Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Active Directory Gastbenutzer ohne Rechte

Frage Netzwerke

Mitglied: peterfolta

peterfolta (Level 1) - Jetzt verbinden

31.07.2012 um 14:08 Uhr, 5782 Aufrufe, 6 Kommentare

Hallo,

im Büro wird ein WLAN zur Verfügung gestellt, das mittels WPA2-Enterprise gesichert ist und deren Authorisierung der RADIUS-Server auf dem Domänencontroller (Windows Server 2008, NICHT R2) übernimmt. Dabei sind alle Benutzer, die berechtigt sind, sich mit dem WLAN zu verbinden, Mitglied einer Gruppe namens "Wireless Users". So weit, so gut. Dies funktioniert alles prächtig. Zusätzlich ist das WLAN per MAC-Filter gesichert, indem nur erlaubte Geräte auf den AccessPoints eingetragen sind.

Nun möchte ich gerne ausgewählten Außenstehenden (externe Geschätspartner, Besucher etc.) den Zugriff auf das WLAN erlauben, damit diese die Internetverbindung nutzen können. Selbstverständlich haben diese Leute kein Benutzerkonto im Active Directory und das soll sich auch nicht ändern. Ich hatte daran gedacht, einen Benutzer im AD namens "guest" anzulegen, der Mitglied der Gruppe "Wireless Users" ist, und damit berechtigt ist, sich mit dem WLAN zu verbinden. An der Stelle soll aber auch Schluss sein. Insbesondere darf sich dieser Benutzer "guest" an KEINEM Computer im Büro anmelden können, keinerlei Zugriff auf irgendwelche Netzwerkressourcen haben (Freigaben etc.), sondern eben ausschließlich den WLAN-Zugriff auf die Internetverbindung herstellen.

Ist so etwas möglich? Wie kann ich einen Nutzer anlegen, der im Prinzip "nichts darf"? Also wirklich absolut nichts, sich nicht mal irgendwo anmelden darf. Einzige Ausnahme eben die Herstellung einer WLAN-Verbindung.

Was haltet ihr von der Idee und wie habt ihr ein solches "Problem" gelöst?

Viele Grüße aus Paderborn,
Peter
Mitglied: DerWoWusste
31.07.2012 um 14:11 Uhr
Moin.

Die Anmeldeberechtigungen kannst Du direkt im Userobjekt beschneiden (Knopf: "anmelden an"). Zugriffe auf Shares kannst Du unterbinden, indem Du evtl. die Policy "Zugriff auf diesen Computer vom Netzwerk verweigern" nutzt. Aber zwingend brauchen wirst Du diese nur, wenn Du Shares hast, auf die die Gruppe "Jeder" Zugriff hat.
Bitte warten ..
Mitglied: peterfolta
31.07.2012 um 14:15 Uhr
Zitat von DerWoWusste:
Moin.

Die Anmeldeberechtigungen kannst Du direkt im Userobjekt beschneiden (Knopf: "anmelden an"). Zugriffe auf Shares kannst
Du unterbinden, indem Du evtl. die Policy "Zugriff auf diesen Computer vom Netzwerk verweigern" nutzt. Aber zwingend
brauchen wirst Du diese nur, wenn Du Shares hast, auf die die Gruppe "Jeder" Zugriff hat.

Hi!

Das mit dem Button "Anmelden an" habe ich auch schon versucht. Wenn man dann allerdings keinen Computer angibt und die Eigenschaften mit "OK" schließt, springt die Option wieder zurück auf "Alle Computer".

Es gibt keine Shares, auf die die Gruppe "Jeder" Zugriff hat. Insofern müsste es doch reichen, wenn der Benutzer ausschließlich Mitglied von "Wireless Users" ist, oder? Also insbesondere keine Mitgliedschaft von "Domänen-Benutzer" oder "Domänen-Gäste".
Bitte warten ..
Mitglied: DerWoWusste
31.07.2012 um 14:22 Uhr
Gib doch eine Phantasieworkstation zur Anmeldeberechtigung an und fertig, dann springt nichts zurück (Du hast Recht, das Zurückspringen hatte ich auch mal bemerkkt - böse Falle!).

Wegen der Shares: im Zweifel einfach die Policy benutzen. Beispiel: GastuserA und GastuserB sind sowohl Mitglieder in Wireless, als auch in einer Gruppe "keinFreigabezugriff". Letztere Gruppe wird dann mit der GPO "Zugriff auf diesen Computer vom Netzwerk verweigern" generell ausgesperrt.
Bitte warten ..
Mitglied: catachan
31.07.2012, aktualisiert um 14:27 Uhr
Hi

ich würde vorschlagen die Gäste in ein eigenes VLAN zu verfrachten aus dem sie nur ins Internet kommen. Idealerweise kann dein AP mehrere SSID parallel fahren. Dann richtest du ein eigenes WLAN für die Gäste ein. Zusätzlich kann man auch ein Captive-Portal einrichten, an dem Sie sich authentifizieren können.
Kommt halt drauf an was für Hardware du zur Verfügung hast.

LG
Bitte warten ..
Mitglied: Deepsys
31.07.2012 um 15:52 Uhr
Hi,

kenne ich auch nur mit zweiten WLAN und VLAN.
Das ganze mit "normalen" WPA2 und fertig.

Dann kommen die "bösen" externen Rechner noch nicht mal an den AD, und das sollte sicherer sein

VG
Deepsys
Bitte warten ..
Mitglied: clSchak
31.07.2012 um 22:03 Uhr
genau, separate SSID auf einem separaten VLAN und ggf. ein Capt. Portal dazu, dann hast ein offens WLAN wo sich die Leute aber anmelden müssen, so verlierst nicht die Kontrolle darüber wer sich alles anmeldet. Evtl. ein passendes Ticket-System dazu und gut ist (Anleitung hier im Forum von Aqui).

Gäste ins Domänen-Netz zu lassen würde ich grundsätzlich nicht machen.
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(3)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows Netzwerk
gelöst Schnelle Hilfe gefragt - Active Directory Rechte übertragen (von Server zu Server) (14)

Frage von miscmike zum Thema Windows Netzwerk ...

Windows Server
gelöst Active Directory CA öffentlich vertrauenswürdig machen, geht das? (2)

Frage von DeathangelCH zum Thema Windows Server ...

Windows Server
gelöst Active Directory File Extension - Associated Program (11)

Frage von adm2015 zum Thema Windows Server ...

Windows 8
gelöst Active Directory Default User.v2 Profile - Windows 8.1 Apps Error (4)

Frage von adm2015 zum Thema Windows 8 ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...

Outlook & Mail
Outlook 2010 findet ost datei nicht (18)

Frage von Floh21 zum Thema Outlook & Mail ...