Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Zugiff als Domainbenutzer auf NICHT Domain-PC

Frage Netzwerke Netzwerkgrundlagen

Mitglied: Loeneberger

Loeneberger (Level 2) - Jetzt verbinden

07.11.2010 um 13:08 Uhr, 5444 Aufrufe, 5 Kommentare

Hallo

Folgendes soll erreicht werden:
bestimmte Domainbenutzer, welche sich an einen Domainserver anmelden, sollen auf einem PC zugreifen können, der nicht Domainmitglied ist.
Zudem bekommt der nicht-AD-Client ein anderen IP-Bereich, damit andere AD-Benutzer den PC nicht "sehen".

Damit jedoch die paar Domainbenutzer, auf dem nicht-AD-Client zugreifen können, bekommen die eine zweite IP für Ihre NIC, damit die
Verbindung funktioniert.

WOZU ?????
Falls der AD-Server ausfällt, können die paar Clients noch auf den "nicht AD-Client" zugreifen .. wo sich "wichtige" Daten befinden...
Das OS wäre Windows 7 Pro

Meine Frage nun: geht das überhaupt, mit den Rechten?
Der "nicht AD-Client" müsste Freigaben erhalten, wo NUR die paar "besonderen AD-Benutzer" Vollzugriff erhalten.
Die "besonderen Benutzer" erhalten ja Ihre Autorisierung vom AD-Server, wie kann ich den "nicht AD-Client" nun konfigurieren, dass
die "besonderen AD-Benutzer" Vollzugriff bekommen.

Über "Freigabe" und "Sicherheit" geht das ja wohl nicht, da der "nicht AD-Client" die Domainbenutzer nicht kennt...

HELP !!!

Danke
Loeneberger
Mitglied: Berrnd
07.11.2010 um 13:13 Uhr
Hi,

ich bin mir nicht ganz sicher, aber wenn's auf dem nicht-AD-PC einen lokalen Benutzer gibt, der den gleichen Benutzernamen und Passwort hat, wie ein AD Benutzer, sollte der AD Benutzer ohne erneute Login-Eingabe Zugriff haben.
(Windows versucht's bei Zugriff auf eine Freigabe immer mit den Login Daten, des gerade angemeldeten Benutzers.)

Andernfalls müsste der AD User halt die Login Informationen, für ein lokales Benutzerkonto auf dem nicht-AD-PC eingeben, sollte ja auch nicht weiter schlimm sein ... ;)

Gruß
Bernd
Bitte warten ..
Mitglied: em-pie
07.11.2010 um 13:41 Uhr
Moin,


Zitat von Berrnd:
Hi,

ich bin mir nicht ganz sicher, aber wenn's auf dem nicht-AD-PC einen lokalen Benutzer gibt, der den gleichen Benutzernamen
und Passwort hat, wie ein AD Benutzer, sollte der AD Benutzer ohne erneute Login-Eingabe Zugriff haben.
(Windows versucht's bei Zugriff auf eine Freigabe immer mit den Login Daten, des gerade angemeldeten Benutzers.)
[...]


Genauso schaut es aus!
in einem früheren Unternehmen was es so, dass eine bestimmte Abteilung als einziges Zugriff auf senisble Daten etc erhalten. Also auch wir Admins kamen nur mit der Abteilungsleiterin zusammen auf den Server.. Oft mist, weil Azubis gerne mal die Abteilung wechselten und einen Ordner auf diesem Nicht-AD Server hatten...

Naja, wie o.g wichtig:
User Name und Kennwort müssen sowohl in der ADS als auf dem Stand-Alone Server identisch sein. Ist also zu berücksichtigen, wenn die Kennwörter geändert wurden ;)

Gruß
meistro
Bitte warten ..
Mitglied: 60730
08.11.2010 um 15:42 Uhr
Moin,

ich würde das so nicht bauen wollen...

  • fällt der AD Controller wirklich aus - und die Kisten der User haben noch nie mit dem betreffenden Rechner gesprochen - wurde auch nix gecached.
  • Doppelte Userverwaltung - zusätzlich die Info wer welches Passwort benutzt usw. usf.

