyserver die Quell- und Ziel-IP-Adressen zu Protokollieren wird nicht funktionieren...
(lasse mich aber gerne eines Besseren belehren...)
Was soll den herauskommen? Was sind Deine Mindestanforderungen an die Sicherheit deiner Lanparty?
Anmelden müssen sie sich ja... allein wenn sie zb. Datei zugriff haben wollen. Für diesen Zugriff muss ich ja min. 1 Konto erstellen, theoretisch könnten sich alle mit diesem Konto anmelden und hätten zugriff auf die Daten die für dieses Konto freigegeben sind (Patches, Programme usw.). Ich hatte aber die idee das nicht alle sich mit demselben Konto anmelden, sondern jeder sich mit seinem "eigenen" konto anmeldet.
Wenn ich jetzt allen sage sie sollen sich zum Beispiel mit dem folgenden kontonamen anmelden: Kontoname = [letztes Feld von der IP] + "@domain.local" zb. 100@domain.local, um ihre Dateizugriff und überhaupt "Zugriffe" evtl. Angriffe nachverfolgen zu können.
Ich will aber gleichzeitig verhindern das sich div. Teilnehmer sich einfach ne manuelle IP zuweisen bzw. wenn sie ne zweite Netzwerkkarte haben, plötzlich mit ner anderen MAC im Netz sind und somit nicht nachzuverfolgen sind.
Wenn ich jemanden kicken will dann will ich das er so lange nicht mehr mitmachen kann bis ich es sage/entscheide.
Deswegen brauch ich einen Wert der auf jedem Rechner vorhanden ist, evtl abrufbar ist und vielleicht auch in Verbindung mit anderen prüfbaren Variablen wie MAC/IP den Rechner im Netz eindeutig erkenntlich macht.
Ist vielleicht auch n falscher Ansatz.
zur info: ich benutze folgende Switches während der LAN: 5x 3COM Baseline Switch 2924-PWR Plus, sind managebar
Wenn ihr nen ganz anderen Ansatz habt, wenn es ohne AD lösbar ist bin ich für jeden Vorschlag dankbar.
Wenn ich jetzt allen sage sie sollen sich zum Beispiel mit dem folgenden kontonamen anmelden: Kontoname = [letztes Feld von der IP] + "@domain.local" zb. 100@domain.local, um ihre Dateizugriff und überhaupt "Zugriffe" evtl. Angriffe nachverfolgen zu können.
Ich will aber gleichzeitig verhindern das sich div. Teilnehmer sich einfach ne manuelle IP zuweisen bzw. wenn sie ne zweite Netzwerkkarte haben, plötzlich mit ner anderen MAC im Netz sind und somit nicht nachzuverfolgen sind.
Wenn ich jemanden kicken will dann will ich das er so lange nicht mehr mitmachen kann bis ich es sage/entscheide.
Deswegen brauch ich einen Wert der auf jedem Rechner vorhanden ist, evtl abrufbar ist und vielleicht auch in Verbindung mit anderen prüfbaren Variablen wie MAC/IP den Rechner im Netz eindeutig erkenntlich macht.
Ist vielleicht auch n falscher Ansatz.
zur info: ich benutze folgende Switches während der LAN: 5x 3COM Baseline Switch 2924-PWR Plus, sind managebar
Wenn ihr nen ganz anderen Ansatz habt, wenn es ohne AD lösbar ist bin ich für jeden Vorschlag dankbar.
Sorry, aber Dein Ansatz ist wirklich falsch!
wenn sich jemand mit 100@domain.local anmeldet, dann musst du
1.) diesen user im AD anlegen
2.) er meldet sich als USER und nicht als MACHINE an
es ist also mit diesem Ansatz nicht möglich, jemanden daran zu hindern, dass er seinen nachbar um dessen Kennung fragt und sich dann an seiner Maschine mit zb 10.0.0.10 als 10.0.0.234@domain.local anmeldet...
bin grad in Eile
später mehr....
wenn sich jemand mit 100@domain.local anmeldet, dann musst du
1.) diesen user im AD anlegen
2.) er meldet sich als USER und nicht als MACHINE an
es ist also mit diesem Ansatz nicht möglich, jemanden daran zu hindern, dass er seinen nachbar um dessen Kennung fragt und sich dann an seiner Maschine mit zb 10.0.0.10 als 10.0.0.234@domain.local anmeldet...
bin grad in Eile
später mehr....
hmm kk...
