6
User in AD beschränken aber nicht Handlungsunfähig machen
Hallo Leuts,
Es geht um Domäne in der 12 Server verschiedene Aufgaben erledigen, einige der Server sind explizit für Fremdfirmen und ihre Programme. Alle dieser 12 Server greifen aber auf einen SQL Server zu und holen sich da mit verschiedensten Schnittstellen Daten...
Soweit sogut, nun ist einer der Server von einer Fremdfirma betreut die eigentlich nur die SQL Verbindung aufbaut und dort ihre Abfragen generiert, bei einer Stichprobenkontrolle haben wir nun aber festgestellt dass der User den die Firma benutzt sich Netzlaufwerkfreigaben von anderen Servern eingebunden hat.
Das Konstrukt dort ist ziemlich komplex... deswegen direkt zu meiner frage
Kann man den User irgendwie so einschränken dass er weder Netzlaufwerke einbinden noch sich an den anderen Servern anmelden kann? Er muss jedoch voll funktionsfähig bleiben was seinen eigenen Server angeht.
Es geht um Domäne in der 12 Server verschiedene Aufgaben erledigen, einige der Server sind explizit für Fremdfirmen und ihre Programme. Alle dieser 12 Server greifen aber auf einen SQL Server zu und holen sich da mit verschiedensten Schnittstellen Daten...
Soweit sogut, nun ist einer der Server von einer Fremdfirma betreut die eigentlich nur die SQL Verbindung aufbaut und dort ihre Abfragen generiert, bei einer Stichprobenkontrolle haben wir nun aber festgestellt dass der User den die Firma benutzt sich Netzlaufwerkfreigaben von anderen Servern eingebunden hat.
Das Konstrukt dort ist ziemlich komplex... deswegen direkt zu meiner frage
Kann man den User irgendwie so einschränken dass er weder Netzlaufwerke einbinden noch sich an den anderen Servern anmelden kann? Er muss jedoch voll funktionsfähig bleiben was seinen eigenen Server angeht.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 392914
Url: https://administrator.de/contentid/392914
Printed on: April 19, 2024 at 16:04 o'clock
6 Comments
Latest comment
Zitat von @Edaseins:
Das Konstrukt dort ist ziemlich komplex... deswegen direkt zu meiner frage
Kann man den User irgendwie so einschränken dass er weder Netzlaufwerke einbinden noch sich an den anderen Servern anmelden kann? Er muss jedoch voll funktionsfähig bleiben was seinen eigenen Server angeht.
Das Konstrukt dort ist ziemlich komplex... deswegen direkt zu meiner frage
Kann man den User irgendwie so einschränken dass er weder Netzlaufwerke einbinden noch sich an den anderen Servern anmelden kann? Er muss jedoch voll funktionsfähig bleiben was seinen eigenen Server angeht.
Steckt den in ein eigenes VLAN und regelt das über eine Firewall, daß der nur SQL machen darf.
lks
PS: Und mit CAT9 Nachdruck verleihen!
dass er weder Netzlaufwerke einbinden noch sich an den anderen Servern anmelden kann?
Rechte entziehen und Workstations im AD Profil beschränken, nicht zu einem globalen Admin machen sondern granular nur die Rechte per Delegation vergeben die ihm auch zustehen. Oder das ganze Ding besser gleich in separat geregeltes Subnetz stecken.
Also mein aktuelles vorhaben ist dass er lokale Adminrechte bekommt, auf dem 2ten Server wo seine Exe liegt die er anzapft, bekommt er userrechte und ich Sperre ihm die Möglichkeit Netzlaufwerke zu verbinden...
So jetz muss ich ihn nur noch von den anderen Servern ausschliessen. Dies würde doch rein theoretisch über eine GPO gehen dass ich sage der Benutzer kann sich an dem Server nicht anmelden oder?
So jetz muss ich ihn nur noch von den anderen Servern ausschliessen. Dies würde doch rein theoretisch über eine GPO gehen dass ich sage der Benutzer kann sich an dem Server nicht anmelden oder?
Zitat von @Edaseins:
Also mein aktuelles vorhaben ist dass er lokale Adminrechte bekommt, auf dem 2ten Server wo seine Exe liegt die er anzapft, bekommt er userrechte und ich Sperre ihm die Möglichkeit Netzlaufwerke zu verbinden...
So jetz muss ich ihn nur noch von den anderen Servern ausschliessen. Dies würde doch rein theoretisch über eine GPO gehen dass ich sage der Benutzer kann sich an dem Server nicht anmelden oder?
