Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage Microsoft Windows Netzwerk

Windows Fileserver - Zugriff von Rechner sperren unabhängig vom Benutzer

Mitglied: Der-Phil

Der-Phil (Level 2) - Jetzt verbinden

10.10.2011 um 15:05 Uhr, 5543 Aufrufe, 13 Kommentare

Hallo,

ich habe eine etwas eigenartige Anforderung:

Ist es möglich, einem User unterschiedliche Berechtigungen zu erteilen je nachdem von welchem Rechner aus er auf ein Share zugreifen will?

Hintergrund ist der:
Ein AD-User melde sich teilweise über einen Windows 2003 Terminalserver und teilweise von Windows 7 Clients aus an.
Vom Terminalserver aus soll er nicht auf ein "Gruppenlaufwerk" zugreifen können.

Wisst ihr, wie das machbar ist?

Phil
Mitglied: Coreknabe
10.10.2011 um 15:14 Uhr
Hi Phil,

Du könntest die Freigabe explizit für den Terminalserver sperren (Access denied). Als Objekttyp wählst Du in den NTFS-Berechtigungen "Computer".
Bitte warten ..
Mitglied: DerWoWusste
10.10.2011 um 15:17 Uhr
Moin.

Das kann nicht gehen. Der Zugriff wird über ACLs geregelt - da steht jedoch der Nutzer drin und nichts anderes.
Wollte man den Zugriff vom TS aus stoppen, dann musst Du Firewallregeln anwenden, würdest aber dann nur sagen können: "kein Zugriff vom TS aus auf den Fileserver via smb", aber könntest es nicht auf eine spezielle Freigabe (=Gruppenlaufwerk) beschränken und ebensowenig nutzergebunden.
Bitte warten ..
Mitglied: DerWoWusste
10.10.2011 um 15:18 Uhr
@Coreknabe: Nee. Das was Du damit sperrst, ist der Zugriff des Computerkontos, das hat nichts zu tun mit auf dem Rechner angemeldeten Benutzern.
Bitte warten ..
Mitglied: nikoatit
10.10.2011 um 15:21 Uhr
Moin,

mir fällt gerade nur ein, dass sie einen zweiten Account bekommen (z.B. Benutzername.RDP)
Danach erstellst einfach eine AD-Gruppe und packst die paar Personen (oder alle TS-User?) hinein.
Danach richtest du am Share die Gruppe über die Sicherheit entsprechend ein, dass der Zugriff expliziet verweigert wird.

Achja und beim "normalen" Account natürlich den TS-Logon verweigern.

Gruß
Bitte warten ..
Mitglied: St-Andreas
10.10.2011 um 20:26 Uhr
Hi,

mal be leicht besoffene Idee:

Loginscript checkt ob Anmeldecomputer Terminalserver ist
wenn ja wird der Benutzer in die Sicherheitsgruppe Terminalserverbenutzer gepackt
wenn nein wird der Benutzer aus der Sicherheitsgruppe Terminalserverbenutzer rausgeworfen

Freigabe entsprechend nicht gemappt wenn es ein Terminalserver ist

und die Freigabe hat eine Zugriffsverweigerung für die Gruppe Terminalserverbenutzer


Klingt erstmal komisch, hab ich auch noch nie probiert aber mir gefällt die Idee irgendwie....
Bitte warten ..
Mitglied: DerWoWusste
10.10.2011 um 21:12 Uhr
@andreas
Ein Anmeldeskript kann den Nutzer nicht in Domänengruppen setzen, wenn dieser nicht Domänenadmin ist. Und selbst wenn man es so machen könnte: vom anderen Rechner aus soll der Nutzer doch zugreifen können, dies wäre nicht mehr gegeben.
Bitte warten ..
Mitglied: St-Andreas
10.10.2011 um 21:22 Uhr
Kriegt man das nicht mit Delegierungen hin?
Und was die anderen Rechner betrifft: Ja, ist doch schon berücksichtigt in der "Wenn nein, dann aus der Gruppe rauswerfen"
Bitte warten ..
Mitglied: Logan000
11.10.2011 um 08:21 Uhr
Moin moin

Vom Terminalserver aus soll er nicht auf ein "Gruppenlaufwerk" zugreifen können.
Mich würde mal das "Wozu" interessieren. Was willst du mit dieser Anforderung überhaupt erreichen?

