Domänen Account mit SMB Zugang für einfache Geräte (ohne Login-Möglichkeit)
Hallo,
einfache Geräte wie Scanner, Messgeräte, Radios sollen Dateien auf Netzwerkfreigaben / Shares lesen bzw. ablegen können.
Die Rechte in der Netzwerkfreigabe sollen aber keinen Lese- und Schreibzugriff für "Jeder" erhalten, sondern nur für einen bestimmten Account (pro Gerät oder pro Gerätegruppe einen).
Der Account muss also ein regulärer Domänen-Account mit Passwort sein.
Da das Passwort auf dem Gerät hinterlegt werden muss und weil die Geräte-Konfiguration oft nicht sonderlich geheim oder sicher ist, soll man diesen Account auch nur für den Zugriff auf die Freigabe benutzen können. Insbesondere soll keine interaktive Anmeldung damit möglich sein.
Bei einem Linux-System kann man die shell z.B. auf /bin/false ändern.
Wie erreicht man das am einfachsten in einer Windows-Domäne?
Gruß
Klaus
einfache Geräte wie Scanner, Messgeräte, Radios sollen Dateien auf Netzwerkfreigaben / Shares lesen bzw. ablegen können.
Die Rechte in der Netzwerkfreigabe sollen aber keinen Lese- und Schreibzugriff für "Jeder" erhalten, sondern nur für einen bestimmten Account (pro Gerät oder pro Gerätegruppe einen).
Der Account muss also ein regulärer Domänen-Account mit Passwort sein.
Da das Passwort auf dem Gerät hinterlegt werden muss und weil die Geräte-Konfiguration oft nicht sonderlich geheim oder sicher ist, soll man diesen Account auch nur für den Zugriff auf die Freigabe benutzen können. Insbesondere soll keine interaktive Anmeldung damit möglich sein.
Bei einem Linux-System kann man die shell z.B. auf /bin/false ändern.
Wie erreicht man das am einfachsten in einer Windows-Domäne?
Gruß
Klaus
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-Key: 338898
Url: https://administrator.de/contentid/338898
Ausgedruckt am: 19.03.2024 um 13:03 Uhr
2 Kommentare
Neuester Kommentar
Im AD Objekt des Users unter Logon to einen Fantasienamen einer Workstation hinterlegen, oder per Grouppolicy die lokale Sicherheitsrichtlinie "Deny interactive logon" mit der Gruppe der Service-Accounts deployen.
Gruß
Gruß