Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Netzwerkzugriff auf Benutzer(-gruppen) beschränken Ein erstmal trivial scheinendes Problem, wenn nicht folgendes wäre....

Frage Microsoft Windows Userverwaltung

Mitglied: helohse

helohse (Level 1) - Jetzt verbinden

31.08.2006, aktualisiert 08.01.2009, 7461 Aufrufe, 8 Kommentare

In einer von mir betreuten Kanzlei besteht der Wunsch, dass auf einen bestimmten Ordner im Netzwerk nur berechtigte Mitarbeiter zugreifen können. Ein erstmal trivial scheinendes Problem, wenn nicht folgendes wäre....

Benutzergruppen sind eingerichtet, Zugangsberechtigungen für Freigabe und Sicherheit gesetzt (Win 2003 SBS Std. Server), Berechtigte können zugreifen, die Anderen eben nicht. Nun ist es jedoch so, das die "Berechtigten" hin und wieder den Arbeitsplatz verlassen (manchmal auch stunden- oder tageweise). Bildschirmschoner mit Passwort sind nicht erwünscht, andere (unberechtigte) Mitarbeiter sollen Zugriff (auch über das Nutzerprofil der "Berechtigten") haben (z.B. Sekretärin), nur auf den einen Ordner, da sollen Sie nicht...

Variante 2: Berechtigungen mit anderem Benutzernamen und Passwort gesetzt, Laufwerk verbunden mit "verbinden als" ohne das Häkchen bei Kennwort speichern. Gut soweit, Passwort wird abgefragt, jedoch merkt sich Windows bis zur nächsten Ab- und Anmeldung die Zugangsdaten. Der "Berechtigte" kann also nicht mal eben auf´s Klo ohne sich abzumelden. -Nicht erwünscht-

Variante 3: Dateiverschlüsselung mittels GNUPG etc. - Abgelehnt, zu kompliziert (Datei schreiben, speichern, verschlüsseln, Originaldatei löschen... Datei entschlüsseln, Verschlüsselte Datei löschen, Datei bearbeiten, speichern u.s.w.).

Nun bin ich am Ende mit meinem Latein..
Hat jemand eine Idee?
Kann ich z.B. Windows dazu bewegen bei jedem mal wenn ich den Ordner öffne, das Passwort abzufragen, auch wenn ich mich zwischendurch nicht abgemeldet habe?
Oder ist das Problem tatsächlich trivial und ich bin einfach zu dämlich (sagt´s ruhig)

Configuration:
Server : Win 2003 SBS Std. Active Directora, Domänenanmeldung der Clients
Arbeitsstationen: Win XP pro sp2 bzw. Win 2000 sp4

Völlig Ratlos
Euer Helmuth
Mitglied: 27119
31.08.2006 um 23:39 Uhr
So ist das eben - entweder man hat Zugriff, oder man hat keinen.
Ein Benutzer der seinen Arbeitsplatz verlässt, sperrt seinen PC mit strgaltent.
Wenn er ihn nicht sperrt, und auch nicht automatisch nach Nichtaktivität die Sperrung automatisch erfolgt, kann eben jeder der lokal an den PC kommt auch auf Daten zugreifen.
Ich verstehe das Problem nicht so ganz ehrlichgesagt.
Der Betroffene könnte ja bei Verlassen des Arb.platzes auch die Verbindung zu einem bestimmten Netzlaufwerk trennen. Dann muss man sich neu authentifiizieren um auf den Ordner zugreifen zu dürfen.

Die Sekretärin sollte ihr eigenes Benutzerprofil nutzen, und nicht das von "Berechtigten".
Das führt die Philosohie ja ad absurdum, wenn mehrere Benutzer das selbe Userkonto nutzen.
Bitte warten ..
Mitglied: meinereiner
31.08.2006 um 23:56 Uhr
Ist doch immer wieder witzig auf was für Ideen die Leute kommen.
Gehen wir mal davon aus, dass es gehen würde (EFS ?). Die User müssten ja bei jedem Zugriff ein Passwort eingeben. Wäre recht aufwendig.

Eine (teure) Idee hätte ich aber: Nimm einen Terminalserver und greif über eine Session auf die Verzeichnisse zu. Auf dem TS stellst du ein, das eine Session nach 1 Minute Leerlaufzeit getrennt wird.
Bitte warten ..
Mitglied: mausgalaxy
01.09.2006 um 08:37 Uhr
Kann da nur duno zustimmen. Entweder jeder hat sein sep. Benutzerprofil oder man hat ein allgemeines Benutzerprofil. Wenn man aber nun ein allgemeines Profil hat, kann jeder das dort eingerichtete nutzen. Sagt doch der normale Menschenverstand. Ich würde auch eher jedem ein Benutzerprofil einräumen. Ist ja Sinn und Zweck, vorallem wenn Du z. B. Exchange mit einsetzt. Was wäre das für ein Chaos, wenn alle mit dem gleichen Profil arbeiten. ;)
Bitte warten ..
Mitglied: cykes
01.09.2006 um 10:59 Uhr
Es wäre auch eine Lösung mit Smartcards möglich, jeder Mitarbeiter bekommt seine
eigene Karte udn wenn er seinen Platz verlässt, muss/sollte er die Karte aus dem Lesegerät
entfernen.
Bitte warten ..
Mitglied: D.T.Soko
01.09.2006 um 11:42 Uhr
Eine (teure) Idee hätte ich aber: Nimm
einen Terminalserver und greif über eine
Session auf die Verzeichnisse zu. Auf dem TS
stellst du ein, das eine Session nach 1
Minute Leerlaufzeit getrennt wird.



