8
Computerbezogene Freigaben
Freigaben so einrichten, daß sie nur noch von Computern erreichbar sind, die auch Domänenmitglied sind...
Hallo Leute,
ich stehe hier gerade vor einem merkwürdigen Problem,
ich will Freigaben in einer Win2003-Umgebung so anlegen, daß nur noch Domänenmitglieds-PCs Zugriff darauf haben.
Hintergrund: Jeder PC der Domänen-Mitglied ist bekommt per GPO eine Software aufgespielt, die USB-Ports, Brenner etc... blockiert.
Ein PC der diese Software nicht installiert hat, soll nicht auf Freigaben zugreifen dürfen.
Also habe ich unter Freigabe-Berechtigungen (nicht NTFS-Ber.!) alle User-Accounts entfernt und durch die im AD existierenden Computer-Accounts ersetzt. Mit dem Effekt, daß niemand mehr auf die Freigabe zugreifen konnte.
Wo liegt der Fehler ??
Bin für jede Hilfestellung dankbar
C.Weber
ich stehe hier gerade vor einem merkwürdigen Problem,
ich will Freigaben in einer Win2003-Umgebung so anlegen, daß nur noch Domänenmitglieds-PCs Zugriff darauf haben.
Hintergrund: Jeder PC der Domänen-Mitglied ist bekommt per GPO eine Software aufgespielt, die USB-Ports, Brenner etc... blockiert.
Ein PC der diese Software nicht installiert hat, soll nicht auf Freigaben zugreifen dürfen.
Also habe ich unter Freigabe-Berechtigungen (nicht NTFS-Ber.!) alle User-Accounts entfernt und durch die im AD existierenden Computer-Accounts ersetzt. Mit dem Effekt, daß niemand mehr auf die Freigabe zugreifen konnte.
Wo liegt der Fehler ??
Bin für jede Hilfestellung dankbar
C.Weber
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 67481
Url: https://administrator.de/contentid/67481
Printed on: April 19, 2024 at 11:04 o'clock
8 Comments
Latest comment
Shares werden nur auf Benutzerebene freigegeben, nicht auf PC-Ebene.
Damit ist der Ansatz zum Scheitern verurteilt.
Aber wieso nicht einfach allen Domänenbenutzern Zugriff geben? Es kann sich kein Domänenbenutzer auf einem PC ohne Domänenmitgliedschaft anmelden, damit hast Du eigentlich dasselbe erreicht.
Damit ist der Ansatz zum Scheitern verurteilt.
Aber wieso nicht einfach allen Domänenbenutzern Zugriff geben? Es kann sich kein Domänenbenutzer auf einem PC ohne Domänenmitgliedschaft anmelden, damit hast Du eigentlich dasselbe erreicht.
Nimm mal bitte die Domain Computer in die lokale Gruppe der User auf dann müsste es gehen.
Es kann sich kein Domänenbenutzer auf einem
PC ohne Domänenmitgliedschaft anmelden,
damit hast Du eigentlich dasselbe erreicht.
PC ohne Domänenmitgliedschaft anmelden,
damit hast Du eigentlich dasselbe erreicht.
nicht ganz, leider...
Wenn ich von einem nicht-domain-mitglied auf den Server zugreifen will muss ich
einen Benutzernamen plus PW eingeben.
Wenn ich hier die Daten eines Domänen-Nutzers angebe habe ich auch dessen Zugriffsrechte auf die Freigabe. Und das obwohl mein PC nicht in der Domäne ist.
sonst hätt ich mir die mühe ja nicht gemacht ;)
Nimm mal bitte die Domain Computer in die
lokale Gruppe der User auf dann müsste
es gehen.
lokale Gruppe der User auf dann müsste
es gehen.
Du meinst sicher die lokale Gruppe der User am Server, unterstelle ich jetzt einfach mal...
Wird sofort getestet -> Rückmeldung folgt ..
Also, was ich eben ausprobiert habe:
Lokale Gruppen gibbets nicht, ist ja ein 2003 Server.
Habe testweise im AD die Computer zu der Sicherheitsgruppe "Benutzer" hinzugefügt,
die Gruppe ist aber nicht lokal am Server vorhanden sondern wie schon gesagt im ActiveDirectory.
Leider bekomme ich mit dieser Variante auch nur ein liebloses "Zugriff verweigert"
@MRosoft:
Hast Du das schon mal ausprobiert oder ist das eine Schätzung von dir, das es über diesen Weg geht ?
Bin ratlos, hat nicht noch jemand ne Idee ?? Das muss doch gehen ?!?
Lokale Gruppen gibbets nicht, ist ja ein 2003 Server.
Habe testweise im AD die Computer zu der Sicherheitsgruppe "Benutzer" hinzugefügt,
die Gruppe ist aber nicht lokal am Server vorhanden sondern wie schon gesagt im ActiveDirectory.
Leider bekomme ich mit dieser Variante auch nur ein liebloses "Zugriff verweigert"
@MRosoft:
Hast Du das schon mal ausprobiert oder ist das eine Schätzung von dir, das es über diesen Weg geht ?
Bin ratlos, hat nicht noch jemand ne Idee ?? Das muss doch gehen ?!?
Ich bin jetzt der Meinung das dieses experiment von Anfang an zum scheitern verurteilt war.
Da der User selbstverständlich Zugriff auf die Freigaben haben muss, bringt es nichts auf Freigabeebene Berechtigungen nur für einen Computer-Account zu erteilen.
Schade, aber irgendwie anders muss es doch gehen...
Da der User selbstverständlich Zugriff auf die Freigaben haben muss, bringt es nichts auf Freigabeebene Berechtigungen nur für einen Computer-Account zu erteilen.
Schade, aber irgendwie anders muss es doch gehen...
Über eine Firewall und die IP Adressen der Rechner sperren, dann geht das schon. Aber nicht über Windows Berechtigungen.
Immernoch das selbe Problem, diesmal mit neuem Lösungsansatz:
hier gehts weiter --> Freigaben nur für Domänen-PCs
hier gehts weiter --> Freigaben nur für Domänen-PCs
