Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Sicherheit auf Dateifreigaben in Windows 2008 nicht eindeutig via VPN

Frage Netzwerke

Mitglied: erb-wa

erb-wa (Level 1) - Jetzt verbinden

07.10.2009 um 00:53 Uhr, 5510 Aufrufe, 12 Kommentare

Sehr geehrte Damen und Herren,
vielen Dank an alle Mitwirkenden für dieses ausgezeichnete Forum.

Wir bitten um Hilfe zu einem Problem unter folgendem Szenario:

Windows 2003 Domäne mit 1x W2k3-SP2 und 2x W2k8-SP2 x64 Domänencontrollern, 1x Storagesystem (NAS) ebenfalls unter W2k8-Sp2 x64 als Mitgliedsserver.
Ca. 120 Clients gemischt WinXP-SP3 und Vista-SP2 w32 und Vista-SP2 x64 auf hauptsächlich CAD-Anlagen und BüroPCs, ca. 30 Notebooks.
Die FSMO-Rollen werden bald vom alten W2k3 PDC auf einen der beiden W2k8-Server übertragen. Der Globale Katalog ist auch auf beiden W2k8-DCs vorhanden.

Der gesamte Datenbestand und die Roaming Userprofiles wurden bereits vom W2k3-Server auf das NAS (W2k8) umgezogen.

Die Domäne soll bald in den einheitlichen 2008-Modus geschaltet werden, der W2k3-Server wird entfernt.

Internetzugang via Lancom 7111 an TDSL-Business. In der DMZ ein FTP- und Exchange-2003-Server - beide (noch) unter W2k3-SP2.
Die Notebooks greifen von unterwegs via VPN (NCP-Client) auf Netzwerkfreigaben zu. Die Lancom 7111 ist als RADIUS-Client eingetragen. In den Notebooks existieren Einträge zu allen Servern in den host-Dateien.
An den DCs sind alle erforderlichen Rollen installiert, NAP ist für VPN konfiguriert.

Beispiel für Ordnerfreigabe:

auf Partition D:\ des NAS ist der Ordner D:\Allgemein als "ALLGEMEIN" freigegeben. Freigaberechte: jeder (ändern/voll), administrator (voll) System (voll). Die Sicherheit ist auf Gruppe "Jeder" (ändern), administrator (voll), System (voll) gesetzt.

Im Ordner D:\Allgemein existieren Unterordner, z.B.: D:\Allgemein\Formular. Dieser Unterordner ist im AD als Freigabe "FORMULAR" freigegeben. Die Rechte lauten hier Freigaberechte: Gruppe TECHNIK (ändern), administrator (voll) System (voll). Die Sicherheit ist auf Gruppe TECHNIK (ändern), administrator (voll), System (voll) gesetzt.
Expliziet sollen auf die Freigabe FORMULAR nur Mitglieder der Usergruppe TECHNIK zugreifen können.

Solange die Zugriffe auf die Freigaben innerhalb des Netzwerkes erfolgen (Notebook ist im LAN) treten keine Probleme auf.

Nun das Problem:
Ein Notebook baut von unterwegs via VPN eine Verbindung zum Firmennetz auf. Ein Zugriff auf Dateien und nicht freigegebene Ordner aus der Freigabe "ALLGEMEIN" ist problemlos möglich. Der Zugriff auf freigegebene Unterordner, z.B. FORMULAR , mit abweichender Sicherheit wird mit der Meldung "Zugriff verweigert" abgelehnt. Diese Sperre tritt nur beim Zugriff via VPN auf und erst seitdem die Datenbestände auf Windows 2008 umgezogen wurden. Am alten W2k3-Server funktionieren vergleichbare Freigaben noch problemlos.

Wird die Sicherheit im Unterordner "FORMULAR" um die Gruppe "Jeder" erweitert, dann funktionieren auch die Remotezugriffe wieder.
Die Gruppe " Jeder " verhält sich offensichtlich kritisch.

Wir kämpfen nun schon seit Tagen mit diesem eigentlich lapidarem Problem und finden keine Lösung.
Hat irgendjemand eine Idee ...?

viele Grüße und Dank
erb-wa
Mitglied: sysadmbonn
07.10.2009 um 01:06 Uhr
Hallo,


muss der Ordner "FORMULAR" zwingend ein Unterordner von "ALLGEMEIN" sein? Ich denke mal Du hast hier Probleme mit den vererbten Rechten. Hast Du mal probiert die Rechte zu kopieren und dann mit den "effektiven Berechtigungen" zu überprüfen?

sysadmbonn
Bitte warten ..
Mitglied: erb-wa
07.10.2009 um 07:56 Uhr
Guten Morgen,
danke für Deine schnelle Antwort.

Die Ordnerstruktur ist mit Laufwerksbuchstaben gemappt. Diese
muss zwingend beibehalten werden, da tausende Verlinkungen von Officedokumenten und AutoCAD-DWGs mit xRefs existieren.

