Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Zugiff als Domainbenutzer auf NICHT Domain-PC

Frage Netzwerke Netzwerkgrundlagen

Mitglied: Loeneberger

Loeneberger (Level 2) - Jetzt verbinden

07.11.2010 um 13:08 Uhr, 5027 Aufrufe, 5 Kommentare

Hallo

Folgendes soll erreicht werden:
bestimmte Domainbenutzer, welche sich an einen Domainserver anmelden, sollen auf einem PC zugreifen können, der nicht Domainmitglied ist.
Zudem bekommt der nicht-AD-Client ein anderen IP-Bereich, damit andere AD-Benutzer den PC nicht "sehen".

Damit jedoch die paar Domainbenutzer, auf dem nicht-AD-Client zugreifen können, bekommen die eine zweite IP für Ihre NIC, damit die
Verbindung funktioniert.

WOZU ?????
Falls der AD-Server ausfällt, können die paar Clients noch auf den "nicht AD-Client" zugreifen .. wo sich "wichtige" Daten befinden...
Das OS wäre Windows 7 Pro

Meine Frage nun: geht das überhaupt, mit den Rechten?
Der "nicht AD-Client" müsste Freigaben erhalten, wo NUR die paar "besonderen AD-Benutzer" Vollzugriff erhalten.
Die "besonderen Benutzer" erhalten ja Ihre Autorisierung vom AD-Server, wie kann ich den "nicht AD-Client" nun konfigurieren, dass
die "besonderen AD-Benutzer" Vollzugriff bekommen.

Über "Freigabe" und "Sicherheit" geht das ja wohl nicht, da der "nicht AD-Client" die Domainbenutzer nicht kennt...

HELP !!!

Danke
Loeneberger
Mitglied: Berrnd
07.11.2010 um 13:13 Uhr
Hi,

ich bin mir nicht ganz sicher, aber wenn's auf dem nicht-AD-PC einen lokalen Benutzer gibt, der den gleichen Benutzernamen und Passwort hat, wie ein AD Benutzer, sollte der AD Benutzer ohne erneute Login-Eingabe Zugriff haben.
(Windows versucht's bei Zugriff auf eine Freigabe immer mit den Login Daten, des gerade angemeldeten Benutzers.)

Andernfalls müsste der AD User halt die Login Informationen, für ein lokales Benutzerkonto auf dem nicht-AD-PC eingeben, sollte ja auch nicht weiter schlimm sein ... ;)

Gruß
Bernd
Bitte warten ..
Mitglied: em-pie
07.11.2010 um 13:41 Uhr
Moin,


Zitat von Berrnd:
Hi,

ich bin mir nicht ganz sicher, aber wenn's auf dem nicht-AD-PC einen lokalen Benutzer gibt, der den gleichen Benutzernamen
und Passwort hat, wie ein AD Benutzer, sollte der AD Benutzer ohne erneute Login-Eingabe Zugriff haben.
(Windows versucht's bei Zugriff auf eine Freigabe immer mit den Login Daten, des gerade angemeldeten Benutzers.)
[...]


Genauso schaut es aus!
in einem früheren Unternehmen was es so, dass eine bestimmte Abteilung als einziges Zugriff auf senisble Daten etc erhalten. Also auch wir Admins kamen nur mit der Abteilungsleiterin zusammen auf den Server.. Oft mist, weil Azubis gerne mal die Abteilung wechselten und einen Ordner auf diesem Nicht-AD Server hatten...

Naja, wie o.g wichtig:
User Name und Kennwort müssen sowohl in der ADS als auf dem Stand-Alone Server identisch sein. Ist also zu berücksichtigen, wenn die Kennwörter geändert wurden ;)

Gruß
meistro
Bitte warten ..
Mitglied: 60730
08.11.2010 um 15:42 Uhr
Moin,

ich würde das so nicht bauen wollen...

  • fällt der AD Controller wirklich aus - und die Kisten der User haben noch nie mit dem betreffenden Rechner gesprochen - wurde auch nix gecached.
  • Doppelte Userverwaltung - zusätzlich die Info wer welches Passwort benutzt usw. usf.

An deiner Stelle würde ich einen zweiten DC installieren, eine preiswerte NAS Büchse von Thecus oder ähnlichem besorgen und mit Robocopyjobs arbeiten.

Die Freigaben vom NAS bekommen ein nettes $ als letztes zeichen im Namen und schon sieht die keiner mehr.

Bei Windows hast du ganz schnell ganz interessante Probleme - speziell das Office schreibt jedes Netzwerklaufwerk in seinen echten UNC Pfad um -du hast dann zwar die daten auf Büchse xyz, aber die User kommen erstmal nicht drauf.