"Mehr" wäre echt super, danke
greetz
"Mehr" wäre echt super, danke
greetz
Hola compagnero!
zuallererst wäre interessant, wie Deine Umgebung aussieht...
wieviele Clients, welchen Proxy, betreibst Du ein Internetcafe oder ist das eine Aktion der Schülervertretung vor den grossen Ferien....
prinzipiell gilt (imho):
Falls das eine Einmalveranstaltung ist, dann sollte sich der Aufwand in Grenzen halten!
der einfachste Weg:
Das Lanparty-Netz ist von Deinem komplett abgeschottet!!!
Falls die Teilnehmer Games spielen, die keinen Internetzugriff brauchen, dann haust Du ihnen einen alten Switch hin, teilst eine Liste mit den IP-Adressen der User aus und fertig isses!
Wer zu unbegabt ist, sich selbst eine IP-Adresse einzutragen, wird sich schnell selbst Hilfe besorgen, glaube mir!!! (die wollen ja spielen...).
Falls jemand selbst keine Firewall installiert hat und sich so den Angriffen seiner Mitspieler aussetzt ist selber Schuld. Dein Netz bleibt aussen vor...
Falls die Internetzugang benötigen, gilt beinahe das selbe:
Du trennst die Netze und führst sie vor deinen Internetzugang wieder zusammen. Zuvor schottest du die Netze über eine Firewall (was Du verwendest weiss ich nicht) voneniander ab...
Alternativ dazu kannst du den Switch an einen (WLAN-)Router hängen, und von dem dann in dein Produktivnetz. Am Router schnell eingestellt, dass nur http funktioniert und gut isses. Achtung: Logs gibts in dieser Konfig keine.
Wenn Du Logs brauchst, dann hilft Dir nur ein ISA oder SQUID o.ä.
Das ist aber dann eher nichts für "ich mach das schnell zwischen Mittagessen und Nachmittagsjause..." und lohnt sich für einmalshows keinesfalls!
in diesem Sinne
je mehr Infos du für mich hast, desto detaillierter kann ich Dir sagen, was geht/nicht geht/nicht ökonomisch ist
lg
Edi
zuallererst wäre interessant, wie Deine Umgebung aussieht...
wieviele Clients, welchen Proxy, betreibst Du ein Internetcafe oder ist das eine Aktion der Schülervertretung vor den grossen Ferien....
prinzipiell gilt (imho):
Falls das eine Einmalveranstaltung ist, dann sollte sich der Aufwand in Grenzen halten!
der einfachste Weg:
Das Lanparty-Netz ist von Deinem komplett abgeschottet!!!
Falls die Teilnehmer Games spielen, die keinen Internetzugriff brauchen, dann haust Du ihnen einen alten Switch hin, teilst eine Liste mit den IP-Adressen der User aus und fertig isses!
Wer zu unbegabt ist, sich selbst eine IP-Adresse einzutragen, wird sich schnell selbst Hilfe besorgen, glaube mir!!! (die wollen ja spielen...).
Falls jemand selbst keine Firewall installiert hat und sich so den Angriffen seiner Mitspieler aussetzt ist selber Schuld. Dein Netz bleibt aussen vor...
Falls die Internetzugang benötigen, gilt beinahe das selbe:
Du trennst die Netze und führst sie vor deinen Internetzugang wieder zusammen. Zuvor schottest du die Netze über eine Firewall (was Du verwendest weiss ich nicht) voneniander ab...
Alternativ dazu kannst du den Switch an einen (WLAN-)Router hängen, und von dem dann in dein Produktivnetz. Am Router schnell eingestellt, dass nur http funktioniert und gut isses. Achtung: Logs gibts in dieser Konfig keine.
Wenn Du Logs brauchst, dann hilft Dir nur ein ISA oder SQUID o.ä.
Das ist aber dann eher nichts für "ich mach das schnell zwischen Mittagessen und Nachmittagsjause..." und lohnt sich für einmalshows keinesfalls!
in diesem Sinne
je mehr Infos du für mich hast, desto detaillierter kann ich Dir sagen, was geht/nicht geht/nicht ökonomisch ist
lg
Edi
Ok, dann bauen wir mal vor deinen Augen die Netzstruktur auf. Vorab: ich veranstalte LAN-Parties sehr oft und kenne mich mit vielen dingen im Netzwerk aus. Jedoch eben langenicht mit allen.