An deiner Stelle würde ich einen zweiten DC installieren, eine preiswerte NAS Büchse von Thecus oder ähnlichem besorgen und mit Robocopyjobs arbeiten.

Die Freigaben vom NAS bekommen ein nettes $ als letztes zeichen im Namen und schon sieht die keiner mehr.

Bei Windows hast du ganz schnell ganz interessante Probleme - speziell das Office schreibt jedes Netzwerklaufwerk in seinen echten UNC Pfad um -du hast dann zwar die daten auf Büchse xyz, aber die User kommen erstmal nicht drauf.

Von daher auch das NAS ist kein echtes Worstcase konzept, nur ein Tropfen auf den heissen Stein.

Wir haben div. Backupstrategien, u.a habe ich einen Server abgestempelt, der ein Datengrab (18 TB) beherbergt und der unsere div. echtblechseverfreigaben per Robocopy abläuft. Im Fall der Fälle (dazu habe ich auch schon fertige Scripts auf der Kiste) kann ich so gepflegt den Server umbenennen, die Shares \"freigeben\" und den als der ausgefallene Server neustarten.

Auch das ist aber kein echtes Szenario, denn im Fall der Fälle ist man sich am Schluß eh unsicher, ob man "das" anstößt, oder die 4 Stunden wartet, die der Server Supportvertrags Dienstleister hat, um das Blech zu tauschen.
(Wenn ihr keinen 24/7 4 Stunden Wartungsvertrag habt, dann wäre das Szenario schon interessanter)

Gruß
Bitte warten ..
Mitglied: Loeneberger
08.11.2010 um 21:56 Uhr
Danke für deinen Rat!

der erste DC ist "leider" ein SBS2008, also fällt das mit den 2ten flach ....
Ich denke, ich binde das Teil einfach Client in die Domaine ein, und setze die Zugriffsrechte entsprechended der "besonderen Benutzer"...
Das mit den Freigabe "$" hab ich total vergessen - stimmt ja na, dass kann ich ja dort auch umsetzen.

Achso, falls die Frage kommt: "und wieso machst das nicht alles einfach auf den DC????"
Weil: Da kommt ein "ServerProgramm" drauf, welches nicht auf einen DC iinstalliert werden "sollte".
Ich hatte das bis jetzt und das Prog. stürtzt nach 2 -5 Tagen einfach unaufgefordert ab

Also kommt das Prog. auf einen T110 von Dell mit Windows 7 Pro mit entsprechenden "$" Freigaben...

Danke
Bitte warten ..
Mitglied: 60730
08.11.2010 um 23:01 Uhr
Moin,
Zitat von Loeneberger:
Danke für deinen Rat!

der erste DC ist "leider" ein SBS2008, also fällt das mit den 2ten flach ....
Quark - das geht wunderbar - der SBS will halt nur "der" DC mit den Masterrollen sein, und es darf kein 2. SBS in der Domaine sein, ein stinknormaler W2kx Server tuts vollkommen.
Ich denke, ich binde das Teil einfach Client in die Domaine ein, und setze die Zugriffsrechte entsprechended der "besonderen Benutzer"...
Das mit den Freigabe "$" hab ich total vergessen - stimmt ja na, dass kann ich ja dort auch umsetzen.

Oder - siehe mein Tipp mit dem Robocopy, gar keine Freigaben einrichten.
Die "Freigaben" sind lediglich:

  • 1 regschlüssel pro Freigabe setzen
  • 1 Dienst neustarten
  • und siehe "office" wenn, mußt du den Ersatz Server eh umbenamsen und von daher hast du mit $ Shares dann ein "problem" - denn die Kisten der User dürfen keinen Unterschied erkennen. (ok die User werden halt etwas ältere Daten sehen, aber das ist ja bekannt)
Achso, falls die Frage kommt: "und wieso machst das nicht alles einfach auf den DC????"
Weil:
richtig man[n] sowas einfach nicht macht.

btw: Was man mit ab 649€ so alles machen kann, würde ich mir an deiner Steller mal genauer ansehen.

