Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst lokal angemeldet, trotzdem Zugriff auf Domäne

Mitglied: misa75

misa75 (Level 1) - Jetzt verbinden

13.11.2008, aktualisiert 17:47 Uhr, 5213 Aufrufe, 12 Kommentare

Hallo, kann mir jemand sagen, warum ein lokal, am Client angemeldeter, Benutzer Zugriff auf die Domäne hat? Sollte Ihm das nicht verweigert werden? Die Sicherheitseinstellungen der Freigaben enthalten nicht "Jeder" sondern "authentifiziert Benutzer". Das ganze funktioniert auch von privaten Geräten, die sich dann unter angabe des benutzers und Passwort auf den Server verbinden???
Mitglied: Pandora
13.11.2008 um 11:41 Uhr
Hi Misa,

Wieso? Die Benutzer haben sich doch an ihrem Rechner authentifiziert. . As per Microsoft:

Authenticated Users
(S-1-5-11) Includes all users and computers whose identities have been authenticated. Authenticated Users does not include Guest even if the Guest account has a password.

Leg mal eine richtige Gruppe an und pack da alle Benutzer rein, die auch wirklich Zugriff brauchen, dann klappt es auch mit der Zugriffsverweigerung.

Gruß, Pandora
Bitte warten ..
Mitglied: misa75
13.11.2008 um 11:54 Uhr
die haben aber auch Zugriff auf Daten, die nicht für die authentifizierte Benutzer freigegeben sind.
Ich denke, wenn man nicht an der Domäne angemeldet ist, sollte man auch keinen Zugriff haben. Evtl. denke ich da aber auch falsch?? Wie könnte ich den sonst verhindern, das jemand sein privaten Notebook mitbringt und sich zum Server verbindet, sein Firmenbenutzernamen und Passwort eingibt, und sich dann die Daten vom Server zieht?
Bitte warten ..
Mitglied: Pandora
13.11.2008 um 12:25 Uhr
Du kannst dich natürlich auch von einem Rechner aus anmelden, der selber nicht in der Domäne ist. Wenn da Benutzername und Kennwort vorhanden sind ist das ganz normal.

Das kannst du z.B. dadurch unterbinden, dass du es einschränkst, von welchen PC aus sich ein Benutzer anmelden darf.
Bitte warten ..
Mitglied: petenicker
13.11.2008 um 12:37 Uhr
Zitat von misa75:
Wie könnte ich den sonst verhindern, das jemand sein privaten
Notebook mitbringt und sich zum Server verbindet, sein
Firmenbenutzernamen und Passwort eingibt, und sich dann die Daten vom
Server zieht?

Indem du verhinderst, dass das Notebook eine IP-Adresse zugewiesen bekommt. Das kannst du mit einer entsprechenden Konfiguration des DHCP-Servers erreichen. Entweder ein entsprechend kleiner Scope oder du arbeitest mit Reservierungen anhand der MAC-Adressen.
Bitte warten ..
Mitglied: misa75
13.11.2008 um 12:45 Uhr
Zitat von petenicker:
> Zitat von misa75:
> Wie könnte ich den sonst verhindern, das jemand sein
privaten
> Notebook mitbringt und sich zum Server verbindet, sein
> Firmenbenutzernamen und Passwort eingibt, und sich dann die
Daten vom
> Server zieht?
>
Indem du verhinderst, dass das Notebook eine IP-Adresse zugewiesen
bekommt. Das kannst du mit einer entsprechenden Konfiguration des
DHCP-Servers erreichen. Entweder ein entsprechend kleiner Scope oder
du arbeitest mit Reservierungen anhand der MAC-Adressen.

Danke erstmal für die Antwort.
Das Problem sind die privaten Geräte. Da kann natürlich jeder eine IP einstellen...
Bitte warten ..
Mitglied: misa75
13.11.2008 um 12:47 Uhr
Zitat von Pandora:
Du kannst dich natürlich auch von einem Rechner aus anmelden, der
selber nicht in der Domäne ist. Wenn da Benutzername und Kennwort
vorhanden sind ist das ganz normal.

Das kannst du z.B. dadurch unterbinden, dass du es einschränkst,
von welchen PC aus sich ein Benutzer anmelden darf.


