Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Zugiff als Domainbenutzer auf NICHT Domain-PC

Frage Netzwerke Netzwerkgrundlagen

Mitglied: Loeneberger

Loeneberger (Level 2) - Jetzt verbinden

07.11.2010 um 13:08 Uhr, 5387 Aufrufe, 5 Kommentare

Hallo

Folgendes soll erreicht werden:
bestimmte Domainbenutzer, welche sich an einen Domainserver anmelden, sollen auf einem PC zugreifen können, der nicht Domainmitglied ist.
Zudem bekommt der nicht-AD-Client ein anderen IP-Bereich, damit andere AD-Benutzer den PC nicht "sehen".

Damit jedoch die paar Domainbenutzer, auf dem nicht-AD-Client zugreifen können, bekommen die eine zweite IP für Ihre NIC, damit die
Verbindung funktioniert.

WOZU ?????
Falls der AD-Server ausfällt, können die paar Clients noch auf den "nicht AD-Client" zugreifen .. wo sich "wichtige" Daten befinden...
Das OS wäre Windows 7 Pro

Meine Frage nun: geht das überhaupt, mit den Rechten?
Der "nicht AD-Client" müsste Freigaben erhalten, wo NUR die paar "besonderen AD-Benutzer" Vollzugriff erhalten.
Die "besonderen Benutzer" erhalten ja Ihre Autorisierung vom AD-Server, wie kann ich den "nicht AD-Client" nun konfigurieren, dass
die "besonderen AD-Benutzer" Vollzugriff bekommen.

Über "Freigabe" und "Sicherheit" geht das ja wohl nicht, da der "nicht AD-Client" die Domainbenutzer nicht kennt...

HELP !!!

Danke
Loeneberger
Mitglied: Berrnd
07.11.2010 um 13:13 Uhr
Hi,

ich bin mir nicht ganz sicher, aber wenn's auf dem nicht-AD-PC einen lokalen Benutzer gibt, der den gleichen Benutzernamen und Passwort hat, wie ein AD Benutzer, sollte der AD Benutzer ohne erneute Login-Eingabe Zugriff haben.
(Windows versucht's bei Zugriff auf eine Freigabe immer mit den Login Daten, des gerade angemeldeten Benutzers.)

Andernfalls müsste der AD User halt die Login Informationen, für ein lokales Benutzerkonto auf dem nicht-AD-PC eingeben, sollte ja auch nicht weiter schlimm sein ... ;)

Gruß
Bernd
Bitte warten ..
Mitglied: em-pie
07.11.2010 um 13:41 Uhr
Moin,


Zitat von Berrnd:
Hi,

ich bin mir nicht ganz sicher, aber wenn's auf dem nicht-AD-PC einen lokalen Benutzer gibt, der den gleichen Benutzernamen
und Passwort hat, wie ein AD Benutzer, sollte der AD Benutzer ohne erneute Login-Eingabe Zugriff haben.
(Windows versucht's bei Zugriff auf eine Freigabe immer mit den Login Daten, des gerade angemeldeten Benutzers.)
[...]


Genauso schaut es aus!
in einem früheren Unternehmen was es so, dass eine bestimmte Abteilung als einziges Zugriff auf senisble Daten etc erhalten. Also auch wir Admins kamen nur mit der Abteilungsleiterin zusammen auf den Server.. Oft mist, weil Azubis gerne mal die Abteilung wechselten und einen Ordner auf diesem Nicht-AD Server hatten...

Naja, wie o.g wichtig:
User Name und Kennwort müssen sowohl in der ADS als auf dem Stand-Alone Server identisch sein. Ist also zu berücksichtigen, wenn die Kennwörter geändert wurden ;)

Gruß
meistro
Bitte warten ..
Mitglied: 60730
08.11.2010 um 15:42 Uhr
Moin,

ich würde das so nicht bauen wollen...

  • fällt der AD Controller wirklich aus - und die Kisten der User haben noch nie mit dem betreffenden Rechner gesprochen - wurde auch nix gecached.
  • Doppelte Userverwaltung - zusätzlich die Info wer welches Passwort benutzt usw. usf.

An deiner Stelle würde ich einen zweiten DC installieren, eine preiswerte NAS Büchse von Thecus oder ähnlichem besorgen und mit Robocopyjobs arbeiten.

Die Freigaben vom NAS bekommen ein nettes $ als letztes zeichen im Namen und schon sieht die keiner mehr.

Bei Windows hast du ganz schnell ganz interessante Probleme - speziell das Office schreibt jedes Netzwerklaufwerk in seinen echten UNC Pfad um -du hast dann zwar die daten auf Büchse xyz, aber die User kommen erstmal nicht drauf.

Von daher auch das NAS ist kein echtes Worstcase konzept, nur ein Tropfen auf den heissen Stein.

Wir haben div. Backupstrategien, u.a habe ich einen Server abgestempelt, der ein Datengrab (18 TB) beherbergt und der unsere div. echtblechseverfreigaben per Robocopy abläuft. Im Fall der Fälle (dazu habe ich auch schon fertige Scripts auf der Kiste) kann ich so gepflegt den Server umbenennen, die Shares \"freigeben\" und den als der ausgefallene Server neustarten.

