10
Win Server 2008 - Zugriff nur von Computer welche in AD registriert sind
Es soll der Zugriff von Privaten Laptops oder PCs in einem Firmennetzwerk verhindert werden.
Hallo zusammen, ich habe ein Problem & zwar versuche ich in einem kleinen Netzwerk (80 Clients) den Zugriff auf Dateien nur von den Rechnern zuzulassen welche auch in der Active Directory sind. Es sieht momentan so aus das jeder Rechner lokal eine feste IP-Adresse zugewiesen hat und dann in der Domäne (abw2) registriert wurde. Es handelt sich übrigends um ein Ausbildungsbetrieb & es gibt dementsprechen Freigaben von Odnern für die Benutzergruppen "Ausbilder", "Azubis", "Facharbeiter" & "Domäne-Admins".
Es kommt nur öfters vor das Azubis auch ihre privaten Laptops mitbringen & die entsprechenden Ausbilder es nicht für nötig erachten dieses zu verbieten. Nun die Frage an euch, kann man irgendwie den Zugriff auf die Dateien nur für die Computer erlauben die auch in der Domäne (abw2) registriert sind?
vielen dank für jede hilfe
mfg Jan
Es kommt nur öfters vor das Azubis auch ihre privaten Laptops mitbringen & die entsprechenden Ausbilder es nicht für nötig erachten dieses zu verbieten. Nun die Frage an euch, kann man irgendwie den Zugriff auf die Dateien nur für die Computer erlauben die auch in der Domäne (abw2) registriert sind?
vielen dank für jede hilfe
mfg Jan
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 161191
Url: https://administrator.de/contentid/161191
Printed on: April 24, 2024 at 02:04 o'clock
10 Comments
Latest comment
Hallo Jan,
Jeder Rechner wird in der Domäne registriert? Du meinst die bekommen vom DHCP Server eine Adresse zugewiesen und es wird ein DNS-Eintrag erzeugt?
Schau mal bei den freigebenen Ordner und erweiterte Freigabe, und dann Berechtigungen? tauch da die Benutzergruppe "Jeder" auf?
Mein Tipp: erstelle die Sicherheitsgruppen Ausbilder, Azubis, Facharbeiter.
Alle Ausbilder werden Mitglieder in der Gruppe Ausbilder, Alle Azubis in der Gruppe Azubis, Alle Facharbeiter in der Gruppe Facharbeiter.
Dann gehst du hin und verteilst den Freigegebenen Ordner neu Berechtigungen:
Ordner Azubis bekommen Azubis, Ausbilder, Fachkräfte und die gewünschten Administratoren (meinetwegen Domänenadmins, wobei...) dann kannst du lesen schreiben etc. nach wunsch verändern.
Auf den Ordner Ausbilder sollen die Azubis keinen Zugriff haben, vermute ich, also verteilst du die Berechtigungen dementsprechend. usw usw.
Um dir die Arbeit zu erleichtern würde ich dann Benutzerrollen im AD anlegen, mit den entsprechenden Mitgliedschaften, damit du das nicht für jeden Azubi,Ausbilder etc. neu machen musst.
Grüße Tobi
Jeder Rechner wird in der Domäne registriert? Du meinst die bekommen vom DHCP Server eine Adresse zugewiesen und es wird ein DNS-Eintrag erzeugt?
Schau mal bei den freigebenen Ordner und erweiterte Freigabe, und dann Berechtigungen? tauch da die Benutzergruppe "Jeder" auf?
Mein Tipp: erstelle die Sicherheitsgruppen Ausbilder, Azubis, Facharbeiter.
Alle Ausbilder werden Mitglieder in der Gruppe Ausbilder, Alle Azubis in der Gruppe Azubis, Alle Facharbeiter in der Gruppe Facharbeiter.
Dann gehst du hin und verteilst den Freigegebenen Ordner neu Berechtigungen:
Ordner Azubis bekommen Azubis, Ausbilder, Fachkräfte und die gewünschten Administratoren (meinetwegen Domänenadmins, wobei...) dann kannst du lesen schreiben etc. nach wunsch verändern.
Auf den Ordner Ausbilder sollen die Azubis keinen Zugriff haben, vermute ich, also verteilst du die Berechtigungen dementsprechend. usw usw.
Um dir die Arbeit zu erleichtern würde ich dann Benutzerrollen im AD anlegen, mit den entsprechenden Mitgliedschaften, damit du das nicht für jeden Azubi,Ausbilder etc. neu machen musst.
Grüße Tobi
Wenn alle deine Rechner eine Statische IP haben dann kannst du den DHCP Server ja deaktivieren dann bekommen die laptops auch keine IP und haben somit keinen zugriff auf das netzwerk. natürlich solltest du auch die berechtigungen wie oben von tobi beschrieben vergeben.
LG
LG
Es ist auf dem Server überhaupt kein DHCP installiert. Und die Rechner die von außen (privat) kommen haben selbst eine feste IP Adresse. (Dies sind rechner mit Windows 7)
Benutzergruppen sind angelegt, Ordner auch soweit nur für diese Gruppen freigegeben. Allerdings kommen die Leute mit ihren privat Laptops ja immernoch auf die Ordner solange sie den Pfad zu ihren datein wissen (zb. \\ABW-SERVER-2011\Azubis\201) dann müssen sie zwar eine Passwart abfrage durchlaufen aber das Passwort für ihre Dateien wissen sie ja & somit kommen sie mit ihren Laptops auch auf ihre Datein)
Es geht mir halt nur darum das sie da überhaupt kein zugriff mehr von privaten Laptops haben.