So:
Es soll so aussehen. Kein Internet. Es wird eine Gamer-LAN.
Es wird einen zentralen Win 2k3 Server geben auf dem sollen Grundsätzlich folgende Dienste laufen: DNS, DHCP, Dateiserver
Mit AD regele ich Netz/Ordnerfreigaben.
Ich habe 5 x 24Port Gigabit Switche, managebar. ca. 100Mann sollen bei der LAN dabei sein.
Jeder Gamer soll Dateizugriff auf den Server haben. Ich regle das oft mit einem einzigen Konto, dem ich die passenden Zugriffsrechte zuteile und in der Policy Rechte wie: lokale Serveranmeldung usw. deaktiviere.
Jeder Gamer bekommt also automatisch eine IP zugewiesen. Jeder Gamer nutzte dasselbe Konto zur anmeldung. somit habe ich kaum eine Ahnung darüber wer was macht.
Es soll jetzt so sein: Wenn jemand austickt, cheatet oder sich sonst irgendwie unfair bzw. den AGB entgegen benimmt, wird erstmal gekickt, später gebannt.
Netzwerktechnisch wäre es sicherlich möglich ihm einfach den Port am Switch zu sperren, nur muss ich erstmal rausfinden welche IP er hat, an welchem Switch er sitzt. Steckt er sein Kabel einfach in einen anderen Port ein, könnte er theoretisch weiterzocken. Ich hätte es halt gern das ich unabhängig des Ports/Switches eine Sperre gegen den rechner "verhängen" kann.
So, differenziert genug? ;)
So:
Es soll so aussehen. Kein Internet. Es wird eine Gamer-LAN.
Es wird einen zentralen Win 2k3 Server geben auf dem sollen Grundsätzlich folgende Dienste laufen: DNS, DHCP, Dateiserver
Mit AD regele ich Netz/Ordnerfreigaben.
Ich habe 5 x 24Port Gigabit Switche, managebar. ca. 100Mann sollen bei der LAN dabei sein.
Jeder Gamer soll Dateizugriff auf den Server haben. Ich regle das oft mit einem einzigen Konto, dem ich die passenden Zugriffsrechte zuteile und in der Policy Rechte wie: lokale Serveranmeldung usw. deaktiviere.
Jeder Gamer bekommt also automatisch eine IP zugewiesen. Jeder Gamer nutzte dasselbe Konto zur anmeldung. somit habe ich kaum eine Ahnung darüber wer was macht.
Es soll jetzt so sein: Wenn jemand austickt, cheatet oder sich sonst irgendwie unfair bzw. den AGB entgegen benimmt, wird erstmal gekickt, später gebannt.
Netzwerktechnisch wäre es sicherlich möglich ihm einfach den Port am Switch zu sperren, nur muss ich erstmal rausfinden welche IP er hat, an welchem Switch er sitzt. Steckt er sein Kabel einfach in einen anderen Port ein, könnte er theoretisch weiterzocken. Ich hätte es halt gern das ich unabhängig des Ports/Switches eine Sperre gegen den rechner "verhängen" kann.
So, differenziert genug? ;)
Hola!
Kein Internet -->
nur 1 USER: AD hat so überhaupt keine Sinn (sorry für die harten Worte). Es würde auch ein Server ohne AD mit DHCP und DNS reichen.
wie merkst Du das? hier muss Deine Lösung ansetzen...
Wenn es auf Layer8 (sprich: der Mensch) bemerkt wird, dann muss auch hier der Kick angesetzt werden.