@helohse
@meinereiner

Servus zusammen,

also zum Thema Teuer:
helohse hat einen SBS-Server 2003 da ist die TerminalServerLizens (die UserCals die du hast gelten auch für den) schon dabei!
d.h. du brauchst nur noch die Clientlizens(en).

Das mit der Minute gefällt mir ehrlich gesagt auch gut aber dein Kunde ist doch kein militärischer Hochsicherheitstrakt!

Eine weiter Idee wäre natürlich noch ein NAS das alle Verbindungen nach bestimmter Zeit trennt (ich glaub das mal in einem gesehen zu haben). Dann muss man immer wieder KW eingeben.

Oder du versuchst das Ganze auf die webbassierte Oberfläche des SBS zu stellen. Damit kann man auch ein bisschen Spielen aber frag mich nicht wie --- habs nach 2 Stunden aufgegeben ---!

Mit freundlichen Grüßen
d.t.soko
Bitte warten ..
Mitglied: meinereiner
01.09.2006 um 12:44 Uhr
also zum Thema Teuer:
helohse hat einen SBS-Server 2003 da ist die
TerminalServerLizens (die UserCals die du
hast gelten auch für den) schon dabei!
d.h. du brauchst nur noch die
Clientlizens(en).

Der SBS 2003 lässt sich nicht als TS konfigurieren.
Bitte warten ..
Mitglied: 27119
01.09.2006 um 13:15 Uhr
Es wäre auch eine Lösung mit
Smartcards möglich, jeder Mitarbeiter
bekommt seine
eigene Karte udn wenn er seinen Platz
verlässt, muss/sollte er die Karte aus
dem Lesegerät
entfernen.

Da kann er doch genausogut strg+alt+entf drücken und den PC sperren...
Die User wollen halt scheinbar einerseits sicherheit, anderseits alle bequemlichkeiten.
Das beisst sich leider.
Sinn und grosser Vorteil der Kerberos Authentifizierung ist ja das Single-Sign-on, bzw. alle Berechtigungen die ich habe werden durchgereicht, wenn ich mich einmal erfolgreich authentifiziert habe. Das ist ja einer der Grundpfeiler der Active Directory Authentifizierung.
Wie ich auf einen bestimmten Ordner dies abstellen soll will sich mir nicht erschliessen.
Bitte warten ..
Mitglied: helohse
03.09.2006 um 15:33 Uhr
Hallo zusammen,

vielen Dank für die Antworten auf meine Anfrage. Ich bin froh, dass ich nicht zu dämlich war sondern das Problem tatsächlich nicht trivial ist. Auf die Idee mit dem Terminalserver war ich nocht nicht gekommen. In der Kanzlei befindet sich auch noch ein Win2003 Std. Server mit dem ich das ausprobieren kann.

Die Idee mit den Smartcards hatte ich auch schon, jedoch sollen sich ja auch andere Mitarbeiter unter dem gleichen Profil an diesem Rechner anmelden können.

Es scheint mir jedoch so, dass ich meinem Kunden beibringen muss, dass sie eben Geheimnisse voreinander haben und sich entsprechend verhalten müssen. Das heisst dass ihr bisheriges Konzept "Wir sind alle so gut miteinander, dass alle alle Passwörter kennen und an jeden Rechner können" nicht mehr funktioniert.

Viele Grüße
Helohse
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Windows Userverwaltung
gelöst Dateifreigabe unter Windows 7 Pro für Netzwerkzugriff - Authentifzierte Benutzer Problem (25)

Frage von ele2004 zum Thema Windows Userverwaltung ...

Batch & Shell
gelöst AD: alle Domänen Benutzer - Problem OU CN (2)

Frage von lupolo zum Thema Batch & Shell ...

Exchange Server
Exchange 2010 und Outlook 2016 - Problem bei einem Benutzer (1)

Frage von float-left zum Thema Exchange Server ...

Exchange Server
Exchange 2013 - ActiveSync-Problem bei einem Benutzer (3)

Frage von mario87 zum Thema Exchange Server ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (19)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (19)

Frage von patz223 zum Thema Windows Userverwaltung ...

Windows Netzwerk
Windows 10 RDP geht nicht (18)

Frage von Fiasko zum Thema Windows Netzwerk ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (15)

Link von Penny.Cilin zum Thema Viren und Trojaner ...