7
PC in Produktionsumgebung in Domäne einbinden
Hallo zusammen,
zwecks einfacherer Verwaltung möchte ich gerne einen Windows 7 PC der sich in unseren Produktionsräumen befindet (Bereitstellung einer Branchensoftware, kein SMB Zugriff auf Server) in meine SBS 2011 Domäne aufnehmen. Auf der anderen Seite soll von diesem PC keinerlei Zugriff auf die Daten/Freigaben des Servers etc. möglich sein. Also auch kein "Verbinden als" mit den Zugangsdaten eines Bürobenutzers. Damit habe ich wieder eine "Wasch mir den Pelz, aber mach mich nicht nass." Situation.
Deshalb die Frage an alle die Erfahrung in diesem Bereich haben:
Wie bindet ihr eure PCs in den Produktionsräumen mit möglichst geringen Rechten in euer AD ein?
Folgendes ist klar:
- getrenntes VLAN
- in der Firewall zwischen dem Produktionsnetz und dem Büronetz nur die AD und Branchensoftware relevanten Ports öffnen
- eine Gruppe "Produktion" und entsprechende Nutzer im AD anlegen
- auf dem PC selbst per Gruppenrichtlinie nur das Anmelden der Nutzer in der Gruppe "Produktion" erlauben
Ich freue mich auf eure Tipps
Grüße
zwecks einfacherer Verwaltung möchte ich gerne einen Windows 7 PC der sich in unseren Produktionsräumen befindet (Bereitstellung einer Branchensoftware, kein SMB Zugriff auf Server) in meine SBS 2011 Domäne aufnehmen. Auf der anderen Seite soll von diesem PC keinerlei Zugriff auf die Daten/Freigaben des Servers etc. möglich sein. Also auch kein "Verbinden als" mit den Zugangsdaten eines Bürobenutzers. Damit habe ich wieder eine "Wasch mir den Pelz, aber mach mich nicht nass." Situation.
Deshalb die Frage an alle die Erfahrung in diesem Bereich haben:
Wie bindet ihr eure PCs in den Produktionsräumen mit möglichst geringen Rechten in euer AD ein?
Folgendes ist klar:
- getrenntes VLAN
- in der Firewall zwischen dem Produktionsnetz und dem Büronetz nur die AD und Branchensoftware relevanten Ports öffnen
- eine Gruppe "Produktion" und entsprechende Nutzer im AD anlegen
- auf dem PC selbst per Gruppenrichtlinie nur das Anmelden der Nutzer in der Gruppe "Produktion" erlauben
Ich freue mich auf eure Tipps
Grüße
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 300213
Url: https://administrator.de/contentid/300213
Printed on: April 24, 2024 at 18:04 o'clock
7 Comments
Latest comment
Hallo,
Vom PC aus oder vom dortigen gerade angemeldeten Benutzer?
Gruß,
Peter
Vom PC aus oder vom dortigen gerade angemeldeten Benutzer?
Wie bindet ihr eure PCs in den Produktionsräumen mit möglichst geringen Rechten in euer AD ein?
Warum einen PC in einer Domäne heben wenn er doch nichts darf? Lass ihn draussen in sein eigenes VLAN und gut ist. Verwaltung dann mit TeamViewer und Co.- auf dem PC selbst per Gruppenrichtlinie nur das Anmelden der Nutzer in der Gruppe "Produktion" erlauben
Und diese können trotzdem dann noch "Anmelden als"...Gruß,
Peter
Moin,
sollte man über eine lokale Sicherheitsrichtlinie an der Büchse selbst definieren können. Alternativ als GPO, da für musst Du die Kiste aber in eine eigene OU stellen.
LG, Thomas
sollte man über eine lokale Sicherheitsrichtlinie an der Büchse selbst definieren können. Alternativ als GPO, da für musst Du die Kiste aber in eine eigene OU stellen.
LG, Thomas
Hallo Peter,
Unter den von mir genannten Kriterien stimmt das wohl. Vielleicht denke ich da auch etwas zu restriktiv. Wie handhabst du die Situation "PCs in Produktionsräumen"?
Gibt es hierfür eventuell eine Gruppenrichtlinie? Habe bei meiner Suche leider nichts entdeckt.
Danke und Grüße
Tim
Vom PC aus oder vom dortigen gerade angemeldeten Benutzer?
Vom PC aus, denn sonst ginge ja noch "anmelden als". Ich hatte auf eine Lösung von der Art "Port in der Firewall sperren" gehofft auf die ich noch nicht gekommen bin.Wie bindet ihr eure PCs in den Produktionsräumen mit möglichst geringen Rechten in euer AD ein?
Warum einen PC in einer Domäne heben wenn er doch nichts darf? Lass ihn draussen in sein eigenes VLAN und gut ist. Verwaltung dann mit TeamViewer und Co.- auf dem PC selbst per Gruppenrichtlinie nur das Anmelden der Nutzer in der Gruppe "Produktion" erlauben
Und diese können trotzdem dann noch "Anmelden als"...Danke und Grüße
Tim
Hallo Thomas,
ich kann dir leider nicht ganz folgen. Könntest du deinen Vorschlag noch etwas konkretisieren?
Danke und Grüße
Tim
sollte man über eine lokale Sicherheitsrichtlinie an der Büchse selbst definieren können. Alternativ als GPO, da für musst Du die Kiste aber in eine eigene OU stellen.
ich kann dir leider nicht ganz folgen. Könntest du deinen Vorschlag noch etwas konkretisieren?
Danke und Grüße
Tim
Hallo,
Gruß,
Peter
Zitat von @timmer:
Gibt es hierfür eventuell eine Gruppenrichtlinie? Habe bei meiner Suche leider nichts entdeckt.
Lokales Anmelden nur für bestimmte gruppen / user erlauben / verbieten. Hilft aber nicht gegen dein "Verbinden mit einer Freigabe" mit anderen Benutzerdaten....Gibt es hierfür eventuell eine Gruppenrichtlinie? Habe bei meiner Suche leider nichts entdeckt.
Gruß,
Peter
Hi.
Zugriff auf Port 445 (smb) ausgehend in Richting Domänencontroller wird für die Gruppenrichtlinien benötigt. Ist denn der Server mit den Freigaben von dem Du sprichst der Domänencontroller? Wenn nicht kannst Du natürlich am Fileserer eingehenden Traffic über 445 von diesem PC aus verbieten.
Zugriff auf Port 445 (smb) ausgehend in Richting Domänencontroller wird für die Gruppenrichtlinien benötigt. Ist denn der Server mit den Freigaben von dem Du sprichst der Domänencontroller? Wenn nicht kannst Du natürlich am Fileserer eingehenden Traffic über 445 von diesem PC aus verbieten.
Hallo DerWoWusste,
leider ist der SBS der einzige Server im Netz. D.h. auf ihm liegen auch die Freigaben.
Aber ansonsten eine gute Idee. Ist notiert für ein eventuelles Upgrade.
Danke dir
leider ist der SBS der einzige Server im Netz. D.h. auf ihm liegen auch die Freigaben.
Aber ansonsten eine gute Idee. Ist notiert für ein eventuelles Upgrade.
Danke dir