Danke für deine Antwort.
Ich denke, das einschränken der Anmeldung nur von bestimmten Pc´s ist da keine schlechte Sache..
Bitte warten ..
Mitglied: misa75
13.11.2008 um 13:48 Uhr
Hat noch jemand ne Idee, wie ich private Pc´s aussperren kann?
Bitte warten ..
Mitglied: 64748
13.11.2008 um 15:05 Uhr
Hallo zusammen,

so wie ich das verstehe hast Du mehrere Probleme.
Einmal kann standardmäßig jeder Domänenbenutzer maximal 10 Rechner in die Domäne heben. Das kannst Du aber verhindern.
Zum zweiten ist eine Anmeldung an einer Domäne nur von einem Rechner aus möglich, der Mitglied in der Domäne ist.
Hast Du mal im AD nachgesehen, ob vielleicht die privaten Notebooks schon Domänenmitglieder sind?

Gruß

Markus
Bitte warten ..
Mitglied: misa75
13.11.2008 um 15:21 Uhr
Hallo, nein die privaten Notebooks sind keine Dommitglieder. Sie brauchen nur \\server\freigabe eingeben und sich mit benutzer und PW authetifiziern, und haben damit Zugriff.
Bitte warten ..
Mitglied: Pandora
13.11.2008 um 15:27 Uhr
Zum zweiten ist eine Anmeldung an einer Domäne nur von einem
Rechner aus möglich, der Mitglied in der Domäne ist.

Ja, aber du kannst doch von jedem Rechner aus eine Freigabe aufrufen, wenn du ein entsprechendes Benutzerkonto zur Hand hast. Aber wenn jemand eine Möglichkeit kennt (außer oben beschriebenes) das zu unterbinden immer her damit.
Bitte warten ..
Mitglied: 64748
13.11.2008 um 15:44 Uhr
Hallo nochmal,

ich kann es jetzt gerade nicht ausprobieren, aber Anmeldeeinschränkungen werden im "Active Directory Benutzer und Computer" in den Eigenschaften der Benutzer eingestellt. Frage ist allerdings, ob die Benutzer, wenn sie von einem Domänenrechner aus angemeldet sind nicht auch all das machen, was sie nicht sollen. Dazu musst Du die Berechtigungen der Freigabe UND! die NTFS-Berechtigungen der darin enthaltenen Ordner kontrollieren (Wichtig ist das Zusammenspiel dieser Berechtigungen, damit kann man den Zugriff genau steuern). Zudem solltest Du aufpassen, dass keine anderesn Freigaben auf dem Server vorhanden sind.

Gruß

Markus
Bitte warten ..
Mitglied: Jochem
13.11.2008 um 17:47 Uhr
Moin,
so wies aussieht, hast Du mehrere Probleme:
- ad 1: Der Betrieb/die Benutzung private Hard- und/oder Software sollte in einer Firma nicht erlaubt und entsprechend bewehrt sein (Dienstvereinbarung, Arbeitsvertrag etc.)
- ad 2: Um Zugriff auf die Domäne zu bekommen benötigst Du
; einen authentifizierten Benutzernamen
; ein dazu korrespondierendes Paßwort
; eine IP-Adresse im Bereich der Domäne
; die Subnetzmaske zum IP-Bereich
; die IP-Adresse des DNS-Servers
; evtl. noch die IP-Adresse des Gateways
Mit diesen Angaben kannst Du Dich problemlos in die Domäne einloggen, sofern im Netz feste IP-Adressen vorgegeben sind. Läuft die Vergabe der IP-Adressen über einen DHCP-Server, der zusätzlich zur IP-Adresse noch die MAC-Adresse prüft, hast Du eine Möglichkeit gefunden, "Fremdeinlogger" von der Domäne auszuschließen. Aber sicher wird auch irgendwer dann eine Möglichkeit finden, die MAC-Adresse zu klonen.
- ad 3: Wenn Die User derzeit schon die Möglichkeit haben, quer durch die Domäne auf Daten zuzugreifen, stimmt irgendwas mit Deiner Rechtevergabe nicht.

