Abfragen von Gruppenmitgliedschaften eines Benutzers in einer fremden Domäne
Hallo zusammen,
Mein Problem ist ziemlich verzwickt.
Wir haben einige Mitarbeiter, die auch mal zu Hause noch arbeiten. Das wäre ja kein Problem, aber leider haben die meisten unserer Mitarbeiter keinen Laptop und müssen deshalb ihren Privatrechner, der natürlich nicht in der Domäne ist, benutzen.
Jetzt versuche ich schon seit Tagen, ein Batch-Script zu schreiben, welches folgendes machen soll:
Am Ende sollen also auf dem Privatrechner des Mitarbeiters, je nach Benutzergruppe, verschiedene Netzwerklaufwerke hinzugefügt sein.
Aufgrund von Sicherheits- und Stromsparmaßnahmen werden ab 22 Uhr alle Computer bei uns zentral heruntergefahren. Es gibt dann nur noch den Domänencontroller, der gleichzeitig auch die Freigabe hostet.
Habt ihr da irgendwelche Ideen, wie man das realisieren könnte?
Vielen Dank im Voraus!
Mein Problem ist ziemlich verzwickt.
Wir haben einige Mitarbeiter, die auch mal zu Hause noch arbeiten. Das wäre ja kein Problem, aber leider haben die meisten unserer Mitarbeiter keinen Laptop und müssen deshalb ihren Privatrechner, der natürlich nicht in der Domäne ist, benutzen.
Jetzt versuche ich schon seit Tagen, ein Batch-Script zu schreiben, welches folgendes machen soll:
- prüfen, welchen Benutzergruppen der Mitarbeiter angehört
- ein Netzwerklaufwerk hinzufügen und sich dort mit dem Domänenbenutzernamen anmelden
Am Ende sollen also auf dem Privatrechner des Mitarbeiters, je nach Benutzergruppe, verschiedene Netzwerklaufwerke hinzugefügt sein.
Aufgrund von Sicherheits- und Stromsparmaßnahmen werden ab 22 Uhr alle Computer bei uns zentral heruntergefahren. Es gibt dann nur noch den Domänencontroller, der gleichzeitig auch die Freigabe hostet.
Habt ihr da irgendwelche Ideen, wie man das realisieren könnte?
Vielen Dank im Voraus!
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 441166
Url: https://administrator.de/contentid/441166
Ausgedruckt am: 25.11.2024 um 17:11 Uhr
8 Kommentare
Neuester Kommentar
Hallo,
Zuallererst Private Rechner gehören nicht in deine Domäne, auch nicht maal eben. Das st ein NoGo. Als Beispiel sei mal genannt: Du darfst auf diesen eurer Firma fren´mdes Eigentum nicht mal eben eine Software Installieren, Lösche, irgendetwas ändern usw. Deswegen stellen die Arbeitgeber diesen Mitarbeitern die Hardware, inkl. Router und Internetanschluß. Denn da bestimmt der Arbeitgeben was damit dar oder nicht darf.
Oder es wird eine TermenalServer Umgebunbung aufgebaut und genutzt.Da bleiben dann sogar alle Dokumente am Firmenstandort und verlassen diesen nicht.
Auch ist die Gefahr eines Virus oder Trojaners weitgehenst reduziert, welche aber von den getroffenen Einstellungen abhängig ist.
Deine Bastellösung brauchst dann auch nicht mehr. Firma = Firma, Privat = Privat.
Gruß,
Peter
Zuallererst Private Rechner gehören nicht in deine Domäne, auch nicht maal eben. Das st ein NoGo. Als Beispiel sei mal genannt: Du darfst auf diesen eurer Firma fren´mdes Eigentum nicht mal eben eine Software Installieren, Lösche, irgendetwas ändern usw. Deswegen stellen die Arbeitgeber diesen Mitarbeitern die Hardware, inkl. Router und Internetanschluß. Denn da bestimmt der Arbeitgeben was damit dar oder nicht darf.
Oder es wird eine TermenalServer Umgebunbung aufgebaut und genutzt.Da bleiben dann sogar alle Dokumente am Firmenstandort und verlassen diesen nicht.
Auch ist die Gefahr eines Virus oder Trojaners weitgehenst reduziert, welche aber von den getroffenen Einstellungen abhängig ist.
Deine Bastellösung brauchst dann auch nicht mehr. Firma = Firma, Privat = Privat.
Gruß,
Peter
Hallo,
Solange hier keiner weiß was die Clients genaus tun sollen (Die Benuter und die Rechner) und mit welchen rechten usw. diese agieren sollen, kannst du nicht erwarten das du mehr als diese Vorschläge bekommen kannst, auch nicht wenn wir alles andere noch wissen sollten. Zu sagen das du nur einen Maschine hast, hiklfz weder uns noch dir dir. Aber du willst ja etwas realisieren aber zu wenige Resourcen hast.
Stell für jeden Aussendienstler einein lokalen Rechner auf, nutze VPN und lass die Aussendienstler per RDP sich verbinden, oder nutze sachen wie TeamViewer usw. Ihr habt doch noch irgendwo alte Rechner rumstehen, oder? Egal wie du es bastelst, es wird ein Bastelobjekt bleiben und wird dem Sicherheitsbedürfniss der Firma nicht gerecht. Eine Nebendomäne bietet keinerlei Sicherheit, was auch immer ein Nebendomäne sein soll. Da ist nichts irgedwie getrennt.
