Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

unerlaubter Zugriff auf server (Win 2003 srv)

Frage Microsoft Windows Server

Mitglied: stfn86

stfn86 (Level 1) - Jetzt verbinden

06.03.2009, aktualisiert 13:11 Uhr, 4067 Aufrufe, 16 Kommentare

ich bin abgehender it systemelektroniker, befinde mich grade im praktikum und soll eine testumgebung mit domäne (windows server 2003) erstellen.

den server habe ich schon aufgesetzt. ad, dns & dhcp sind konfiguriert.
der ip pool ist von 192.168.0.1 - 192.168.0.10.
der server hat die 1, die beiden clients haben die 2 und 3
zugewiesen werden diese per MAC Adresse.
die restlichen ip's aus dem pool werden nicht verteilt.

Das Problem: nehm ich z.b. einen laptop, stell ihm irgendeine ip ein (am bsp: 192.168.0.156)
kann er auf den server zugreifen und nach anmeldung mit einem in der ad vorhandenden benutzer auch auf die dateien und programme zugreifen.

Aber eigentlich sollen nur die computer, die sich in der domäne befinden und eine ip zugewiesen bekommen,
an den server anmelden dürfen.

gibt es da einstellungsmöglichkeiten, die ich nicht kenne oder übersehen habe?
Mitglied: 76091
06.03.2009 um 13:23 Uhr
.
Bitte warten ..
Mitglied: LordGurke
06.03.2009 um 13:34 Uhr
Es gibt die Möglichkeit, jedem Benutzer einen Rechner aus dem AD zuzuweisen - und nur von diesem Rechner aus kann er sich anmelden.
Wenn die Benutzer also einen oder zumindest eine überschaubare Anzahl von Rechnern benutzen sollen, wäre das zumindest eine Möglichkeit.
Bitte warten ..
Mitglied: stfn86
06.03.2009 um 13:37 Uhr
hmm, ist schonmal ne möglichkeit.. aber auch nicht das gelbe vom ei.
hab grad ma danach geguckt, wo kann man das denn einstellen?

thx 4 awnser
Bitte warten ..
Mitglied: LordGurke
06.03.2009 um 13:45 Uhr
Öffne dafür die Eigenschaften des Benutzers, dort auf den Reiter "Konto", dann auf "Anmelden" und dort kannst du eine Liste von Rechnern erstellen. Möglicherweise kann man dieses Limit auch global für ganze Benutzergruppen festlegen, so gut bin ich in AD leider nicht involviert
Bitte warten ..
Mitglied: stfn86
06.03.2009 um 13:54 Uhr
das problem an der sache ist es, dass ich nur den namen des computers angeben kann. um es eindeutig zu machen, würden aber die mac adressen eher einen sinn ergeben.
denn ich kann ja jeden rechner horst nennen, wenn ich will.

aber danke für den ansatz mit den GPO's, vielleciht komm ich da weite.
Bitte warten ..
Mitglied: LordGurke
06.03.2009 um 13:58 Uhr
Aber auch wenn du einen anderen Rechner auch Horst nennst, ist dieser noch nicht mit diesem Namen in der Domäne. Und da kommt er nur mit dem Administratorpasswort des Servers hinein
Die Rechner werden bei AD ohnehin mit GUIDs geführt, von daher ist das sehr eindeutig.
Bitte warten ..
Mitglied: dog
06.03.2009 um 18:08 Uhr
Aber eigentlich sollen nur die computer, die sich in der domäne befinden...
Auch wenn ich es grade nicht ausprobiert habe:

In den Freigabeeinstellungen (nicht Sicherheitseinstellungen!) für den Share sollte als einziger Eintrag "Domänencomputer" mit Lesen und Schreiben erlaubt sein. Die weiteren Rechte kannst du über die NTFS-Sicherheitseinstellungen regeln.

Allgemein ist es aber immer etwas schwer LANs vor Fremdcomputern zu schützen. Das wird idR am Switch gemacht über MAC-Listen, 802.1x oder VPN...

