Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Active Directory Gastbenutzer ohne Rechte

Frage Netzwerke

Mitglied: peterfolta

peterfolta (Level 1) - Jetzt verbinden

31.07.2012 um 14:08 Uhr, 6248 Aufrufe, 6 Kommentare

Hallo,

im Büro wird ein WLAN zur Verfügung gestellt, das mittels WPA2-Enterprise gesichert ist und deren Authorisierung der RADIUS-Server auf dem Domänencontroller (Windows Server 2008, NICHT R2) übernimmt. Dabei sind alle Benutzer, die berechtigt sind, sich mit dem WLAN zu verbinden, Mitglied einer Gruppe namens "Wireless Users". So weit, so gut. Dies funktioniert alles prächtig. Zusätzlich ist das WLAN per MAC-Filter gesichert, indem nur erlaubte Geräte auf den AccessPoints eingetragen sind.

Nun möchte ich gerne ausgewählten Außenstehenden (externe Geschätspartner, Besucher etc.) den Zugriff auf das WLAN erlauben, damit diese die Internetverbindung nutzen können. Selbstverständlich haben diese Leute kein Benutzerkonto im Active Directory und das soll sich auch nicht ändern. Ich hatte daran gedacht, einen Benutzer im AD namens "guest" anzulegen, der Mitglied der Gruppe "Wireless Users" ist, und damit berechtigt ist, sich mit dem WLAN zu verbinden. An der Stelle soll aber auch Schluss sein. Insbesondere darf sich dieser Benutzer "guest" an KEINEM Computer im Büro anmelden können, keinerlei Zugriff auf irgendwelche Netzwerkressourcen haben (Freigaben etc.), sondern eben ausschließlich den WLAN-Zugriff auf die Internetverbindung herstellen.

Ist so etwas möglich? Wie kann ich einen Nutzer anlegen, der im Prinzip "nichts darf"? Also wirklich absolut nichts, sich nicht mal irgendwo anmelden darf. Einzige Ausnahme eben die Herstellung einer WLAN-Verbindung.

Was haltet ihr von der Idee und wie habt ihr ein solches "Problem" gelöst?

Viele Grüße aus Paderborn,
Peter
Mitglied: DerWoWusste
31.07.2012 um 14:11 Uhr
Moin.

Die Anmeldeberechtigungen kannst Du direkt im Userobjekt beschneiden (Knopf: "anmelden an"). Zugriffe auf Shares kannst Du unterbinden, indem Du evtl. die Policy "Zugriff auf diesen Computer vom Netzwerk verweigern" nutzt. Aber zwingend brauchen wirst Du diese nur, wenn Du Shares hast, auf die die Gruppe "Jeder" Zugriff hat.
Bitte warten ..
Mitglied: peterfolta
31.07.2012 um 14:15 Uhr
Zitat von DerWoWusste:
Moin.

Die Anmeldeberechtigungen kannst Du direkt im Userobjekt beschneiden (Knopf: "anmelden an"). Zugriffe auf Shares kannst
Du unterbinden, indem Du evtl. die Policy "Zugriff auf diesen Computer vom Netzwerk verweigern" nutzt. Aber zwingend
brauchen wirst Du diese nur, wenn Du Shares hast, auf die die Gruppe "Jeder" Zugriff hat.

Hi!

Das mit dem Button "Anmelden an" habe ich auch schon versucht. Wenn man dann allerdings keinen Computer angibt und die Eigenschaften mit "OK" schließt, springt die Option wieder zurück auf "Alle Computer".

Es gibt keine Shares, auf die die Gruppe "Jeder" Zugriff hat. Insofern müsste es doch reichen, wenn der Benutzer ausschließlich Mitglied von "Wireless Users" ist, oder? Also insbesondere keine Mitgliedschaft von "Domänen-Benutzer" oder "Domänen-Gäste".
Bitte warten ..
Mitglied: DerWoWusste
31.07.2012 um 14:22 Uhr
Gib doch eine Phantasieworkstation zur Anmeldeberechtigung an und fertig, dann springt nichts zurück (Du hast Recht, das Zurückspringen hatte ich auch mal bemerkkt - böse Falle!).

Wegen der Shares: im Zweifel einfach die Policy benutzen. Beispiel: GastuserA und GastuserB sind sowohl Mitglieder in Wireless, als auch in einer Gruppe "keinFreigabezugriff". Letztere Gruppe wird dann mit der GPO "Zugriff auf diesen Computer vom Netzwerk verweigern" generell ausgesperrt.
Bitte warten ..
Mitglied: catachan
31.07.2012, aktualisiert um 14:27 Uhr
Hi

ich würde vorschlagen die Gäste in ein eigenes VLAN zu verfrachten aus dem sie nur ins Internet kommen. Idealerweise kann dein AP mehrere SSID parallel fahren. Dann richtest du ein eigenes WLAN für die Gäste ein. Zusätzlich kann man auch ein Captive-Portal einrichten, an dem Sie sich authentifizieren können.
Kommt halt drauf an was für Hardware du zur Verfügung hast.

LG
Bitte warten ..
Mitglied: Deepsys
31.07.2012 um 15:52 Uhr
Hi,

kenne ich auch nur mit zweiten WLAN und VLAN.
Das ganze mit "normalen" WPA2 und fertig.

Dann kommen die "bösen" externen Rechner noch nicht mal an den AD, und das sollte sicherer sein

VG
Deepsys
Bitte warten ..
Mitglied: clSchak
31.07.2012 um 22:03 Uhr
genau, separate SSID auf einem separaten VLAN und ggf. ein Capt. Portal dazu, dann hast ein offens WLAN wo sich die Leute aber anmelden müssen, so verlierst nicht die Kontrolle darüber wer sich alles anmeldet. Evtl. ein passendes Ticket-System dazu und gut ist (Anleitung hier im Forum von Aqui).

Gäste ins Domänen-Netz zu lassen würde ich grundsätzlich nicht machen.
Bitte warten ..
Ähnliche Inhalte
Windows Userverwaltung
gelöst Server 2012 R2 Active Directory über den Webbrowser öffnen (4)

Frage von blackhawk17 zum Thema Windows Userverwaltung ...

Windows Server
Exchange 2010 Active Directory und Windows Server 2016 (4)

Erfahrungsbericht von Herbrich19 zum Thema Windows Server ...

Windows Server
Serie: Active Directory Zertifikatsdienste (Teil 1-8)

Link von pewa2303 zum Thema Windows Server ...

Neue Wissensbeiträge
Administrator.de Feedback

Umgangsformen auf der Seite

(7)

Information von Frank zum Thema Administrator.de Feedback ...

Windows 10

Windows 8.x oder 10 Lizenz-Key aus dem ROM auslesen mit Linux

(11)

Tipp von Lochkartenstanzer zum Thema Windows 10 ...

Heiß diskutierte Inhalte
Batch & Shell
gelöst Dir tc Befehl unter Windows 10 macht Probleme (14)

Frage von sugram zum Thema Batch & Shell ...

Windows Server
Windows Server Komplettspiegelung (13)

Frage von pdiddo zum Thema Windows Server ...

Windows Server
Windows Server 2016 RDS Remoteapp Anzeigefehler (11)

Frage von qlnGenius zum Thema Windows Server ...