Auch das ist aber kein echtes Szenario, denn im Fall der Fälle ist man sich am Schluß eh unsicher, ob man "das" anstößt, oder die 4 Stunden wartet, die der Server Supportvertrags Dienstleister hat, um das Blech zu tauschen.
(Wenn ihr keinen 24/7 4 Stunden Wartungsvertrag habt, dann wäre das Szenario schon interessanter)

Gruß
Bitte warten ..
Mitglied: Loeneberger
08.11.2010 um 21:56 Uhr
Danke für deinen Rat!

der erste DC ist "leider" ein SBS2008, also fällt das mit den 2ten flach ....
Ich denke, ich binde das Teil einfach Client in die Domaine ein, und setze die Zugriffsrechte entsprechended der "besonderen Benutzer"...
Das mit den Freigabe "$" hab ich total vergessen - stimmt ja na, dass kann ich ja dort auch umsetzen.

Achso, falls die Frage kommt: "und wieso machst das nicht alles einfach auf den DC????"
Weil: Da kommt ein "ServerProgramm" drauf, welches nicht auf einen DC iinstalliert werden "sollte".
Ich hatte das bis jetzt und das Prog. stürtzt nach 2 -5 Tagen einfach unaufgefordert ab

Also kommt das Prog. auf einen T110 von Dell mit Windows 7 Pro mit entsprechenden "$" Freigaben...

Danke
Bitte warten ..
Mitglied: 60730
08.11.2010 um 23:01 Uhr
Moin,
Zitat von Loeneberger:
Danke für deinen Rat!

der erste DC ist "leider" ein SBS2008, also fällt das mit den 2ten flach ....
Quark - das geht wunderbar - der SBS will halt nur "der" DC mit den Masterrollen sein, und es darf kein 2. SBS in der Domaine sein, ein stinknormaler W2kx Server tuts vollkommen.
Ich denke, ich binde das Teil einfach Client in die Domaine ein, und setze die Zugriffsrechte entsprechended der "besonderen Benutzer"...
Das mit den Freigabe "$" hab ich total vergessen - stimmt ja na, dass kann ich ja dort auch umsetzen.

Oder - siehe mein Tipp mit dem Robocopy, gar keine Freigaben einrichten.
Die "Freigaben" sind lediglich:

  • 1 regschlüssel pro Freigabe setzen
  • 1 Dienst neustarten
  • und siehe "office" wenn, mußt du den Ersatz Server eh umbenamsen und von daher hast du mit $ Shares dann ein "problem" - denn die Kisten der User dürfen keinen Unterschied erkennen. (ok die User werden halt etwas ältere Daten sehen, aber das ist ja bekannt)
Achso, falls die Frage kommt: "und wieso machst das nicht alles einfach auf den DC????"
Weil:
richtig man[n] sowas einfach nicht macht.

btw: Was man mit ab 649€ so alles machen kann, würde ich mir an deiner Steller mal genauer ansehen.

Gruß
Bitte warten ..
Ähnliche Inhalte
Windows 10
gelöst Windows 10 Store nur grau als Domainbenutzer (12)

Frage von peterwagner24 zum Thema Windows 10 ...

Windows Netzwerk
PC in der Domain per VPN (4)

Frage von Markowitsch zum Thema Windows Netzwerk ...

Windows Userverwaltung
gelöst Zugriff auf PC von Domain-User, ohne sein Passwort zu kennen? (12)

Frage von Lara22 zum Thema Windows Userverwaltung ...

Windows Server
gelöst Einzel-Domain vs Multi-Domain-Forest (11)

Frage von ozricXX zum Thema Windows Server ...

Neue Wissensbeiträge
Ubuntu

Ubuntu 17.10 steht zum Download bereit

(3)

Information von Frank zum Thema Ubuntu ...

Datenschutz

Autofahrer-Pranger - Bewertungsportal illegal

(8)

Information von BassFishFox zum Thema Datenschutz ...

Windows 10

Neues Win10 Funktionsupdate verbuggt RemoteApp

(8)

Information von thomasreischer zum Thema Windows 10 ...

Microsoft

Die neuen RSAT-Tools für Win10 1709 sind da

(2)

Information von DerWoWusste zum Thema Microsoft ...

Heiß diskutierte Inhalte
Monitoring
Netzwerk-Monitoring Software (18)

Frage von Ghost108 zum Thema Monitoring ...

Windows 10
Seekrank bei Windows 10 (17)

Frage von zauberer123 zum Thema Windows 10 ...

Windows Server
gelöst Kopiervorgang schlägt fehl, weil Datei- und Ordnername zu lang sind (14)

Frage von Schroedi zum Thema Windows Server ...

Windows 10
Windows 10 Fall Creators Update Fehler (13)

Frage von ZeroCool23 zum Thema Windows 10 ...