Grüße

Max
Bitte warten ..
Mitglied: DerWoWusste
08.03.2009 um 16:23 Uhr
Tag auch!
Aber eigentlich sollen nur die computer, die sich in der domäne befinden und eine ip zugewiesen bekommen, an den server anmelden dürfen.
1. hier meldet sich kein Computer an, sondern ein Domänenbenutzer von einem Nicht-Domänencomputer aus. Dies ist erlaubt, sofern der Domänenbenutzer die Anmeldeberechtigung an diesem PC besitzt (oder "an allen Computern" eingestellt ist).
2. mit der IP hat das überhaupt nichts zu tun.

Später schreibst Du
denn ich kann ja jeden rechner horst nennen, wenn ich will
worauf Maxi schreibt:
wenn du einen anderen Rechner auch Horst nennst, ist dieser noch nicht mit diesem Namen in der Domäne. Und da kommt er nur mit dem Administratorpasswort des Servers hinein
was ungenau ist. Um einen Rechner zur Domäne hizuzufügen braucht man nicht das Adminpasswort des Domänencontrollers, dies kann jedes Domänenkonto. Jedoch kann man mit einem 0815-Konto kein bestehendes Konto überschreiben. Beispiel: Du hast am DC eingestellt, dass Nutzer Hans sich von Rechner Horst an der Domäne anmelden darf. Nun kommt Hans mit seinem Zweitrechner Horst II an und nennt diesen in Horst um, um ihn sich anmelden zu können. Beim Hinzufügen des umbenannten PCs scheitert er, denn das Computerobjekt Horst darf nur von einem Domänenadmin überschrieben werden.

Desweiteren schreibt dog:
In den Freigabeeinstellungen (nicht Sicherheitseinstellungen!) für den Share sollte als einziger Eintrag "Domänencomputer" mit Lesen und Schreiben erlaubt sein
...was auch nicht stimmt. Dort kann ruhig jeder zugriffsberechtigt sein. Jeder bedeutet "jeder Domänenbenutzer", siehe http://technet.microsoft.com/en-us/library/cc780850.aspx
Everyone (S-1-1-0) - On computers running Windows Server 2003 operating systems, Everyone includes Authenticated Users and Guest. On computers running earlier versions of the operating system, Everyone includes Authenticated Users and Guest plus Anonymous Logon.
Bitte warten ..
Mitglied: soussa
09.03.2009 um 09:05 Uhr
hallo

also ich habe das selbe Problem und bei mir sieht es so aus:

1 Win 2003 Server R2 std.
2 XP Clients
1 Notebook

DHCP und DNS: Aktiv
IP-Bereich: 192.168.1.1-10

Die 2 Xp Clients sind bereits in der Domäne und haben benutzerzugriff auf den Server. Der Laptop aber soll kein Zugriff haben.

Nehmen wir also als beispiel mal eine Firma mit einem Großen Netzwerk. Dort kommt ein Vertrter und möchte mit seinem Notebook während der Beratung ins Internet gehen. Desweiteren möchte er noch die Excel Datei der letzten Beratung vom Firmeneigenden Server öffnen. Also kabelt er einfach ein Netzwerkstecker an und hat reinzufällig aus seiner Berater Firma das selbe IP Netz. Jetzt braucht er nur noch einen Nutzernamen. Also fragt er Frau Meier: "Wie melden sie sich am server an? ich brauch mal kurz die Auswertung xy" Frau meier sagt: "kyxz5634 und mein passwort ist:123456789".

