Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

unerlaubter Zugriff auf server (Win 2003 srv)

Frage Microsoft Windows Server

Mitglied: stfn86

stfn86 (Level 1) - Jetzt verbinden

06.03.2009, aktualisiert 13:11 Uhr, 4097 Aufrufe, 16 Kommentare

ich bin abgehender it systemelektroniker, befinde mich grade im praktikum und soll eine testumgebung mit domäne (windows server 2003) erstellen.

den server habe ich schon aufgesetzt. ad, dns & dhcp sind konfiguriert.
der ip pool ist von 192.168.0.1 - 192.168.0.10.
der server hat die 1, die beiden clients haben die 2 und 3
zugewiesen werden diese per MAC Adresse.
die restlichen ip's aus dem pool werden nicht verteilt.

Das Problem: nehm ich z.b. einen laptop, stell ihm irgendeine ip ein (am bsp: 192.168.0.156)
kann er auf den server zugreifen und nach anmeldung mit einem in der ad vorhandenden benutzer auch auf die dateien und programme zugreifen.

Aber eigentlich sollen nur die computer, die sich in der domäne befinden und eine ip zugewiesen bekommen,
an den server anmelden dürfen.

gibt es da einstellungsmöglichkeiten, die ich nicht kenne oder übersehen habe?
Mitglied: 76091
06.03.2009 um 13:23 Uhr
.
Bitte warten ..
Mitglied: LordGurke
06.03.2009 um 13:34 Uhr
Es gibt die Möglichkeit, jedem Benutzer einen Rechner aus dem AD zuzuweisen - und nur von diesem Rechner aus kann er sich anmelden.
Wenn die Benutzer also einen oder zumindest eine überschaubare Anzahl von Rechnern benutzen sollen, wäre das zumindest eine Möglichkeit.
Bitte warten ..
Mitglied: stfn86
06.03.2009 um 13:37 Uhr
hmm, ist schonmal ne möglichkeit.. aber auch nicht das gelbe vom ei.
hab grad ma danach geguckt, wo kann man das denn einstellen?

thx 4 awnser
Bitte warten ..
Mitglied: LordGurke
06.03.2009 um 13:45 Uhr
Öffne dafür die Eigenschaften des Benutzers, dort auf den Reiter "Konto", dann auf "Anmelden" und dort kannst du eine Liste von Rechnern erstellen. Möglicherweise kann man dieses Limit auch global für ganze Benutzergruppen festlegen, so gut bin ich in AD leider nicht involviert
Bitte warten ..
Mitglied: stfn86
06.03.2009 um 13:54 Uhr
das problem an der sache ist es, dass ich nur den namen des computers angeben kann. um es eindeutig zu machen, würden aber die mac adressen eher einen sinn ergeben.
denn ich kann ja jeden rechner horst nennen, wenn ich will.

aber danke für den ansatz mit den GPO's, vielleciht komm ich da weite.
Bitte warten ..
Mitglied: LordGurke
06.03.2009 um 13:58 Uhr
Aber auch wenn du einen anderen Rechner auch Horst nennst, ist dieser noch nicht mit diesem Namen in der Domäne. Und da kommt er nur mit dem Administratorpasswort des Servers hinein
Die Rechner werden bei AD ohnehin mit GUIDs geführt, von daher ist das sehr eindeutig.
Bitte warten ..
Mitglied: dog
06.03.2009 um 18:08 Uhr
Aber eigentlich sollen nur die computer, die sich in der domäne befinden...
Auch wenn ich es grade nicht ausprobiert habe:

In den Freigabeeinstellungen (nicht Sicherheitseinstellungen!) für den Share sollte als einziger Eintrag "Domänencomputer" mit Lesen und Schreiben erlaubt sein. Die weiteren Rechte kannst du über die NTFS-Sicherheitseinstellungen regeln.

Allgemein ist es aber immer etwas schwer LANs vor Fremdcomputern zu schützen. Das wird idR am Switch gemacht über MAC-Listen, 802.1x oder VPN...

Grüße

Max
Bitte warten ..
Mitglied: DerWoWusste
08.03.2009 um 16:23 Uhr
Tag auch!
Aber eigentlich sollen nur die computer, die sich in der domäne befinden und eine ip zugewiesen bekommen, an den server anmelden dürfen.
1. hier meldet sich kein Computer an, sondern ein Domänenbenutzer von einem Nicht-Domänencomputer aus. Dies ist erlaubt, sofern der Domänenbenutzer die Anmeldeberechtigung an diesem PC besitzt (oder "an allen Computern" eingestellt ist).
2. mit der IP hat das überhaupt nichts zu tun.

