Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Virtuellen PC (VMPlayer) abschotten

Frage Microsoft

Mitglied: LittleSkunk

LittleSkunk (Level 1) - Jetzt verbinden

07.06.2007, aktualisiert 08.06.2007, 4749 Aufrufe, 7 Kommentare

Hallo an alle.

Ich habe einen AD-Server und natürlich einige PC. In diesem Netzwerk sollen Schulunge für Azubis (angehende Fachinformatiker) durchgeführt werden. Leider haben Azubis die dumme Angewohnheit so ziemlich alles zu machen was sie nicht machen sollen. Sie in allen Rechten zu beschneiden ist aber auch nicht wirklich gewollt.

Das Problem ist, dass die Azubis sobald sie mehr Rechte bekommen sofort die Freigegebenen Ordner des Servers mit Spielen dicht machen. Speicherplatz ist da genug aber sie Spielen dann nur noch im Seminar. Um das zu unterbinden haben sie keine Downloadberechtigung und keine möglichkeit einen Datenträger anzuschließen. Nun gibt es aber auch Seminar wie "Installation und Konfiguration von XP". Dafür brauchen sie dann ja PCs die nicht Mitglied der Domäne sind. dafür Bietet sich VMWare-Player an. Nun soll dieser PC aber auch Netzwerk haben.

Ist es möglich die Freigaben des Servers nur für die PC der Domäne frei zu geben? (Soweit ich das gesehen habe muss ich bei der Freigabe nicht jeder sondern Domänencomputer eintragen. Hab ich aber noch nicht getestet)
Wie kann ich verhindern, dass die PC der Domäne auf Freigaben anderer (nicht Domänen) PC.

Ich danke schonmal im Vorraus.
Mitglied: DerSchorsch
07.06.2007 um 15:41 Uhr
Hallo,

spontane (ungetestete) Idee:
Konfiguriere über Gruppenrichtlinien das Netz so, dass die Domänen-Computer und -Server
nur über IPSec kommunizieren dürfen. Authentifizierung über Kerberos (AD).
Damit können dann Nicht-Domainmitglieder gar keine Verbindung mehr zum Server aufbauen.

Freigabe-Berechtigungen auf Domänencomputer umzustellen hilft nicht, da das Benutzerkonto verwendet wird. Stellst du das so ein, dürften die Benutzer selbst dann nicht mehr, wenn sie an einem Domänen-PC sitzen.

Gruß,
Schorsch
Bitte warten ..
Mitglied: LittleSkunk
07.06.2007 um 16:19 Uhr
Danke für die schnelle Antwort. So wie es aussieht ist das genau das was ich brauche. Ich habe sowas allerding auch noch nie gemacht. Die entsprechende Gruppenrichtlienie habe ich auch schon gefunden aber ich weiß nicht wie ich diese Konfigurieren soll. Soweit ich da durchblicke, muss ich angeben welche Packete geblockt werden sollen und welche nicht.

In meinem Fall also alles Blocken nur den Proxy, Ris, DHCP und die Verbindung zum übernehmen der Gruppenrichtlienien. Für den Ris Server muss aber eine Freigabe des Servers ereichbar sein auch wenn der PC zu diesem Zeitpunkt der AD noch nicht beigetreten ist. Geht das? Gibt es eventuell zu empfehlende Toturials. Ich hab beim googlen nur flüchtig eins überlesen aber das war Englisch und zu oberflächlich.
Bitte warten ..
Mitglied: DerSchorsch
07.06.2007 um 17:09 Uhr
Hallo,

das mit dem RIS weiss ich nicht genau, aber kopiert der RIS nicht über TFTP (UDP-Port 69)? Oder ist das nur am Anfang?

Für IPSec hätte ich da noch folgende Links:
Empfehlungen für IPsec
Server- und Domänenisolierung mithilfe von IPSec
Sicherheit erhöhen mit IPsec
Neue Funktionen für IPSec

ist sicher nicht ganz trivial. Vor allem beim RIS ist zu prüfen, wie der überhaupt kommuniziert. Du kannst IPSec ja nur auf Protokolle und Ports einstellen, nicht aber auf die Freigaben, auf die damit zugegriffen wird. Das ist ja eine ganz andere Ebene.