So doof kann es manchmal kommen! Also der Notebook user der nicht ind der Domäne( OU) steht soll sich nicht mit dem Nutzernamen XY von Frau Meier Anmelden können.
Bitte warten ..
Mitglied: DerWoWusste
10.03.2009 um 00:36 Uhr
Hi soussa,
oben wurde schon erklärt, dass man den Standard von "Jedes Domänenkonto darf sich überall anmelden" jederzeit ändern kann - zum Beispiel für Frau Meier auf nur PC Meier.
Bitte warten ..
Mitglied: soussa
10.03.2009 um 08:24 Uhr
Okay ist ja eine schöne Funktion. Nur soll sich Frau Meier an jeden PC in der Domäne(Firma) anmelden können. Quasi alle PC´s die der Administrator authentifiziert hat.
Bitte warten ..
Mitglied: DerWoWusste
10.03.2009 um 20:20 Uhr
Bald wird ein zweiter Thread fällig
Du kannst diese Liste der erlaubten Workstations natürlich per Skript für alle/einige Nutzer halbwegs komfortabel ins AD eintragen.
Eher üblich wäre der Gedanke, sich gegen Rechner zu schützen, die an freie Netzwerkdowsen angeschlossen werden - unabhängig ob Domänenmitglied oder nicht.
Da gibt es zwei Stichwörter, die mir einfallen: arpwatch und NAP (network access protection). Schau Dich da mal um.
Bitte warten ..
Mitglied: stfn86
11.03.2009 um 08:43 Uhr
Zitat von DerWoWusste:
Du kannst diese Liste der erlaubten Workstations natürlich per
Skript für alle/einige Nutzer halbwegs komfortabel ins AD
eintragen.

und wie? damit komm ich ja nicht zurande.
ne lösung wär mal ne idee.

Eher üblich wäre der Gedanke, sich gegen Rechner zu
schützen, die an freie Netzwerkdowsen angeschlossen werden -
unabhängig ob Domänenmitglied oder nicht.

hey, genau darum geht es doch die ganze zeit.
aber jetzt sag nicht, ich muss die netzwerkdosen ausbauen und bei bedarf erst wieder einbauen, sowas kann mir mein opa, der stahlbauer war, auch sagen.
gibt es denn keine vernünftige einfache lösung dafür? ohne zusätzlicher software? ich muss doch einen Windows 2003 Server komplett abriegeln können oder nicht!?

vielen dank für die antworten.
Mit freundlichen Grüßen stefan
Bitte warten ..
Mitglied: DerWoWusste
12.03.2009 um 13:14 Uhr
Zum Skript (VBS):
--
set oUser = GetObject("LDAP://cn=Nutzername,ou=DeinOU-Name,dc=DeinDomänenname,dc=de...fallsEndungde...")
oUser.userWorkstations = oUser.userWorkstations & ",PC1"
oUser.SetInfo
--
Setzt zusätzlich zu den vorhandenen Workstations, an denen sich Benutzer "Nutzername" anmelden kann die Workstation PC1 auf die Liste. Das Skript lässt sich anpassen, jedoch kann ich mich jetzt nicht darum kümmern.
Bitte warten ..
Mitglied: stfn86
13.03.2009 um 08:34 Uhr
hmm... habs gestern den ganzen Abend ausprobiert, aber hat leider keinen Erfolg gebracht.
Ich konnte mich trotzdessen von einem anderen Rechner mit einer IP aus dem Bereich auf den Server mit den Anmeldedaten eines Benutzers aus der AD anmelden.

Aber Danke.
lG
Bitte warten ..
Mitglied: DerWoWusste
13.03.2009 um 10:45 Uhr
Du sagst, Du konntest Dich an einer Arbeitsstation anmelden, obwohl diese nicht für den Benutzer eingetragen war? Das bezweifle ich stark
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Windows Server
Win 2003 Server von außen nicht erreichbar (9)

Frage von Fighter89 zum Thema Windows Server ...

Hyper-V
Client: Win10 Hyper-V verbinden zu Server: Win 2012 R2 (3)

Frage von Hajo2006 zum Thema Hyper-V ...

Heiß diskutierte Inhalte
Router & Routing
gelöst Ipv4 mieten (22)

Frage von homermg zum Thema Router & Routing ...

Windows Server
DHCP Server switchen (20)

Frage von M.Marz zum Thema Windows Server ...

Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (20)

Frage von semperf1delis zum Thema Exchange Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...