Von daher auch das NAS ist kein echtes Worstcase konzept, nur ein Tropfen auf den heissen Stein.

Wir haben div. Backupstrategien, u.a habe ich einen Server abgestempelt, der ein Datengrab (18 TB) beherbergt und der unsere div. echtblechseverfreigaben per Robocopy abläuft. Im Fall der Fälle (dazu habe ich auch schon fertige Scripts auf der Kiste) kann ich so gepflegt den Server umbenennen, die Shares \"freigeben\" und den als der ausgefallene Server neustarten.

Auch das ist aber kein echtes Szenario, denn im Fall der Fälle ist man sich am Schluß eh unsicher, ob man "das" anstößt, oder die 4 Stunden wartet, die der Server Supportvertrags Dienstleister hat, um das Blech zu tauschen.
(Wenn ihr keinen 24/7 4 Stunden Wartungsvertrag habt, dann wäre das Szenario schon interessanter)

Gruß
Bitte warten ..
Mitglied: Loeneberger
08.11.2010 um 21:56 Uhr
Danke für deinen Rat!

der erste DC ist "leider" ein SBS2008, also fällt das mit den 2ten flach ....
Ich denke, ich binde das Teil einfach Client in die Domaine ein, und setze die Zugriffsrechte entsprechended der "besonderen Benutzer"...
Das mit den Freigabe "$" hab ich total vergessen - stimmt ja na, dass kann ich ja dort auch umsetzen.

Achso, falls die Frage kommt: "und wieso machst das nicht alles einfach auf den DC????"
Weil: Da kommt ein "ServerProgramm" drauf, welches nicht auf einen DC iinstalliert werden "sollte".
Ich hatte das bis jetzt und das Prog. stürtzt nach 2 -5 Tagen einfach unaufgefordert ab

Also kommt das Prog. auf einen T110 von Dell mit Windows 7 Pro mit entsprechenden "$" Freigaben...

Danke
Bitte warten ..
Mitglied: 60730
08.11.2010 um 23:01 Uhr
Moin,
Zitat von Loeneberger:
Danke für deinen Rat!

der erste DC ist "leider" ein SBS2008, also fällt das mit den 2ten flach ....
Quark - das geht wunderbar - der SBS will halt nur "der" DC mit den Masterrollen sein, und es darf kein 2. SBS in der Domaine sein, ein stinknormaler W2kx Server tuts vollkommen.
Ich denke, ich binde das Teil einfach Client in die Domaine ein, und setze die Zugriffsrechte entsprechended der "besonderen Benutzer"...
Das mit den Freigabe "$" hab ich total vergessen - stimmt ja na, dass kann ich ja dort auch umsetzen.

Oder - siehe mein Tipp mit dem Robocopy, gar keine Freigaben einrichten.
Die "Freigaben" sind lediglich:

  • 1 regschlüssel pro Freigabe setzen
  • 1 Dienst neustarten
  • und siehe "office" wenn, mußt du den Ersatz Server eh umbenamsen und von daher hast du mit $ Shares dann ein "problem" - denn die Kisten der User dürfen keinen Unterschied erkennen. (ok die User werden halt etwas ältere Daten sehen, aber das ist ja bekannt)
Achso, falls die Frage kommt: "und wieso machst das nicht alles einfach auf den DC????"
Weil:
richtig man[n] sowas einfach nicht macht.

btw: Was man mit ab 649€ so alles machen kann, würde ich mir an deiner Steller mal genauer ansehen.

Gruß
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
Batch & Shell
gelöst PowerShell Domain Join (2)

Frage von Patrick-IT zum Thema Batch & Shell ...

Erkennung und -Abwehr
Spam mit eigener Domain (12)

Frage von NoobOne zum Thema Erkennung und -Abwehr ...

Router & Routing
Spielzeiten auf pc und handy steuern (7)

Frage von fisch56 zum Thema Router & Routing ...

CPU, RAM, Mainboards
PC Engines apu3a4 product file (7)

Link von ashnod zum Thema CPU, RAM, Mainboards ...

Heiß diskutierte Inhalte
Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Windows Server
Mailserver auf Windows Server 2012 (8)

Frage von StefanT81 zum Thema Windows Server ...

Backup
Clients als Server missbrauchen? (8)

Frage von 1410640014 zum Thema Backup ...

DSL, VDSL
DSL-Signal bewerten (8)

Frage von SarekHL zum Thema DSL, VDSL ...