Später schreibst Du
denn ich kann ja jeden rechner horst nennen, wenn ich will
worauf Maxi schreibt:
wenn du einen anderen Rechner auch Horst nennst, ist dieser noch nicht mit diesem Namen in der Domäne. Und da kommt er nur mit dem Administratorpasswort des Servers hinein
was ungenau ist. Um einen Rechner zur Domäne hizuzufügen braucht man nicht das Adminpasswort des Domänencontrollers, dies kann jedes Domänenkonto. Jedoch kann man mit einem 0815-Konto kein bestehendes Konto überschreiben. Beispiel: Du hast am DC eingestellt, dass Nutzer Hans sich von Rechner Horst an der Domäne anmelden darf. Nun kommt Hans mit seinem Zweitrechner Horst II an und nennt diesen in Horst um, um ihn sich anmelden zu können. Beim Hinzufügen des umbenannten PCs scheitert er, denn das Computerobjekt Horst darf nur von einem Domänenadmin überschrieben werden.

Desweiteren schreibt dog:
In den Freigabeeinstellungen (nicht Sicherheitseinstellungen!) für den Share sollte als einziger Eintrag "Domänencomputer" mit Lesen und Schreiben erlaubt sein
...was auch nicht stimmt. Dort kann ruhig jeder zugriffsberechtigt sein. Jeder bedeutet "jeder Domänenbenutzer", siehe http://technet.microsoft.com/en-us/library/cc780850.aspx
Everyone (S-1-1-0) - On computers running Windows Server 2003 operating systems, Everyone includes Authenticated Users and Guest. On computers running earlier versions of the operating system, Everyone includes Authenticated Users and Guest plus Anonymous Logon.
Bitte warten ..
Mitglied: soussa
09.03.2009 um 09:05 Uhr
hallo

also ich habe das selbe Problem und bei mir sieht es so aus:

1 Win 2003 Server R2 std.
2 XP Clients
1 Notebook

DHCP und DNS: Aktiv
IP-Bereich: 192.168.1.1-10

Die 2 Xp Clients sind bereits in der Domäne und haben benutzerzugriff auf den Server. Der Laptop aber soll kein Zugriff haben.

Nehmen wir also als beispiel mal eine Firma mit einem Großen Netzwerk. Dort kommt ein Vertrter und möchte mit seinem Notebook während der Beratung ins Internet gehen. Desweiteren möchte er noch die Excel Datei der letzten Beratung vom Firmeneigenden Server öffnen. Also kabelt er einfach ein Netzwerkstecker an und hat reinzufällig aus seiner Berater Firma das selbe IP Netz. Jetzt braucht er nur noch einen Nutzernamen. Also fragt er Frau Meier: "Wie melden sie sich am server an? ich brauch mal kurz die Auswertung xy" Frau meier sagt: "kyxz5634 und mein passwort ist:123456789".

So doof kann es manchmal kommen! Also der Notebook user der nicht ind der Domäne( OU) steht soll sich nicht mit dem Nutzernamen XY von Frau Meier Anmelden können.
Bitte warten ..
Mitglied: DerWoWusste
10.03.2009 um 00:36 Uhr
Hi soussa,
oben wurde schon erklärt, dass man den Standard von "Jedes Domänenkonto darf sich überall anmelden" jederzeit ändern kann - zum Beispiel für Frau Meier auf nur PC Meier.
Bitte warten ..
Mitglied: soussa
10.03.2009 um 08:24 Uhr
Okay ist ja eine schöne Funktion. Nur soll sich Frau Meier an jeden PC in der Domäne(Firma) anmelden können. Quasi alle PC´s die der Administrator authentifiziert hat.
Bitte warten ..
Mitglied: DerWoWusste
10.03.2009 um 20:20 Uhr
Bald wird ein zweiter Thread fällig
Du kannst diese Liste der erlaubten Workstations natürlich per Skript für alle/einige Nutzer halbwegs komfortabel ins AD eintragen.
Eher üblich wäre der Gedanke, sich gegen Rechner zu schützen, die an freie Netzwerkdowsen angeschlossen werden - unabhängig ob Domänenmitglied oder nicht.
Da gibt es zwei Stichwörter, die mir einfallen: arpwatch und NAP (network access protection). Schau Dich da mal um.
Bitte warten ..
Mitglied: stfn86
11.03.2009 um 08:43 Uhr
Zitat von DerWoWusste:
Du kannst diese Liste der erlaubten Workstations natürlich per
Skript für alle/einige Nutzer halbwegs komfortabel ins AD
eintragen.

und wie? damit komm ich ja nicht zurande.
ne lösung wär mal ne idee.

Eher üblich wäre der Gedanke, sich gegen Rechner zu
schützen, die an freie Netzwerkdowsen angeschlossen werden -
unabhängig ob Domänenmitglied oder nicht.

hey, genau darum geht es doch die ganze zeit.
aber jetzt sag nicht, ich muss die netzwerkdosen ausbauen und bei bedarf erst wieder einbauen, sowas kann mir mein opa, der stahlbauer war, auch sagen.
gibt es denn keine vernünftige einfache lösung dafür? ohne zusätzlicher software? ich muss doch einen Windows 2003 Server komplett abriegeln können oder nicht!?