Gruß,
Schorsch
Bitte warten ..
Mitglied: n.o.b.o.d.y
08.06.2007 um 06:32 Uhr
Moin!

das mit dem RIS weiss ich nicht genau, aber
kopiert der RIS nicht über TFTP
(UDP-Port 69)? Oder ist das nur am Anfang?

Anfangen tut RIS mit TFTP, wenn dann das grafische Setup läuft wird SMB benutzt.

Ralf
Bitte warten ..
Mitglied: DerSchorsch
08.06.2007 um 11:00 Uhr
Hallo,

Ist natürlich in diesem Falle blöd, wenn der RIS auch den normalen SMB-Verkehr nutzt.
Wenn noch ein anderer Server (muss ja kein großer sein) zur Verfügung stehen würde, könnte man den für RIS nutzen und hier kein IPsec erzwingen.

Noch jemand eine Idee?

Gruß,
Schorsch
Bitte warten ..
Mitglied: LittleSkunk
08.06.2007 um 13:49 Uhr
Ich hab es bisher nur flüchtig testen können und ich glaube der DHCP wird standartmäßig nicht geblockt. Dem Ris hats wohl auch nicht interressiert. Warscheinlich ist der PC vor dem Installieren nach dem Ris Menü bereits in der Domäne drin. Aber wie gesagt ich habs nur flüchtig getestet und weiß nicht ob alle Einstellung übernommen worden. Wenn ich Glück hab ist nächste Woche ein Seminarraum frei. Es ist auf jedenfall der richtige Weg. Ein Problem habe ich aber noch. Der Proxy funktioniert jetzt logischerweise nur noch für Domänenmitglieder. Ich hab versucht ihm beizubringen den entsprechenden Port freizugeben (TCP) hat aber leider nicht funktioniert. Entweder bin ich zu blöd zum Freigeben oder ich hab den falschen Port bzw Protokoll erwischt. Um ersteres auszuschließen:

Quelle Server
Ziel Beliebig
Häckchen bei "auch in Gegenrichtung" (heißt irgendwie anders)
Permit
TCP 3128 (Jana Proxy)

Das Protokoll ist nur geraten soviel Auswahl gibt es da ja nicht.

Vorschläge?

Falls das nicht funktioniert ist auch nicht so schlimm. Dann haben die Azubis halt pech gehabt... Die Freigaben sind jetzt jedenfalls abgesichert. Es gehen keine Daten rein und auch nicht raus. So muss es sein. Interressant ist nur noch ob das auch für den VPC gilt aber wie gesagt das kann ich vermutlich erst nächste Woche testen.
Bitte warten ..
Mitglied: DerSchorsch
08.06.2007 um 17:04 Uhr
Hallo,

toll, dass es soweit klappt.
Bei der Proxy-Freigabe würde ich sagen, du hast Quelle und Ziel vertauscht.

Sag Bescheid, wie es mit den VPCs funktioniert.

Gruß,
Schorsch
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Router & Routing
Spielzeiten auf pc und handy steuern (7)

Frage von fisch56 zum Thema Router & Routing ...

CPU, RAM, Mainboards
PC Engines apu3a4 product file (7)

Link von ashnod zum Thema CPU, RAM, Mainboards ...

Drucker und Scanner
USB-Drucker über virtuellen COM LPT- Port ansteuern (27)

Frage von magicman zum Thema Drucker und Scanner ...

Windows Userverwaltung
Benötigte Rechte für PC Domjoin (2)

Frage von Phill93 zum Thema Windows Userverwaltung ...

Heiß diskutierte Inhalte
Router & Routing
gelöst Ipv4 mieten (22)

Frage von homermg zum Thema Router & Routing ...

Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (20)

Frage von semperf1delis zum Thema Exchange Server ...

Windows Server
DHCP Server switchen (20)

Frage von M.Marz zum Thema Windows Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...