Die Rechte haben wir natürlich schon kopiert, die effektiven Berechtigungen sind OK.

Es funktioniert nicht einmal, wenn man z.B. der Freigabe FORMULAR in der Sicherheit die Gruppe SCHEMA-ADMINS hinzufügt und die Gruppe TECHNIK in die SCHEMA-ADMINS aufnimmt. Es steht und fällt mit der Gruppe JEDER !

erbwa
Bitte warten ..
Mitglied: speedhub
07.10.2009 um 08:46 Uhr
Hallo,
Mit der Gruppe Jeder werden hier nur die Probleme umgangen, die bei anderen Gruppen vorliegen.

Zitat:
[Der Zugriff auf freigegebene Unterordner, z.B. FORMULAR , mit abweichender Sicherheit wird mit der Meldung "Zugriff verweigert" abgelehnt.]

Hierzu meine Frage: nur bei Zugriff durch die Gruppe Technik oder auch von der Gruppe Administratoren?

Wenn beides problematisch ist würde ich zur Analyse sagen, dass eigentlich bei den über VPN zugreifenden keine der Gruppenmitgliedschaften erkannt wird.

Grüße
Speedhub
Bitte warten ..
Mitglied: sysadmbonn
07.10.2009 um 08:52 Uhr
Noch mal ich ...

@ speedhub: Meinst Du der Radius zerschießt die Gruppenzugehörigkeit?

Nur so ein Gedanke: Ich weiß jetzt nicht genau den Fachbegriff dafür, aber es gibt doch diese Zoneneinstellungen um den Zugriff auf Dateien aus dem Internet einzuschränken. Vielleicht erkennt das OS die gemappten LW nicht als vertrauens würdiges Intranet?
Bitte warten ..
Mitglied: speedhub
07.10.2009 um 09:12 Uhr
@sysadmbonn

naja, zunächst kommen alle als Remote Access User und wenn weiter nichts funktioniert, dann sind Sie vom AD nicht den Gruppen "Administratoren" oder "Technik" zuzuordnen.

Speedhub
Bitte warten ..
Mitglied: erb-wa
07.10.2009 um 09:22 Uhr
Hallo,

die Gruppe ADMINISTRATOREN wären ja die lokalen Administratoren auf dem NAS.
Wie auch immer, die Administratoren - lokale oder domänen - haben das Problem nicht.

Unser Ansatz geht deshalb auch in Richtung RADIUS. Ich denke die Zoneneinstellung sollte unkritisch sein, da der Weg ja von aussen nach innen via VPN geht. Ausserdem funktioniert das Ganze ja bei Freigaben auf den alten Windows 2003.

Kann es sein das JEDER unter W2k8 anders behandelt wird ?
Bitte warten ..
Mitglied: erb-wa
07.10.2009 um 09:48 Uhr
Die Gruppe TECHNIK ist Mitglied bei den Remotedesktop Usern.

Trotzdem das Problem.
Bitte warten ..
Mitglied: speedhub
07.10.2009 um 09:48 Uhr
@erb-wa
Kann es sein dass man mit JEDER (voll/ändern) schon immer Zugriffsprobleme ausschalten konnte?

Speedhub
Bitte warten ..
Mitglied: erb-wa
07.10.2009 um 10:04 Uhr
Noch ein Hinweis:

wir haben gerade ein vergleichbares Szenario auf einem der W2k8 DCs eingerichtet. Und dort funktioniert auch der Remotezugriff (!!!)

Am NAS funktioniert es dagegen nicht. Am NAS sind nur die Rollen Active Directory Lightwight Directory Services und die Dateidienste installiert.
Fehlt hier etwa eine Rolle oder ein Feature das auch der Remotezugriff klappt ?
Bitte warten ..
Mitglied: erb-wa
07.10.2009 um 10:07 Uhr
Nein, das war immer unkritisch. JEDER war nie zwingend erforderlich um Zugriff auf Freigaben zu erhalten. Ausserdem funktioniert die Rechtevergabe ja solange die Notebooks am LAN angeschlossen sind und nicht von remote kommen.
Bitte warten ..
Mitglied: speedhub
07.10.2009 um 17:18 Uhr
Hallo erb-wa,


[Die Gruppe TECHNIK ist Mitglied bei den Remotedesktop Usern.

Trotzdem das Problem.]


Schade, dass die Remotedesktop User nicht Mitglied in der Gruppe TECHNIK sind.

Speedhub
Bitte warten ..
Mitglied: erb-wa
07.10.2009 um 22:45 Uhr
Verstehe ich jetzt nicht ganz was Du meinst.
Jedenfalls sind alle User der Gruppe TECHNIK auch automatisch Mitglieder der Gruppe Remotedesktop-User, wenn TECHNIK Mitglied der Remotedesktop-User ist. Sollte zumindest so sein. Siehe ff.