Benutzergruppen sind angelegt, Ordner auch soweit nur für diese Gruppen freigegeben. Allerdings kommen die Leute mit ihren privat Laptops ja immernoch auf die Ordner solange sie den Pfad zu ihren datein wissen (zb. \\ABW-SERVER-2011\Azubis\201) dann müssen sie zwar eine Passwart abfrage durchlaufen aber das Passwort für ihre Dateien wissen sie ja & somit kommen sie mit ihren Laptops auch auf ihre Datein)
Es geht mir halt nur darum das sie da überhaupt kein zugriff mehr von privaten Laptops haben.
Hallo,
Gruß,
Peter
Zitat von @voXdie:
Es geht mir halt nur darum das sie da überhaupt kein zugriff mehr von privaten Laptops haben.
Am Switch die MAC nicht erlauben?Es geht mir halt nur darum das sie da überhaupt kein zugriff mehr von privaten Laptops haben.
Gruß,
Peter
Wenn kein DHCP lauft und die clients private IPs haben müssten die ja zufällig das selbe subnet haben wie dein netzwerk um darauf zugreifen zu können ? wenn du Windows 2008 Server hast würde ich mal IP v6 abschalten und schaun obs immer noch geht.
LG
LG
- Switch ist nicht intelligent
- IP v6 ist aus
- IP v6 ist aus
Also laut einem ähnlichen artikel den ich gelesen habe kommt dieses eingabefenster nur wenn für einen Rechner oder benutzer keine Rechte definiert sind.
Das bedeutet wenn du auf deinen Freigaben die Berechtigung vergibst JEDER zugriff verweigert sollte keine Eingabeaufforderung für benutzername und kennwort mehr kommen.
Dann kommt nur noch die Meldung Zugriff verweigert.
LG
Das bedeutet wenn du auf deinen Freigaben die Berechtigung vergibst JEDER zugriff verweigert sollte keine Eingabeaufforderung für benutzername und kennwort mehr kommen.
Dann kommt nur noch die Meldung Zugriff verweigert.
LG
Hallo,
@ all
Aber er will ja RECHNER Sperren, nicht die Benutzer. Und wenn die Azubis die Netze kennen, können die sich selbst IPs vergeben, egal ob DHCP läuft oder nicht. Und IPv6 ausschalten, was soll das bringen? Hier hilft nur die MAC am Switch sperren oder Zertifikate für die RECHNER oder RADIUS usw. Wenn das aber alles nicht vorhanden ist, dann geht es nicht. Dann kann jeder Rechner sich im Netzwerk tummeln, egal ob Domänencomputer oder Workgroup oder Laptop vom UPS Fahrer.
Schau dir mal die Anleitung von @aqui Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch an.
Gruß,
Peter
Zitat von @Ausserwoeger:
Also laut einem ähnlichen artikel den ich gelesen habe kommt dieses eingabefenster nur wenn für einen Rechner oder
benutzer keine Rechte definiert sind.
Das ist richtig.Also laut einem ähnlichen artikel den ich gelesen habe kommt dieses eingabefenster nur wenn für einen Rechner oder
benutzer keine Rechte definiert sind.
@ all
Aber er will ja RECHNER Sperren, nicht die Benutzer. Und wenn die Azubis die Netze kennen, können die sich selbst IPs vergeben, egal ob DHCP läuft oder nicht. Und IPv6 ausschalten, was soll das bringen? Hier hilft nur die MAC am Switch sperren oder Zertifikate für die RECHNER oder RADIUS usw. Wenn das aber alles nicht vorhanden ist, dann geht es nicht. Dann kann jeder Rechner sich im Netzwerk tummeln, egal ob Domänencomputer oder Workgroup oder Laptop vom UPS Fahrer.
Schau dir mal die Anleitung von @aqui Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch an.
Gruß,
Peter
Wenn er die Gruppe Jeder auf einer Freigabe sperrt kommt bei den Pcs die nicht in der Domain keine benutzeranmeldung mehr und bei Rechnern die in der Domain sind wird automatisch der Angemeldete benutzer zum anmelden auf der Freigebe verwendet.
Ich dachte genau das ist gewünscht ? Von Rechner Sperren ist hier nicht die rede. Wenn er auch den Intenetzugriff der Privaten laptops sperren will und den kompletten zugriff ins netz braucht er einen Switch den man managen kann oder einen Radius usw.
Ich denke er will nur den zugriff auf die Freigeben sperren.
LG
Ich dachte genau das ist gewünscht ? Von Rechner Sperren ist hier nicht die rede. Wenn er auch den Intenetzugriff der Privaten laptops sperren will und den kompletten zugriff ins netz braucht er einen Switch den man managen kann oder einen Radius usw.
Ich denke er will nur den zugriff auf die Freigeben sperren.
LG
Die Standardlösung hat noch niemand geschrieben: Anmeldeberechtigungen restriktiv halten (Im ADUC auf dem Reiter "Konto" unter "anmelden an")
Standard ist: jeder Domänenbenutzer darf sich überall anmelden (auch auf Nicht-Mitgliedern) - das lässt sich ändern, bedeutet jedoch evtl. erheblichen Aufwand. Dafür ist es zuverlässig und kostenlos.
Standard ist: jeder Domänenbenutzer darf sich überall anmelden (auch auf Nicht-Mitgliedern) - das lässt sich ändern, bedeutet jedoch evtl. erheblichen Aufwand. Dafür ist es zuverlässig und kostenlos.