Wie beim guten alten Poker: wer mit gezinkten Karten spielt, wird gefedert und geteert (und nicht an einer aufwändigen Lösung gebastelt, die das Zinken von Karten verhindert - Titan oder so
Was ginge (aber das hast Du schon selbst ausgeführt):
MAC am Switch (an allen Switches) sperren --> bringt aber wenig, weil er senie MAC umstellt
MAC am Server abfangen (zb via DHCP unbrauchbare IP per Reservierung zuweisen o. ä.) --> bringt aber wenig, weil er senie MAC umstellt
UUID am Switch --> geht nicht, weil Switch nur Layer2
UUID am Server + Script, das den Client herunterfährt (oder so ähnlich) --> ghet nicht, weil Dir die Schreibrechte am Client fehlen, um dort ein Script abzuarbeiten
eine Möglichkeit wäre, Du nimmst mein Script aus der Anleitung (Wie gestalte ich eine Prüfung unter Verwendung eines AD so, dass Zusammenarbeit der Prüflinge möglichst verhindert wird?) und legst für jeden User eine Kennung mit komplexem Passwort an.
Das Script errichtet Dir nebst dem Share "angabe" mit Leserechten (das wäre das, wo Du deine Games plazierst) auch eine csv-datei mit
Username --> 10stelligem hochkomplexem Passwort
Du scheidest nun von der Tabelle für jeden User eine Zeile mit Kennung und Passwort aus und teilst sie vor Spielbeginn aus.
wenn jemand cheatet sperrst Du den User im AD.
Eine andere Kennung zu "erraten" ist aufgrund der komplexen Passwörter nicht möglich. Falls jemand seine Kennung an den Cheater hergibt, dann hast Du wieder dein Layer8-Problem...
was ginge wäre 802.1x (denke ich zumindest), aber das können meine Switches hier nicht und daher kann ich Dir dazu auch nichts sagen...
Tut mir leid, dass ich Dir nicht weiterhelfen kann
lg
gutes gelingen
Edi
Kein Internet -->
Ich möchte eben die Zugriffe (FTP usw) sicherstellen und nachverfolgen können.
kannst Du vergessen.nur 1 USER: AD hat so überhaupt keine Sinn (sorry für die harten Worte). Es würde auch ein Server ohne AD mit DHCP und DNS reichen.
lokale Serveranmeldung usw. deaktiviere.
wofür das denn? Steht der Server am Gang? Wenn jemand austickt, cheatet oder sich sonst irgendwie unfair bzw. den AGB entgegen benimmt, wird erstmal gekickt, später gebannt.
wie merkst Du das? hier muss Deine Lösung ansetzen...
Wenn es auf Layer8 (sprich: der Mensch) bemerkt wird, dann muss auch hier der Kick angesetzt werden.
Wie beim guten alten Poker: wer mit gezinkten Karten spielt, wird gefedert und geteert (und nicht an einer aufwändigen Lösung gebastelt, die das Zinken von Karten verhindert - Titan oder so
Was ginge (aber das hast Du schon selbst ausgeführt):
MAC am Switch (an allen Switches) sperren --> bringt aber wenig, weil er senie MAC umstellt
MAC am Server abfangen (zb via DHCP unbrauchbare IP per Reservierung zuweisen o. ä.) --> bringt aber wenig, weil er senie MAC umstellt
UUID am Switch --> geht nicht, weil Switch nur Layer2
UUID am Server + Script, das den Client herunterfährt (oder so ähnlich) --> ghet nicht, weil Dir die Schreibrechte am Client fehlen, um dort ein Script abzuarbeiten
eine Möglichkeit wäre, Du nimmst mein Script aus der Anleitung (Wie gestalte ich eine Prüfung unter Verwendung eines AD so, dass Zusammenarbeit der Prüflinge möglichst verhindert wird?) und legst für jeden User eine Kennung mit komplexem Passwort an.
Das Script errichtet Dir nebst dem Share "angabe" mit Leserechten (das wäre das, wo Du deine Games plazierst) auch eine csv-datei mit
Username --> 10stelligem hochkomplexem Passwort
Du scheidest nun von der Tabelle für jeden User eine Zeile mit Kennung und Passwort aus und teilst sie vor Spielbeginn aus.
wenn jemand cheatet sperrst Du den User im AD.
Eine andere Kennung zu "erraten" ist aufgrund der komplexen Passwörter nicht möglich. Falls jemand seine Kennung an den Cheater hergibt, dann hast Du wieder dein Layer8-Problem...
was ginge wäre 802.1x (denke ich zumindest), aber das können meine Switches hier nicht und daher kann ich Dir dazu auch nichts sagen...
Tut mir leid, dass ich Dir nicht weiterhelfen kann
lg
gutes gelingen
Edi