Also ran und Hausaufgaben machen

Gruß J chem
Bitte warten ..
Ähnliche Inhalte
Batch & Shell

Wie finde ich heraus ob ein User an seinem Client lokal oder an der Domäne angemeldet ist?

gelöst Frage von minimalwerkBatch & Shell7 Kommentare

Hallo liebe Community, gibt es eine Möglichkeit herauszufinden ob sich ein User an seinem Client momenatn lokal oder an ...

Windows Netzwerk

Loginabfrage beim Zugriff auf Netzlaufwerk wo der angemeldete User keinen Zugriff hat

gelöst Frage von uLmiWindows Netzwerk11 Kommentare

Hallo Zusammen, ich habe eine Share wo die standard User keinen Zugriff haben, sondern nur die ITMitarbeiter. Wenn jetzt ...

Windows Server

Kein Zugriff auf Gruppenrichtlinienverwaltung obwohl als DomänenAdmin angemeldet

Frage von jones-indiWindows Server6 Kommentare

Hallo zusammen, hier gibt es EINEN Server im Haus. Den habe ich letzte Woche per dcpromo als DC eingrichtet. ...

Exchange Server

Outlook einrichten - aber mit anderem Domänen-Benutzer als dem angemeldeten

Frage von TiTuxExchange Server5 Kommentare

Hallo, ich denke mal, dass das Exchange Unterforum hier besser passt, als das Outlook Forum. Wir haben einen Exchange ...

Neue Wissensbeiträge
Humor (lol)
IoT-Gefahr: Smartes Aquarium leckt!
Information von Lochkartenstanzer vor 1 TagHumor (lol)3 Kommentare

Moin, Die IoT-Manie hat weitere Opfer gefunden. Ein Casino-Leck durch ein smartes Aquarium: Allerdings haben sie kein Wasser, sondern ...

Router & Routing

Alte Fritzbox 7270 mit VPN und SIP-Telefonie hinter O2 Homebox 6641 als "Modem"

Erfahrungsbericht von the-buccaneer vor 1 TagRouter & Routing3 Kommentare

Nun war es soweit: Auch O2 hat mich mit VOIP zwangsbeglückt. Heute am Privatanschluss, in 2 Wochen ist das ...

Sicherheit

Ungepatchte Remote Code Execution-Lücke in LG NAS

Information von kgborn vor 1 TagSicherheit

Nutzt wer LG NAS-Einheiten? In den NAS-Einheiten der LG Network Storage-Einheiten gibt es eine sehr unschöne Schwachstelle, die einen ...

Windows Update

Neue Version KB4099950 NIC Einstellungen gehen verloren

Information von sabines vor 2 TagenWindows Update2 Kommentare

Es ist eine neue Version des KB4099950 verfügbar, die das Problem mit den verlorenen Netzwerkeinstellungen lösen soll. Das Datum ...

Heiß diskutierte Inhalte
Sicherheit
Verbindliche Zustellung per E-Mail?
Frage von ahussainSicherheit18 Kommentare

Hallo allerseits, ein Kunde von mir nutzt intensiv Fax. Hauptgrund: zusammen mit einer Empfangsbestätigung ist eine verbindliche Zustellung gewährleistet. ...

Router & Routing
Mikrotik: Routing zwischen Interfaces mit Geräten ohne Gateway
Frage von TonLichtVideoRouter & Routing17 Kommentare

Hallo zusammen, ich komme aus dem Veranstaltungstechnik Bereich und habe zwei Netze um verschiedene Hardware zu Remoten. CONTROL1 192.168.1.0/24 ...

Linux Netzwerk
Raspberry Pi 3: WLAN Power save deaktivieren
Frage von nordie92Linux Netzwerk14 Kommentare

Moin moin, mein Raspberry Pi 3 Model B benötigt eine dauerhaft aktive WLAN-Verbindung. Leider bricht die WLAN-Verbindung nach einigen ...

SAN, NAS, DAS
Entscheidung SAN Dell oder HP
Frage von VincorSAN, NAS, DAS13 Kommentare

Hallo, wir wollen uns für unsere Hyper V Umgebung eine neue SAN Anschaffen. Es laufen 30 VM's darunter, DC; ...