Gruß
Bitte warten ..
Ähnliche Inhalte
Windows 10
Windows 10 Store nur grau als Domainbenutzer
gelöst Frage von peterwagner24Windows 1012 Kommentare

Hallo zusammen, wie haben eine Domain-Installation, bestend aus Windows Server 2012 und Windows 10 Edu in der aktuellen Version. ...

Windows Userverwaltung
Identisches Benutzerprofil bei allen Maschinen für jeden Domainbenutzer
Frage von ischbindebaetmaenWindows Userverwaltung8 Kommentare

Moin Leude mal schnell eine Frage zu Benutzerprofilen: Wie ich ja schon in einem anderen gelösten Post geschrieben hatte, ...

Windows Netzwerk
PC in der Domain per VPN
Frage von MarkowitschWindows Netzwerk4 Kommentare

Hallo zusammen, ich habe einen etwas besonderen Fall und hoffe dass mir jemand helfen kann. Es gibt in einem ...

Windows Server
Java Update automatisiert auf alle PC einer Ordners in Domain verteilen
Frage von Morus2000Windows Server5 Kommentare

Hallo zusammen, ich würde gern java updates automatisiert auf ca. 29 Rechner verteilen. Diese befinden sich in einem Ordner ...

Neue Wissensbeiträge
Windows 10

Autsch: Microsoft bündelt Windows 10 mit unsicherer Passwort-Manager-App

Tipp von kgborn vor 2 TagenWindows 106 Kommentare

Unter Microsofts Windows 10 haben Endbenutzer keine Kontrolle mehr, was Microsoft an Apps auf dem Betriebssystem installiert (die Windows ...

Sicherheits-Tools

Achtung: Sicherheitslücke im FortiClient VPN-Client

Tipp von kgborn vor 2 TagenSicherheits-Tools

Ich weiß nicht, wie häufig die NextGeneration Endpoint Protection-Lösung von Fortinet in deutschen Unternehmen eingesetzt wird. An dieser Stelle ...

Internet

USA: Die FCC schaff die Netzneutralität ab

Information von Frank vor 2 TagenInternet5 Kommentare

Jetzt beschädigt US-Präsident Donald Trump auch noch das Internet. Der neu eingesetzte FCC-Chef Ajit Pai ist bekannter Gegner einer ...

DSL, VDSL

ALL-BM200VDSL2V - Neues VDSL-Modem mit Vectoring von Allnet

Information von Lochkartenstanzer vor 2 TagenDSL, VDSL2 Kommentare

Moin, Falls jemand eine Alternative zu dem draytek sucht: Gruß lks

Heiß diskutierte Inhalte
Batch & Shell
Kann man mit einer .txt Datei eine .bat Datei öffnen?
gelöst Frage von HelloWorldBatch & Shell20 Kommentare

Wie schon im Titel beschrieben würde ich gerne durch einfaches klicken auf eine Text oder Word Datei eine Batch ...

Router & Routing
OpenWRT bzw. L.E.D.E auf Buffalo WZR-HP-AG300H - update
gelöst Frage von EpigeneseRouter & Routing11 Kommentare

Guten Tag, ich habe auf einem Buffalo WZR-HP-AG300H die alternative Firmware vom L.E.D.E Projekt geflasht. Ich bin es von ...

LAN, WAN, Wireless
WLAN Reichweite erhöhen mit neuer Antenne
gelöst Frage von gdconsultLAN, WAN, Wireless9 Kommentare

Hallo, ich besitze einen TL-WN722N USB-WLAN Dongle mit einer richtigen Antenne. Ich frage mich jetzt ob man die Reichweite ...

Windows Server
Ping auf einen bestimmten Server nicht möglich
gelöst Frage von a.thierWindows Server7 Kommentare

Hallo, ich habe folgendes Problem. srv-dc1: Ping srv-nav > geht Ping srv-exchange > geht nicht srv-exchange: Ping srv-dc1 > ...