Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Internetzugriff für Nicht-Domänen-Mitglieder sperren...

Frage Microsoft Windows Netzwerk

Mitglied: wonderknabe

wonderknabe (Level 1) - Jetzt verbinden

12.05.2010 um 15:23 Uhr, 4883 Aufrufe, 8 Kommentare

Hallo zusammen,

ich (oder vielmehr mein Chef) möchte in unserem Unternehmen den Internetzugriff für alle Computer sperren, die nicht Mitglieder der Domäne sind. Meine bisherigen Versuche sind daran gescheitert, dass es erstens durchaus Benutzer gibt, die nicht in der Domäne selbst angemeldet sind, sondern lokal, und trotzdem Zugriff benötigen und auch erhalten sollen und zweitens daran, dass es innerhalb des Netzwerks einige Geräte gibt, die zwar keine Domänenmitglieder sind und trotzdem innerhalb des Netzwerks volle Funktionsfähigkeit benötigen.

Hat jemand eine Idee, wie dieses Problem zu lösen ist. Wir haben eine Windows-Server-2003 Infrastruktur sowie einen ISA-Server 2006?

Vielen Dank im Voraus,
wonderknabe
Mitglied: Patriot
12.05.2010 um 15:41 Uhr
Hi wonderknabe,

wie wärs mit Authentifizierung am Proxyserver? Der ISA bietet das doch an
Bitte warten ..
Mitglied: dog
12.05.2010 um 15:58 Uhr
Hilft dir aber nichts, denn wenn man die Login-Daten hat kann man auch über den ISA als nicht Domain-Member.

Wie immer gilt:
Für kabelgebundene Netzwerke gibt es nur eine wirklich sichere Möglichkeit Nicht-Domain-Member auszusperren: Domain Isolation.
Bitte warten ..
Mitglied: DerWoWusste
12.05.2010 um 19:05 Uhr
Hi.
Man könnte es so lösen: einen Ident-Daemon nutzen, der die User-ID übermittelt und diesen nur Domänenmitgliedern zugänglich machen (z.B. Autostartobjekt, das auf identd auf einem Netzwerkpfad verweist, welcher nur Dom.-Mitgliedern zugänglich ist). Kenne leider den ISA nicht, SQUID kann das auswerten. Kommt keine User-ID, weil identd nicht läuft, dann auch kein Internetzugang.
Das würde natürlich umgehbar sein, wenn jemand dahinterkommt und sich einen portablen identd mitbringt und eine korrekte User-ID übermittelt (sich also mit einem lokalen Nutzer anmeldet, den es auch in der Domäne gibt - es wid nämlich nur der Name ausgewertet, nicht Name+Domäne).
Bitte warten ..
Mitglied: tikayevent
12.05.2010 um 21:18 Uhr
Bin gerade am überlegen, wie es laufen könnte, wenn man auf nem Squid die Basic-Auth abschaltet.

Beim Squid ist ja normal als erstes die NTLM-Auth eingetragen und direkt danach folgt die Basic-Auth mit der gleichen Quelle.

Ich weiß es nicht, aber vielleicht weiß DerWoWusste es: Wenn man jetzt die NTLM-Auth drinlässt und die Basic-Auth rauskegelt, fragt er dann trotzdem nach dem Passwort? Ich kann es gerade nicht testen, bin zu weit weg von meinem nächsten Squid.
Bitte warten ..
Mitglied: dog
12.05.2010 um 21:40 Uhr
Ich weiß es nicht, aber vielleicht weiß DerWoWusste es: Wenn man jetzt die NTLM-Auth drinlässt und die Basic-Auth rauskegelt, fragt er dann trotzdem nach dem Passwort?

Unser ISA läuft NUR mit der NTLM-Auth und trotzdem fragt Firefox nach einem Passwort und kann sich anmelden...
Bitte warten ..
Mitglied: wonderknabe
13.05.2010 um 11:21 Uhr
Hallo zusammen,

vielen Dank für die zahlreichen Antworten. Da ich eigentlich nicht noch einen weiteren Proxy installieren möchte, werde ich es erstmal mit ISA Bordmitteln probieren, auch wenn die Proxylösung nicht wirklich das Szenario abdeckt, welches ich gerne hätte. Mal sehen, vllt. wird es reichen.

@dog: Bei Einrichtung einer Domain Isolation wäre dann aber der Zugriff für alle fremden Rechner auf das Netzwerk generell geblockt, oder?
Bitte warten ..
Mitglied: dog
13.05.2010 um 13:36 Uhr
@dog: Bei Einrichtung einer Domain Isolation wäre dann aber der Zugriff für alle fremden Rechner auf das Netzwerk generell geblockt, oder?

Nicht generell.
Da Domain Isolation auf IP-Level arbeitet könnte man auch Ausnahmen für IP-Bereiche und Subnets festlegen.
Bitte warten ..
Mitglied: DerWoWusste
13.05.2010 um 14:00 Uhr
@tikayevent
Ich administrier den Squid nicht, müsste fragen.
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows Systemdateien
Keine Berechtigung trotz Domänen-Admin User (10)

Frage von M.Marz zum Thema Windows Systemdateien ...

Datenschutz
gelöst USB-Ports sperren über Kaspersky (1)

Frage von Tak-47 zum Thema Datenschutz ...

Windows Userverwaltung
AD Gruppe der Domänen-Admins überwachen (5)

Frage von ThorstenRay zum Thema Windows Userverwaltung ...

Windows 10
gelöst Windows 10 - Domänen Benutzerprofil reparieren (2)

Frage von cuilster zum Thema Windows 10 ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (20)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Festplatten, SSD, Raid
M.2 SSD wird nicht erkannt (14)

Frage von uridium69 zum Thema Festplatten, SSD, Raid ...