Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Win Server 2008 - Zugriff nur von Computer welche in AD registriert sind

Frage Microsoft Windows Netzwerk

Mitglied: voXdie

voXdie (Level 1) - Jetzt verbinden

21.02.2011, aktualisiert 18.10.2012, 3892 Aufrufe, 10 Kommentare

Es soll der Zugriff von Privaten Laptops oder PCs in einem Firmennetzwerk verhindert werden.

Hallo zusammen, ich habe ein Problem & zwar versuche ich in einem kleinen Netzwerk (80 Clients) den Zugriff auf Dateien nur von den Rechnern zuzulassen welche auch in der Active Directory sind. Es sieht momentan so aus das jeder Rechner lokal eine feste IP-Adresse zugewiesen hat und dann in der Domäne (abw2) registriert wurde. Es handelt sich übrigends um ein Ausbildungsbetrieb & es gibt dementsprechen Freigaben von Odnern für die Benutzergruppen "Ausbilder", "Azubis", "Facharbeiter" & "Domäne-Admins".
Es kommt nur öfters vor das Azubis auch ihre privaten Laptops mitbringen & die entsprechenden Ausbilder es nicht für nötig erachten dieses zu verbieten. Nun die Frage an euch, kann man irgendwie den Zugriff auf die Dateien nur für die Computer erlauben die auch in der Domäne (abw2) registriert sind?

vielen dank für jede hilfe
mfg Jan
Mitglied: Humunukunukuapuaa
21.02.2011 um 10:50 Uhr
Hallo Jan,

Jeder Rechner wird in der Domäne registriert? Du meinst die bekommen vom DHCP Server eine Adresse zugewiesen und es wird ein DNS-Eintrag erzeugt?

Schau mal bei den freigebenen Ordner und erweiterte Freigabe, und dann Berechtigungen? tauch da die Benutzergruppe "Jeder" auf?

Mein Tipp: erstelle die Sicherheitsgruppen Ausbilder, Azubis, Facharbeiter.

Alle Ausbilder werden Mitglieder in der Gruppe Ausbilder, Alle Azubis in der Gruppe Azubis, Alle Facharbeiter in der Gruppe Facharbeiter.
Dann gehst du hin und verteilst den Freigegebenen Ordner neu Berechtigungen:

Ordner Azubis bekommen Azubis, Ausbilder, Fachkräfte und die gewünschten Administratoren (meinetwegen Domänenadmins, wobei...) dann kannst du lesen schreiben etc. nach wunsch verändern.
Auf den Ordner Ausbilder sollen die Azubis keinen Zugriff haben, vermute ich, also verteilst du die Berechtigungen dementsprechend. usw usw.

Um dir die Arbeit zu erleichtern würde ich dann Benutzerrollen im AD anlegen, mit den entsprechenden Mitgliedschaften, damit du das nicht für jeden Azubi,Ausbilder etc. neu machen musst.

Grüße Tobi
Bitte warten ..
Mitglied: Ausserwoeger
21.02.2011 um 11:45 Uhr
Wenn alle deine Rechner eine Statische IP haben dann kannst du den DHCP Server ja deaktivieren dann bekommen die laptops auch keine IP und haben somit keinen zugriff auf das netzwerk. natürlich solltest du auch die berechtigungen wie oben von tobi beschrieben vergeben.

LG
Bitte warten ..
Mitglied: voXdie
21.02.2011 um 12:29 Uhr
Es ist auf dem Server überhaupt kein DHCP installiert. Und die Rechner die von außen (privat) kommen haben selbst eine feste IP Adresse. (Dies sind rechner mit Windows 7)
Benutzergruppen sind angelegt, Ordner auch soweit nur für diese Gruppen freigegeben. Allerdings kommen die Leute mit ihren privat Laptops ja immernoch auf die Ordner solange sie den Pfad zu ihren datein wissen (zb. \\ABW-SERVER-2011\Azubis\201) dann müssen sie zwar eine Passwart abfrage durchlaufen aber das Passwort für ihre Dateien wissen sie ja & somit kommen sie mit ihren Laptops auch auf ihre Datein)
Es geht mir halt nur darum das sie da überhaupt kein zugriff mehr von privaten Laptops haben.
Bitte warten ..
Mitglied: Pjordorf
21.02.2011 um 14:32 Uhr
Hallo,

Zitat von voXdie:
Es geht mir halt nur darum das sie da überhaupt kein zugriff mehr von privaten Laptops haben.
Am Switch die MAC nicht erlauben?