vielen dank für die antworten.
mfg stefan
Bitte warten ..
Mitglied: DerWoWusste
12.03.2009 um 13:14 Uhr
Zum Skript (VBS):
--
set oUser = GetObject("LDAP://cn=Nutzername,ou=DeinOU-Name,dc=DeinDomänenname,dc=de...fallsEndungde...")
oUser.userWorkstations = oUser.userWorkstations & ",PC1"
oUser.SetInfo
--
Setzt zusätzlich zu den vorhandenen Workstations, an denen sich Benutzer "Nutzername" anmelden kann die Workstation PC1 auf die Liste. Das Skript lässt sich anpassen, jedoch kann ich mich jetzt nicht darum kümmern.
Bitte warten ..
Mitglied: stfn86
13.03.2009 um 08:34 Uhr
hmm... habs gestern den ganzen Abend ausprobiert, aber hat leider keinen Erfolg gebracht.
Ich konnte mich trotzdessen von einem anderen Rechner mit einer IP aus dem Bereich auf den Server mit den Anmeldedaten eines Benutzers aus der AD anmelden.

Aber Danke.
lG
Bitte warten ..
Mitglied: DerWoWusste
13.03.2009 um 10:45 Uhr
Du sagst, Du konntest Dich an einer Arbeitsstation anmelden, obwohl diese nicht für den Benutzer eingetragen war? Das bezweifle ich stark
Bitte warten ..
Ähnliche Inhalte
Erkennung und -Abwehr
Unerlaubter Zugriff auf mein Postfach
gelöst Frage von Orko2010Erkennung und -Abwehr9 Kommentare

Hallo, ich hege den Verdacht, dass jemand auf mein GMX-Postfach zugreift (wahrscheinlich PW und User gehackt) und meine Mails ...

Windows Server
Zugriff unerlaubt auf Vserver Windows
Frage von houdapWindows Server5 Kommentare

Moin meine lieben Ich möchte gerne von einem Profi wissen, Wenn wir uns zB bei einem der Anbieter wie ...

Windows Server
Radius-Server auf Win. Srv. 2008R2
gelöst Frage von anak1mWindows Server5 Kommentare

Hallo zusammen, ist es möglich bei einem Radius-Server auf Basis von Win. Srv. 2008R2 die Verbindungsanforderungsrichtlinie und Netzwerkrichtlinie auf ...

Windows Server
Gelöschte Datei taucht wieder auf Win SRV 2012 R2
Frage von xbast1xWindows Server5 Kommentare

Hallo, seit kurzem tritt das Problem auf, dass sporadisch einige Dateien nach dem Löschen und anschließender Aktualisierung wieder vorhanden ...

Neue Wissensbeiträge
Viren und Trojaner

Deaktivierter Keylogger in HP Notebooks entdeckt

Information von bitcoin vor 16 StundenViren und Trojaner1 Kommentar

Ein Grund mehr warum man Vorinstallationen der Hersteller immer blank bügeln sollte Der deaktivierte Keylogger findet sich im vorinstallierten ...

Router & Routing

Lets Encrypt kommt auf die FritzBox

Information von bitcoin vor 19 StundenRouter & Routing

In der neuesten Labor-Version der FB7490 integriert AVM unter anderem einen Let's Encrypt Client für Zugriffe auf das Webinterface ...

Internet

Was nützt HTTPS, wenn es auch von Phishing Web-Seiten genutzt wird

Information von Penny.Cilin vor 3 TagenInternet17 Kommentare

HTTPS richtig einschätzen Ob man eine Webseite via HTTPS aufruft, zeigt ein Schloss neben der Adresse im Webbrowser an. ...

Webbrowser

Bugfix für Firefox Quantum released - Installation erfolgt teilweise nicht automatisch!

Erfahrungsbericht von Volchy vor 4 TagenWebbrowser8 Kommentare

Hallo zusammen, gem. dem Artike von heise online wurde mit VersionFirefox 57.0.1 sicherheitsrelevante Bugs behoben. Entgegen der aktuellen Veröffentlichung ...

Heiß diskutierte Inhalte
Batch & Shell
Trusted Sites für alle User auf dem PC einpflegen
Frage von xXTaKuZaXxBatch & Shell12 Kommentare

Aufgabestellung: Es sollen auf 1 PC (bzw. mehreren PCs) vertrauenswürdige Sites per Powershell eingetragen werden, die für alle User ...

Voice over IP
Telefonstörung - Ortsrufnummern kein Verbindungsaufbau
Frage von Windows10GegnerVoice over IP10 Kommentare

Hallo, sowohl bei uns als auch beim Opa ist es über VoIP nicht möglich Ortsrufnummern anzurufen. Es kommt nach ...

Vmware
DOS 6.22 in VMWare mit CD-ROM
gelöst Frage von hesperVmware10 Kommentare

Hallo zusammen! Ich hab ein saublödes Problem. Es ist eine VMWare mit DOS 6.22 zu erstellen auf dem ein ...

Cloud-Dienste
PIM als SaaS Nutzungsgebühr
Frage von vanTastCloud-Dienste8 Kommentare

Moin, wir haben uns ein PIM (Product Information Management) nach unseren Ansprüchen für viel Geld als SaaS-Lösung bauen lassen. ...