Laufwerkverbinden mit dedizierten Server
Hallo,
ich möchte einem Domänenuser, welcher sich über VPN in unser Netzwerk einwählt, das Recht geben, sich nur mit einem Server (für Netzwerklaufwerke) zu verbinden.
Dazu habe ich in den Eigenschaften des AD-Kontos des Benutzers unter "Konto" - "Anmelden an... " bei folgenden Computer nur die DCs und den betreffenden Server eingetragen. Leider kann ich kein Laufwerkmapping vornehmen. Ändere ich in den Kontoeinstellungen des Users bei "Anmelden an..." wieder auf "Allen Computern", funktioniert das Verbinden der Laufwerke.
Kann mir jemand sagen, was ich noch einstellen muss, damit mein Wunsch-Konstrukt funktioniert?
ich möchte einem Domänenuser, welcher sich über VPN in unser Netzwerk einwählt, das Recht geben, sich nur mit einem Server (für Netzwerklaufwerke) zu verbinden.
Dazu habe ich in den Eigenschaften des AD-Kontos des Benutzers unter "Konto" - "Anmelden an... " bei folgenden Computer nur die DCs und den betreffenden Server eingetragen. Leider kann ich kein Laufwerkmapping vornehmen. Ändere ich in den Kontoeinstellungen des Users bei "Anmelden an..." wieder auf "Allen Computern", funktioniert das Verbinden der Laufwerke.
Kann mir jemand sagen, was ich noch einstellen muss, damit mein Wunsch-Konstrukt funktioniert?
Please also mark the comments that contributed to the solution of the article
Content-Key: 584002
Url: https://administrator.de/contentid/584002
Printed on: April 19, 2024 at 22:04 o'clock
4 Comments
Latest comment
Hi.
"Anmelden an" bedeutet, lokales Anmelden an den Maschinen oder aber authentifizieren auf den Maschinen (=ich darf auf dem eingetragenen Rechner mein Kennwort eingeben, um Resourcen im Netzwerk zu erreichen)
Es bedeutet nicht, dass man sich an den eingetragenen Servern damit via Netzwerk authentifizieren kann.
Was Du willst, kannst Du auf zwei Wegen erreichen:
-Entweder, du stellst Zugriffsberechtigungen der Netzlaufwerke eben so ein, dass er nur auf den einen Server Zugriff hat, oder
-Du erstellst Firewallregeln, die auf den unerwünschten Servern Port 445 (Port für Freigaben) eben nicht für den IP-Bereich des VPNs erreichbar machen
"Anmelden an" bedeutet, lokales Anmelden an den Maschinen oder aber authentifizieren auf den Maschinen (=ich darf auf dem eingetragenen Rechner mein Kennwort eingeben, um Resourcen im Netzwerk zu erreichen)
Es bedeutet nicht, dass man sich an den eingetragenen Servern damit via Netzwerk authentifizieren kann.
Was Du willst, kannst Du auf zwei Wegen erreichen:
-Entweder, du stellst Zugriffsberechtigungen der Netzlaufwerke eben so ein, dass er nur auf den einen Server Zugriff hat, oder
-Du erstellst Firewallregeln, die auf den unerwünschten Servern Port 445 (Port für Freigaben) eben nicht für den IP-Bereich des VPNs erreichbar machen
Hi,
das "Anmelden an" auf DC und FS einzuschränken, ist natürlich Unsinn. Hier werden, wenn überhaupt, jene Computer eingetragen, an welchen sich ein Konto interaktiv oder als Task oder Dienst anmelden darf.
Was genau willst Du eigentlich einschränken?
a) Benutzer darf generell nur mit Daten eines Fileservers arbeiten
a) Benutzer darf nur mit Daten eines Fileservers arbeiten wenn er über VPN kommt
zu a)
Dann eben nur dort Berechtigungen erteilen
zu b)
per Firewall einschränken
E.
das "Anmelden an" auf DC und FS einzuschränken, ist natürlich Unsinn. Hier werden, wenn überhaupt, jene Computer eingetragen, an welchen sich ein Konto interaktiv oder als Task oder Dienst anmelden darf.
Was genau willst Du eigentlich einschränken?
a) Benutzer darf generell nur mit Daten eines Fileservers arbeiten
a) Benutzer darf nur mit Daten eines Fileservers arbeiten wenn er über VPN kommt
zu a)
Dann eben nur dort Berechtigungen erteilen
zu b)
per Firewall einschränken
E.
Moin,
Das ist ein einfacher und nicht unüblicher Wunsch.
Was nicht wirklich zielführend ist. Am DC kann sich der User niemals anmelden, es sei denn, er ist ein Admin. Am Server, wenn es kein Terminalserver ist, wird er sich auch nicht anmelden wollen und hoffentlich auch nicht können. Was mit "Anmelden an..." gemeint ist, sind die Clients, an denen der User arbeitet.
Natürlich nicht. Du hast ja verboten, dass er sich auf dem Client, auf dem er arbeitet, anmelden darf.
Die richtige Vorgehensweise: Du stellst in der Firewall des VPN-Gateways ein, dass der User nur Zugriff via VPN auf diesen Server haben darf und gut ist. Den Rest auf dem Server regelst Du mit NTFS-Rechten.
hth
Erik
Zitat von @Dabinam:
ich möchte einem Domänenuser, welcher sich über VPN in unser Netzwerk einwählt, das Recht geben, sich nur mit einem Server (für Netzwerklaufwerke) zu verbinden.
ich möchte einem Domänenuser, welcher sich über VPN in unser Netzwerk einwählt, das Recht geben, sich nur mit einem Server (für Netzwerklaufwerke) zu verbinden.
Das ist ein einfacher und nicht unüblicher Wunsch.
Dazu habe ich in den Eigenschaften des AD-Kontos des Benutzers unter "Konto" - "Anmelden an... " bei folgenden Computer nur die DCs und den betreffenden Server eingetragen.
Was nicht wirklich zielführend ist. Am DC kann sich der User niemals anmelden, es sei denn, er ist ein Admin. Am Server, wenn es kein Terminalserver ist, wird er sich auch nicht anmelden wollen und hoffentlich auch nicht können. Was mit "Anmelden an..." gemeint ist, sind die Clients, an denen der User arbeitet.
Leider kann ich kein Laufwerkmapping vornehmen.
Natürlich nicht. Du hast ja verboten, dass er sich auf dem Client, auf dem er arbeitet, anmelden darf.
Kann mir jemand sagen, was ich noch einstellen muss, damit mein Wunsch-Konstrukt funktioniert?
Die richtige Vorgehensweise: Du stellst in der Firewall des VPN-Gateways ein, dass der User nur Zugriff via VPN auf diesen Server haben darf und gut ist. Den Rest auf dem Server regelst Du mit NTFS-Rechten.
hth
Erik