Aber ist jetzt auch egal, da wir die Ursache nach 3,5 Tagen gefunden haben:

Die Remotedesktop-User wurden ja beim Hinzufügen der W2k8-DCs im Zuge der AD-Replikation auf die neuen Server übertragen.

Wie haben den Mitgliedsstatus zig-mal überprüft, aber nie bemerkt, dass die Replikation nicht OK war (keine Fehlermeldung, keine negativen Ereigniseinträge, nichts).

Heute abend haben wir einfach alle Mitglieder der Remotedesktop-User entfernt und wieder hinzugefügt. Danach die Replikation erzwungen. Seitdem funktioniert auch der Remotezugriff.

Aus meiner Sicht ein extrem dummer Replikationsfehler, der sich in einem für uns verwirrenden Verhalten äußerte. Offensichtlich muß man bei MS das Gleiche öfters machen damit's auch wirklich funktioniert.

Ich schließe nun den Fall und danke Dir recht herzlich für Deine Mithilfe.
Bitte warten ..
Ähnliche Inhalte
Netzwerkmanagement
VPN Verbindung FritzBox 6360 Dateifreigabe
Frage von ChinChillah1992Netzwerkmanagement

Schönen guten Morgen. Ich habe jetzt endlich mal nach 2 Wochen meine VPN Verbindung zu meiner Fritz Box herstellen ...

Netzwerkprotokolle
Sicherheit VPN Verbindung
gelöst Frage von rostigernagelNetzwerkprotokolle9 Kommentare

Hallo zusammen, wie seht ihr die Sicherheit in folgendem Szenario. Ein User will einen Heimarbeitsplatz betreiben. Im Firmennetzwerk steht ...

Monitoring
Eindeutige Identifizierung von Rechnern im Netzwerk
gelöst Frage von MarabuntaMonitoring6 Kommentare

Hallo, ich möchte eine Art Selbstverwaltung von Rechnern im Netzwerk per Skript erreichen. Dazu sollen sich die Rechner in ...

Windows Server
Windows 2012 Server - Dateifreigabe - Zugriff
gelöst Frage von FuryStageWindows Server7 Kommentare

Hallo zusammen, ich habe momentan einen Windows 2012 Server im Einsatz, und habe dort eine Freigabe laufen für "Jeden". ...

Neue Wissensbeiträge
Batch & Shell

Open Object Rexx: Eine mittlerweile fast vergessene Skriptsprache aus dem Mainframebereich

Information von Penny.Cilin vor 23 StundenBatch & Shell9 Kommentare

Ich kann mich noch sehr gut an diese Skriptsprache erinnern und nutze diese auch heute ab und an noch. ...

Humor (lol)

"gimme gimme gimme": Automatischer Test stolpert über Easter Egg im man-Tool

Information von Penny.Cilin vor 1 TagHumor (lol)6 Kommentare

Interessant, was man so alles als Easter Egg implementiert. Ist schon wieder Ostern? "gimme gimme gimme": Automatischer Test stolpert ...

MikroTik RouterOS

Mikrotik - Lets Encrypt Zertifikate mit MetaROUTER Instanz auf dem Router erzeugen

Anleitung von colinardo vor 1 TagMikroTik RouterOS8 Kommentare

Einleitung Folgende Anleitung ist aus der Lage heraus entstanden das ein Kunde auf seinem Mikrotik sein Hotspot Captive Portal ...

Sicherheit

Sicherheitslücke in HP-Druckern - Firmware-Updates stehen bereit

Information von BassFishFox vor 1 TagSicherheit1 Kommentar

Ein weiterer Grund, dass Drucker keinerlei Verbindung nach "auswaerts" haben sollen. Unter Verwendung spezieller Malware können Angreifer aus der ...

Heiß diskutierte Inhalte
Windows 10
Bitlocker nach Verschlüsselung nicht mehr aufrufbar!
gelöst Frage von alexlazaWindows 1013 Kommentare

Hallo, ich besitze ein HP ZBook 17 G4 mit einem Windows 10 Pro Betriebssystem. Bei diesem Problem handelt sich, ...

Off Topic
Fachkräftemangel in Deutschland? - Talentschmiede schreibt alle 2 Tage die gleichen Stellen aus
Frage von Penny.CilinOff Topic12 Kommentare

Hallo, haben wir in Deutschland Fachkräftemangel? Die Talentschmiede schreibt gefühlt alle zwei Tage dieselben Stellen aus. Und das schon ...

Windows Server
Windows Store Apps
gelöst Frage von PeterleBWindows Server10 Kommentare

Gibt es einen Weg, auf Windows Server 2016 Windows Store Apps wie zum Beispiel die HP Smart App zu ...

Microsoft
Erfahrungen mit Webcam over RDP gesucht
Frage von DerWoWussteMicrosoft10 Kommentare

Moin Kollegen. Bekanntlich kann man Webcams nur mit Drittanbietersoftware in RDP reinschleifen. Was nutzt Ihr dazu? Wie stabil funktioniert ...