Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Zugriff für Computer, die nicht Mitglied der Domäne sind sperren

Frage Microsoft Windows Netzwerk

Mitglied: WillyWald

WillyWald (Level 1) - Jetzt verbinden

05.03.2009, aktualisiert 08:58 Uhr, 7763 Aufrufe, 13 Kommentare

Hallo,

ich habe ein Problem und weiss nicht, wie ich Dieses lösen kann.

Ich möchte verhindern, dass Computern, die wir nicht in die Domäne aufgenommen haben, der Zugriff auf Inhalte der Domäne verweigert wird. Ich möchte dafür keine spezielle Technik oder Software einsetzen und die wenn möglich, es mit Bordmitteln lösen.

Hier ein Szenario welches ich verhindern möchte:

Ein Benutzer unserer Domäne kommt mit seinem privaten Notebook. Benutzt hier einen nicht autorisierten USB-Stick. Da er sein Benutzername und Kennwort kennt, kommt er auf die Netzlaufwerke und kopiert irgendetwas auf den Stick.

Nimmt er den Firmennotebook und logt sich in der Domäne ein, würde der Stick, da er nicht freigegeben ist (Spezielle Software), nicht erkannt werden.

Ich denke so an eine Prüfung von Computerkonto und Benutzer.

Für das Firmennotebook kann ich die lokale Anmeldung für Benutzer verbieten, damit die Gruppenrichtlinien der Domäne wirken. Klar kann ich den jenigen, wenn ich es mitbekomme "prügeln", mache sind aber sehr Beratungsresistent.

Vieleicht is es ja ganz einfach und ich stehe nur auf der Leitung.

Danke für eure Hilfe
Mitglied: Iwan
05.03.2009 um 10:14 Uhr
guten morgen,

nutzt ihr DHCP? wenn ja, dann wäre vielleicht eine Möglichkeit, das unbekannte Rechner (MAC-Adresse) keine IP bekommen
ich weiss nur nicht, was passiert, wenn der User seinem privaten Laptop manuell eine IP aus dem gleichen Range gibt
Bitte warten ..
Mitglied: WillyWald
05.03.2009 um 10:22 Uhr
Guten Morgen,

ja wir nehmen DHCP und arbeiten teilweise auch mit Reservierungen.

zu Deiner Frage:

Wenn jemand eine IP manuell einträgt, hat der Rechner diese IP (evt. Konflikt).

Darüber hatten wir schon nachgedacht. Einzige Lösung, die eine höhere Hürde darstellt, wären MAC-Adressen. Dafür haben wir aber Hardware bzw. Software.
Bitte warten ..
Mitglied: lemmi222
05.03.2009 um 10:36 Uhr
Hi,

Lösungsansätze:
1. DHCP Beschränkung auf bestimmte MAC IDen ist zu unsicher - kann mit statischer IP oder gefälschter MAC ID einfach umgangen werden
2. Port Security (benötigt geeignete Switches)
3. Benutzer dürfen sich nur von bestimmten Workstations anmelden
Ablauf in etwa:
-Benutzer-Manager für die Domäne öffnen:
-Benutzer zum Bearbeiten auswählen
-in den Optionen die Workstations festlegen, von denen aus sich der Benutzer anmelden kann.

Wir benutzen eine Kombination aus 2 und 3

Gruß

Lemmi
Bitte warten ..
Mitglied: WillyWald
05.03.2009 um 11:16 Uhr
ja, der Tipp mit den Benutzern von bestimmten Workstations ist super. Das dürfte reichen um die Bastelwut einzuschränken. in Verbindung mit der Richtlinie "lokale Anmeldung verbieten" (für Benutzer). Sollten wir schon Einiges erreicht haben.

Wir prüfen noch, ob das Umbenennen eines Fremdrechners reicht, den Schutz auszuhebeln. Ich erfahre gerade, dass es reicht den Name zu ändern (lokale WS) und der Benutzer kommt auf die Netzwerkfreigaben. Trotzdem erst einmal Dank, das Verfahren hängt die Latte erst einmal viel höher. Mit den Macadressen müssen wir mal schauen.
Bitte warten ..
Mitglied: Driver401
05.03.2009 um 11:57 Uhr
ähm, es geht doch lediglich um die Zugriffe auf die Netz-Freigaben.
Ginge das nicht mit den Sicherheitseinstellungen für Freigaben? Zugriff nur für "Domänencomputer" (bzw. ~controller). Oder denke ich jetzt zu einfach?
Bitte warten ..
Mitglied: WillyWald
05.03.2009 um 13:21 Uhr
Ja, vielleicht ist es ja auch ganz einfach.

