4
Freigaben trotz Benutzer-Authentifkation für domänenfremde Rechner sperren
Meine Frage bezieht sich auf eine prinzipiell ganz einfache Sache:
Ist-Zustand:
In einer W2k3 Domäne mit XP-Hosts gibt es Netzwerkfreigaben mit detailierten Freigaberechten über Benutzergruppen. Bei der Domänenanmeldung an den Hosts werden den Benutzern Netzlaufwerke zugeteilt (Startscripts). Durch GPOs können Domänenbenutzer auf keine anderen Netzwerkressourcen zugreifen.
Szenario:
Verwendet jemand im Netzwerk einen Laptop (ohne dass dieser Mitglied der Domäne ist) so kann er in der Netzwerkumgebung oder über UNC-Pfade bei Kenntnis der Netzstruktur auf freigegebene Ordner zugreifen - natürlich muss er sich der Domäne gegenüber identifizieren, Windows liefert das entsprechende Dialogfenster. Hat der angegebene Benutzer die nötigen Rechte, so wird der Zugriff erlaubt.
Wunsch:
Ich möchte gerne, dass ein Zugriff wie im Szenario geschildert generell nicht erlaubt ist, soll heißen, ein Zugriff auf Netzressourcen ist nur von Domänenrechnern aus möglich, von anderen Geräten wird der Zugriff trotz Benutzerauthentifikation verweigert.
Danke für die Hilfe,
dynaero
Ist-Zustand:
In einer W2k3 Domäne mit XP-Hosts gibt es Netzwerkfreigaben mit detailierten Freigaberechten über Benutzergruppen. Bei der Domänenanmeldung an den Hosts werden den Benutzern Netzlaufwerke zugeteilt (Startscripts). Durch GPOs können Domänenbenutzer auf keine anderen Netzwerkressourcen zugreifen.
Szenario:
Verwendet jemand im Netzwerk einen Laptop (ohne dass dieser Mitglied der Domäne ist) so kann er in der Netzwerkumgebung oder über UNC-Pfade bei Kenntnis der Netzstruktur auf freigegebene Ordner zugreifen - natürlich muss er sich der Domäne gegenüber identifizieren, Windows liefert das entsprechende Dialogfenster. Hat der angegebene Benutzer die nötigen Rechte, so wird der Zugriff erlaubt.
Wunsch:
Ich möchte gerne, dass ein Zugriff wie im Szenario geschildert generell nicht erlaubt ist, soll heißen, ein Zugriff auf Netzressourcen ist nur von Domänenrechnern aus möglich, von anderen Geräten wird der Zugriff trotz Benutzerauthentifikation verweigert.
Danke für die Hilfe,
dynaero
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 140715
Url: https://administrator.de/contentid/140715
Printed on: April 24, 2024 at 08:04 o'clock
4 Comments
Latest comment
Man kann Berechtigungen nicht nur an Usern sondern auch an Computern fest machen. Und schon hast du das was du suchst.
Das probier doch lieber mal aus 
Computer sind keine sicherheitsrelevanten AD-Objekte. Der Zugriff auf Freigaben wird allein über den angemeldeten Benutzer geregelt.
Wie immer gilt also: Domain Isolation.
Computer sind keine sicherheitsrelevanten AD-Objekte. Der Zugriff auf Freigaben wird allein über den angemeldeten Benutzer geregelt.
Wie immer gilt also: Domain Isolation.
Danke für die Info. Dazu noch eine zusätzliche Frage: Ist es möglich in einer Domain Isolation Umgebung manche Freigaben dennoch nur manchen Hosts zur Verfügung zu stellen. Die Idee ist, die Bearbeitung kritischer Daten auch nur von besonders gesicherten Hosts zu erlauben, die Hosts sollen aber in der Domäne liegen (also ohne VLANs, etc.)
Danke
Danke