Gruß,
Peter
Bitte warten ..
Mitglied: Ausserwoeger
21.02.2011 um 15:15 Uhr
Wenn kein DHCP lauft und die clients private IPs haben müssten die ja zufällig das selbe subnet haben wie dein netzwerk um darauf zugreifen zu können ? wenn du Windows 2008 Server hast würde ich mal IP v6 abschalten und schaun obs immer noch geht.

LG
Bitte warten ..
Mitglied: voXdie
21.02.2011 um 15:29 Uhr
- Switch ist nicht intelligent

- IP v6 ist aus
Bitte warten ..
Mitglied: Ausserwoeger
21.02.2011 um 15:40 Uhr
Also laut einem ähnlichen artikel den ich gelesen habe kommt dieses eingabefenster nur wenn für einen Rechner oder benutzer keine Rechte definiert sind.

Das bedeutet wenn du auf deinen Freigaben die Berechtigung vergibst JEDER zugriff verweigert sollte keine Eingabeaufforderung für benutzername und kennwort mehr kommen.

Dann kommt nur noch die Meldung Zugriff verweigert.

LG
Bitte warten ..
Mitglied: Pjordorf
21.02.2011, aktualisiert 18.10.2012
Hallo,

Zitat von Ausserwoeger:
Also laut einem ähnlichen artikel den ich gelesen habe kommt dieses eingabefenster nur wenn für einen Rechner oder
benutzer keine Rechte definiert sind.
Das ist richtig.

@ all
Aber er will ja RECHNER Sperren, nicht die Benutzer. Und wenn die Azubis die Netze kennen, können die sich selbst IPs vergeben, egal ob DHCP läuft oder nicht. Und IPv6 ausschalten, was soll das bringen? Hier hilft nur die MAC am Switch sperren oder Zertifikate für die RECHNER oder RADIUS usw. Wenn das aber alles nicht vorhanden ist, dann geht es nicht. Dann kann jeder Rechner sich im Netzwerk tummeln, egal ob Domänencomputer oder Workgroup oder Laptop vom UPS Fahrer.

Schau dir mal die Anleitung von aqui http://www.administrator.de/wissen/netzwerk-zugangskontrolle-mit-802.1x ... an.

Gruß,
Peter
Bitte warten ..
Mitglied: Ausserwoeger
21.02.2011 um 16:31 Uhr
Wenn er die Gruppe Jeder auf einer Freigabe sperrt kommt bei den Pcs die nicht in der Domain keine benutzeranmeldung mehr und bei Rechnern die in der Domain sind wird automatisch der Angemeldete benutzer zum anmelden auf der Freigebe verwendet.

Ich dachte genau das ist gewünscht ? Von Rechner Sperren ist hier nicht die rede. Wenn er auch den Intenetzugriff der Privaten laptops sperren will und den kompletten zugriff ins netz braucht er einen Switch den man managen kann oder einen Radius usw.

Ich denke er will nur den zugriff auf die Freigeben sperren.

LG
Bitte warten ..
Mitglied: DerWoWusste
21.02.2011 um 22:16 Uhr
Die Standardlösung hat noch niemand geschrieben: Anmeldeberechtigungen restriktiv halten (Im ADUC auf dem Reiter "Konto" unter "anmelden an")
Standard ist: jeder Domänenbenutzer darf sich überall anmelden (auch auf Nicht-Mitgliedern) - das lässt sich ändern, bedeutet jedoch evtl. erheblichen Aufwand. Dafür ist es zuverlässig und kostenlos.
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows Server
gelöst GPO greift unter win server 2008, unter win7 nicht (5)

Frage von sayohh zum Thema Windows Server ...

Windows Server
Windows Server 2012 R2 Benutzerkonto für Zugriff auf AD Benutzer (2)

Frage von JulianOhm zum Thema Windows Server ...

Windows Server
gelöst Freigegebene Drucker plötzlich offline (Windows Server 2008 AD) (3)

Frage von D1Ck3n zum Thema Windows Server ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (20)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Festplatten, SSD, Raid
M.2 SSD wird nicht erkannt (14)

Frage von uridium69 zum Thema Festplatten, SSD, Raid ...