Denn wenn du zum User sagst: Ätschibätsch, kannst du nicht aum TS.
Dann sagt der User dir: Brauch ich nicht auf dem TS. Kann ich aufm Client. Selber Ätschibätsch!

Entweder darf der User ans Verzeichniss oder nicht.

Gruß L.
Bitte warten ..
Mitglied: Coreknabe
11.10.2011 um 10:22 Uhr
Wie richtig. Asche über mein Haupt für diesen idiotischen Schnellschuss.
Bitte warten ..
Mitglied: Coreknabe
11.10.2011 um 10:28 Uhr
Leider meldet sich der Phil nicht mehr. Ansonsten wäre es wirklich hilfreich, wie Logan schon anmerkte, einmal genau zu wissen, was da gesperrt werden soll, für wen und warum. OS auf Terminalserver?

Insofern können wir ja mal weiter spekulieren, ich habe da noch was a la "Von hinten durch die Brust ins Auge" gefunden:
http://www.howtogeek.com/howto/8035/how-to-restrict-access-to-drive-in- ...

Könnte funktionieren, wenn man das auf dem Terminalserver macht, hab's nicht probiert. Wahrscheinlich aber problematisch, weil dann ein ganzes Volume gesperrt ist.
Ansonsten dürfte der einfachste und schnellste Weg sein, über das Netzwerk ranzugehen (Firewallregel basteln mit den genannten Einschränkungen).
Oder sowas:
http://www.techsupportforum.com/forums/f8/solved-deny-share-folder-acce ...
Bitte warten ..
Mitglied: Der-Phil
11.10.2011 um 11:42 Uhr
Hallo,

ich bin schon noch da...

Hintergrund ist hier der Datenschutz.

Ich habe häufiger User, die sich an verschiedenen Rechnern/Terminalservern anmelden können und müssen, die sich in verschieden abgeschotteten Bereichen befinden. Dadurch gibt es z.B. Rechner, an denen USB-Sticks angeschlossen werden können. An diesen Rechnern darf der User nicht an Kundendaten kommen, um sie darauf kopieren zu können.

Grüße
Phil
Bitte warten ..
Mitglied: DerWoWusste
11.10.2011 um 12:44 Uhr
Phil, nimm doch mal Stellung zu den Vorschlägen. Du lässt uns hängen.
Bitte warten ..
Mitglied: Der-Phil
11.10.2011 um 13:24 Uhr
Hallo,

tut mir Leid, dass ich so knapp war...

Die Idee mit dem zweiten Usernamen ist o.k., aber nicht so wirklich schön, weil es auch mehr als zwei Computer betreffen kann und dann schnell unübersichtlich wird.

Die anderen Punkte habt ihr ja leider schon gekippt. Das Verschieben in eine andere Gruppe geht technisch nicht.

@andreas#S
Was meinst Du mit Delegierungen?

Dann bleibt nur noch die Möglichkeit, das Ganze auf Firewallebene zu machen. Dazu müsste ich dann aber die Volumes auf verschiedene Server legen, was möglich, aber derzeit recht aufwändig ist. Das sehe ich aber noch als die beste Option.

@Coreknabe:
http://www.howtogeek.com/howto/8035/how-to-restrict-access-to-drive-in- ... --> Funktioniert leider nur bei lokalen Ordnern, aber nicht bei Shares.


Danke auf jeden Fall für euere Ansätze!