Also mein aktuelles vorhaben ist dass er lokale Adminrechte bekommt, auf dem 2ten Server wo seine Exe liegt die er anzapft, bekommt er userrechte und ich Sperre ihm die Möglichkeit Netzlaufwerke zu verbinden...
So jetz muss ich ihn nur noch von den anderen Servern ausschliessen. Dies würde doch rein theoretisch über eine GPO gehen dass ich sage der Benutzer kann sich an dem Server nicht anmelden oder?
Nein. Steck ihn in ein separates VLAN!
lks
1
Moin,
Es ist also EINE(!) Domain, in der alle Server sind.
Ihr habt also Server von anderen Firmen in EURER(!) Domain?
Eine Fremdfirma hat also einen Server in Eurer Domain, den sie selbständig betreut, nur um vom DB-Server Daten abzufragen? Warum? Warum greifen die nicht mit einem Client zu?
Also haben diese User Rechte an den Freigaben. Sonst könnten sie sie ja nicht nutzen. Warum haben die Rechte an diesen Freigaben?
Ja. Man gibt ihnen einfach keine Rechte an diesen Freigaben. Ohne Rechte auch kein Zugriff. Dann noch ein $ ans Ende des Freigabenamens, damit sie nicht so einfach zu finden ist.
In der Domain meldet sich der User nicht an einem Server an, sondern an der Domain. Alles andere regelt die Rechtevergabe an den Ressourcen.
Heißt was? Wenn sie da Domainadminrechte brauchen, um das zu machen, was sie machen wollen, dann kannst Du sie nicht aus dem Rest der Domain aussperren. Ein Admin ist ein Admin ist ein Admin ist der Gott des Netzwerkes.
Ich würde, wenn das denn geht, alle Fremdfirmen in ein jeweils eigenes Netz packen, dort eine, wenn denn notwendig, eigene Domain einrichten und die Zugriffe auf die eigene Domain auf das Notwendige beschränken.
Liebe Grüße
Erik
Es ist also EINE(!) Domain, in der alle Server sind.
einige der Server sind explizit für Fremdfirmen und ihre Programme.
Ihr habt also Server von anderen Firmen in EURER(!) Domain?
Alle dieser 12 Server greifen aber auf einen SQL Server zu und holen sich da mit verschiedensten Schnittstellen Daten...
Soweit sogut, nun ist einer der Server von einer Fremdfirma betreut die eigentlich nur die SQL Verbindung aufbaut und dort ihre Abfragen generiert,
Soweit sogut, nun ist einer der Server von einer Fremdfirma betreut die eigentlich nur die SQL Verbindung aufbaut und dort ihre Abfragen generiert,
Eine Fremdfirma hat also einen Server in Eurer Domain, den sie selbständig betreut, nur um vom DB-Server Daten abzufragen? Warum? Warum greifen die nicht mit einem Client zu?
bei einer Stichprobenkontrolle haben wir nun aber festgestellt dass der User den die Firma benutzt sich Netzlaufwerkfreigaben von anderen Servern eingebunden hat.
Also haben diese User Rechte an den Freigaben. Sonst könnten sie sie ja nicht nutzen. Warum haben die Rechte an diesen Freigaben?
Kann man den User irgendwie so einschränken dass er weder Netzlaufwerke einbinden
Ja. Man gibt ihnen einfach keine Rechte an diesen Freigaben. Ohne Rechte auch kein Zugriff. Dann noch ein $ ans Ende des Freigabenamens, damit sie nicht so einfach zu finden ist.
noch sich an den anderen Servern anmelden kann?
In der Domain meldet sich der User nicht an einem Server an, sondern an der Domain. Alles andere regelt die Rechtevergabe an den Ressourcen.
Er muss jedoch voll funktionsfähig bleiben was seinen eigenen Server angeht.
Heißt was? Wenn sie da Domainadminrechte brauchen, um das zu machen, was sie machen wollen, dann kannst Du sie nicht aus dem Rest der Domain aussperren. Ein Admin ist ein Admin ist ein Admin ist der Gott des Netzwerkes.
Ich würde, wenn das denn geht, alle Fremdfirmen in ein jeweils eigenes Netz packen, dort eine, wenn denn notwendig, eigene Domain einrichten und die Zugriffe auf die eigene Domain auf das Notwendige beschränken.
Liebe Grüße
Erik
Im AD selbst kann man die Benutzerkonten so einschränken, dass sie sich nur an bestimmten Computer-Objekten anmelden können. Wenn euer Server Mitglied in der Domäne ist, kannst du diesen dann entsprechend einschränken. Schau dir in der ADUC mal die Eigenschaften des Benutzerkontos an und dort den Reiter "Konto".