Gruß,
Peter
Solange hier keiner weiß was die Clients genaus tun sollen (Die Benuter und die Rechner) und mit welchen rechten usw. diese agieren sollen, kannst du nicht erwarten das du mehr als diese Vorschläge bekommen kannst, auch nicht wenn wir alles andere noch wissen sollten. Zu sagen das du nur einen Maschine hast, hiklfz weder uns noch dir dir. Aber du willst ja etwas realisieren aber zu wenige Resourcen hast.
Stell für jeden Aussendienstler einein lokalen Rechner auf, nutze VPN und lass die Aussendienstler per RDP sich verbinden, oder nutze sachen wie TeamViewer usw. Ihr habt doch noch irgendwo alte Rechner rumstehen, oder? Egal wie du es bastelst, es wird ein Bastelobjekt bleiben und wird dem Sicherheitsbedürfniss der Firma nicht gerecht. Eine Nebendomäne bietet keinerlei Sicherheit, was auch immer ein Nebendomäne sein soll. Da ist nichts irgedwie getrennt.
Gruß,
Peter
Moin.
Zum Thema Sicherheit: das Ganze ist eine Nebendomäne, die keine vertrauliche oder sensible Daten beinhaltet.
Erkläre uns doch mal, was ist eine Nebendomäne. Was Du als Nebendomäne nennst, ist vielleicht eine Subdomain, oder eine Site.
Ist das eine RODC (Readonly Domaincontroller)?
Sie ist von der Hauptdomäne komplett unabhängig. Deshalb ist der Domänencontroller in diesem Fall auch gleichzeitig der Fileserver (eingeschränkte Ressourcen).
Und dann ist dieser auch noch Fileserver (Dateiserver)? Das ist ein Designfehler. Warum man das so gemacht hat, wissen wir nicht, möglicherweise aus der Historie gewachsen.
Und zu guter Letzt: Wenn Mitarbeiter das mitmachen, dass Ihre Privatrechner für dienstliche Zwecke genutzt werden, wer kommt für die Schäden auf, wenn die Rechner wegen Virenbefall neu installiert werden müssen? @Pjordorf.">Siehe Kommentar von @Pjordorf.
Gruss Penny.
Zum Thema Sicherheit: das Ganze ist eine Nebendomäne, die keine vertrauliche oder sensible Daten beinhaltet.
Ist das eine RODC (Readonly Domaincontroller)?
Sie ist von der Hauptdomäne komplett unabhängig. Deshalb ist der Domänencontroller in diesem Fall auch gleichzeitig der Fileserver (eingeschränkte Ressourcen).
Und dann ist dieser auch noch Fileserver (Dateiserver)? Das ist ein Designfehler. Warum man das so gemacht hat, wissen wir nicht, möglicherweise aus der Historie gewachsen.
Und zu guter Letzt: Wenn Mitarbeiter das mitmachen, dass Ihre Privatrechner für dienstliche Zwecke genutzt werden, wer kommt für die Schäden auf, wenn die Rechner wegen Virenbefall neu installiert werden müssen? @Pjordorf.">Siehe Kommentar von @Pjordorf.
Gruss Penny.
Hallo @xneb20,
die Beste und sicherste Variante wäre es einen Terminalserver aufzubauen, wie die anderen Damen und Herren bereits geschrieben haben. Da dies aus Mangel an Ressource nicht möglich ist, ist hier eine mögliche Hilfestellung für deine Frage.
Anstatt die Privatcomputer deiner Kollegen zu monitoren und diese Hand an ihrer Berechtigungen im AD die Laufwerke zuzweisen, wäre es einfacher, wenn deine Kollegen nachdem erfolgreichen Aufbau der VPN-Verbindung ein Batchskript/PowerShell ausführen um die Laufwerke zu mappen.
Könnte z.B. so realisiert
Gruß, Sascha
die Beste und sicherste Variante wäre es einen Terminalserver aufzubauen, wie die anderen Damen und Herren bereits geschrieben haben. Da dies aus Mangel an Ressource nicht möglich ist, ist hier eine mögliche Hilfestellung für deine Frage.
Anstatt die Privatcomputer deiner Kollegen zu monitoren und diese Hand an ihrer Berechtigungen im AD die Laufwerke zuzweisen, wäre es einfacher, wenn deine Kollegen nachdem erfolgreichen Aufbau der VPN-Verbindung ein Batchskript/PowerShell ausführen um die Laufwerke zu mappen.
Könnte z.B. so realisiert
@echo off
set filer = "192.168.1.1"
:: Netzwerk-Laufwerkspfadangaben
set H=H: "\\%filer%\home\hansmeier"
set N=N: "\\%filer%\data"
:: Benutzer- und Passwortangaben
set user = "XYZ"
set password = "PW"
echo Hallo, Netzwerkverbindung wird ueberprueft, bitte warten..
:: Verbindung zum Fileserver herstellen.
ping -n 3 %filer% >NUL
IF ERRORLEVEL = 1 (
echo Verbindung zum Fileserver nicht moeglich, VPN-Verbindung vorhanden?
) ELSE (
echo Verbindung zum Server war erfolgreich!
echo Binde die Laufwerke an:
net use %H% | echo Binde %H% an.
net use %N% | echo Binde %N% an.
)
exit
Gruß, Sascha