Nur da müste es eine Gruppe NichtDomänenComputer geben, der ich das Recht entziehe. Der Benutzer soll das recht ja haben, nur in verbindung mit dem Computer s.o.
Bitte warten ..
Mitglied: Logan000
05.03.2009 um 13:22 Uhr
Moin Moin

Ginge das nicht mit den Sicherheitseinstellungen für Freigaben? Zugriff nur für "Domänencomputer" (bzw. ~controller). Oder denke ich jetzt zu einfach?
Ich fürchte das tust Du. Bei den Freigabeberechtigungen kannst du keine Commputer auswählen, nur bei den NTFS Berechtigungen unterhalb der Freigabe und selbt da wäre die Funktion fraglich.
Sebst wenn das hinzukrigen wäre: Und der zugriff für alle Nicht-Domänen PC verboten wäre, sollte es kann ein normaler User einen PC in die Domäne heben!

Unabhängig von deinen technischen bemühungen, solltest du auch an diesem Punkt arbeiten:
Klar kann ich den jenigen, wenn ich es mitbekomme "prügeln", mache sind aber sehr Beratungsresistent.
Gibt es bei euch im Haus ein Richtlininepapier was auf den APC erlaubt ist und was nicht?
z.B. private Mail und INet Nutzung, Kennwortweitergabe, usw.
Solte es geben. Mit GL und Personalvert. absprechen und von allen Usern unterschreiben lassen.
Ein solches Papier das evtl. noch Passagen enthält wie: Abmahnung bei zuwiderhandlung, usw. solte selbst den resistentisten Anwender auf Spur bringen.

"Sprich milde, aber trage einen großen Stock bei dir." ( Roosevelt, Theodore)

Gruß L.
Bitte warten ..
Mitglied: WillyWald
05.03.2009 um 13:30 Uhr
Ja, dass gibt es. Das Problem ist, es wird zu unserem Ärger anders gelebt.

Mit diesen Maßnahmen wollen wir nur erreichen, dass man uns nicht Fahrlässigkeit vorwirft, wenn mal was passiert. Die Geschäftführung hatten wir schon einmal davon unterrichtet und jetzt haben wir den Auftrag für eine technische Lösung zu sorgen.

Übrigens wurde seitens der Geschäftsführung o.g. Papier abgemildert, wir hatten arbeitsrechliche Konsequenzen gefordert, wurde aber über Betriebsrat abgeschafft.

Wir dürfen offiziell noch nicht einmal die Logs des Proxies durchsuchen tja.
Bitte warten ..
Mitglied: Driver401
05.03.2009 um 17:02 Uhr
Zitat von Logan000:
> Ginge das nicht mit den Sicherheitseinstellungen für
> Freigaben? Zugriff nur für "Domänencomputer" (bzw.
> ~controller). Oder denke ich jetzt zu einfach?
Ich fürchte das tust Du. Bei den Freigabeberechtigungen kannst
du keine Commputer auswählen, nur bei den NTFS Berechtigungen
unterhalb der Freigabe

Hmm... ich hab das grad mal versucht - die globale Gruppe "Domänencomputer" kann ich bei der Freigabeberechtigung hinzufügen. (Active Directory)
Fragt sich natürlich was das dann tatsächlich für Auswirkungen hat.

....., sollte es kann ein normaler
User einen PC in die Domäne heben!

??? Das wäre mir neu - ausser dem User ist es per Policy explizit erlaubt.
Bitte warten ..
Mitglied: Logan000
06.03.2009 um 09:04 Uhr
Moin Moin

> .....es kann ein normaler User einen PC in die Domäne heben!
??? Das wäre mir neu - ausser dem User ist es per Policy explizit erlaubt.
Es ist genau anderherum. Du must es dem User explizit verbieten.
Schau mal hier: http://technet.microsoft.com/de-de/library/cc780195.aspx

Gruß L.
Bitte warten ..
Mitglied: Driver401
06.03.2009 um 13:01 Uhr
@Logan
Danke.... uhps. Das war mir tastächlich neu.
Bitte warten ..
Mitglied: Logan000
06.03.2009 um 14:07 Uhr
Moin

Ich wollts auch erstmal nicht glauben, aber es funktioniert tatsächlich.

Gruß L.
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Windows Server
Windows Server 2012 R2 Computer in Domäne haben kein Internet (17)

Frage von Rennpappe zum Thema Windows Server ...

Windows Netzwerk
Zugriff auf Ordner einer Domäne als nicht Mitglied (1)

Frage von Bloodnighter zum Thema Windows Netzwerk ...

Hyper-V
Wieso werden Computer aus der Domäne "geworfen" ? (5)

Frage von Tastuser zum Thema Hyper-V ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (33)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...