Phil
Bitte warten ..
Ähnliche Inhalte
Verschlüsselung & Zertifikate
Windows Fileserver - Zugriff auf Geräteebene
Frage von Seether80Verschlüsselung & Zertifikate4 Kommentare

Hallo werte Administratoren, ich suche im Kundenauftrag nach einer Möglichkeit eine Netzwerkfrigabe (Windowsfileserver) den Zugriff geräteabhängig zu machen. Folgender ...

Ubuntu
Freigabe auf Fileserver - nach Neustart kein Zugriff!
Frage von mike7050Ubuntu

Hallo, ich habe auf meinem Ubuntu Fileserver (sguhl) eine neuen Freigab erstellt. Diese heißt: Freig_ed Nun soll der andere ...

Windows Server
Sharepoint Foundation - Zugriff auf Fileserver
Frage von LollipopWindows Server

Hallo Allerseits In unserem Kleinbetrieb (15 User) möchten wir unser Intranet von einer statischen HTML-Seite in eine flexible Lösung ...

Windows Server
Kein Zugriff von Windows 7 Client auf Fileserver mit 2012R2
gelöst Frage von PhelanKellWindows Server7 Kommentare

Hallo zusammen, Wir haben (scheinbar) 4 identische Fileserver mit 2012R2 in 4 Standorten am Laufen. Bisher zeigten sich bei ...

Neue Wissensbeiträge
Linux

Meltdown und Spectre: Linux Update

Information von Frank vor 1 TagLinux

Meltdown (Variante 3 des Prozessorfehlers) Der Kernel 4.14.13 mit den Page-Table-Isolation-Code (PTI) ist nun für Fedora freigegeben worden. Er ...

Tipps & Tricks

Solutio Charly Updater Fehlermeldung: Das Abgleichen der Dateien in -Pfad- mit dem Datenobject ist fehlgeschlagen

Tipp von StefanKittel vor 2 TagenTipps & Tricks

Hallo, hier einmal als Tipp für alle unter Euch die mit der Zahnarztabrechnungssoftware Charly von Solutio zu tun haben. ...

Sicherheit

Meltdown und Spectre: Wir brauchen eine "Abwrackprämie", die die CPU-Hersteller bezahlen

Information von Frank vor 2 TagenSicherheit12 Kommentare

Zum aktuellen Thema Meltdown und Spectre: Ich wünsche mir von den CPU-Herstellern wie Intel, AMD oder ARM eine Art ...

Sicherheit

Meltdown und Spectre: Realitätscheck

Information von Frank vor 2 TagenSicherheit10 Kommentare

Die unangenehme Realität Der Prozessorfehler mit seinen Varianten Meltdown und Spectre ist seit Juni 2017 bekannt. Trotzdem sind immer ...

Heiß diskutierte Inhalte
E-Mail
Erfahrungen mit hMailServer gesucht
Frage von it-fraggleE-Mail10 Kommentare

Hallo, meine neue Stelle möchte einen eigenen Mailserver. Ich als Linuxkind war direkt geistig mit Postfix dabei. Leider wollen ...

Firewall
Penetrationstester-Labor - Firewalls
Frage von Oli-nuxFirewall9 Kommentare

Mich würde interessieren warum man beim Einrichten eines Penetrationstester-Labor (VMs) die Firewall der Systeme deaktivieren soll? Hat das nur ...

Entwicklung
VBS: alle PDF-Dateien in einem Ordner gleichzeitig öffnen
gelöst Frage von JuweeeEntwicklung9 Kommentare

Hallo, ich habe in deiner Ordnerstruktur (.\Tagesberichte\xx.18\) mehrere dynamische PDF-Formulare (mit LCD erstellt). Die Berichtsformulare sind im Layout alle ...

Netzwerkgrundlagen
IPv6 Inter-VLAN Routing
gelöst Frage von clSchakNetzwerkgrundlagen7 Kommentare

Hi ich befasse mich gerade mit der Implementierung von IPv6 was bisher (in einem VLAN) korrekt funktioniert inkl. DNS ...