xneb20
Goto Top

Abfragen von Gruppenmitgliedschaften eines Benutzers in einer fremden Domäne

Hallo zusammen,

Mein Problem ist ziemlich verzwickt.
Wir haben einige Mitarbeiter, die auch mal zu Hause noch arbeiten. Das wäre ja kein Problem, aber leider haben die meisten unserer Mitarbeiter keinen Laptop und müssen deshalb ihren Privatrechner, der natürlich nicht in der Domäne ist, benutzen.

Jetzt versuche ich schon seit Tagen, ein Batch-Script zu schreiben, welches folgendes machen soll:

  • prüfen, welchen Benutzergruppen der Mitarbeiter angehört
Natürlich ist der Benutzername ein anderer als der auf dem privaten PC, dies musste der Mitarbeiter dann nun mal selbst eingeben.

  • ein Netzwerklaufwerk hinzufügen und sich dort mit dem Domänenbenutzernamen anmelden

Am Ende sollen also auf dem Privatrechner des Mitarbeiters, je nach Benutzergruppe, verschiedene Netzwerklaufwerke hinzugefügt sein.

Aufgrund von Sicherheits- und Stromsparmaßnahmen werden ab 22 Uhr alle Computer bei uns zentral heruntergefahren. Es gibt dann nur noch den Domänencontroller, der gleichzeitig auch die Freigabe hostet.

Habt ihr da irgendwelche Ideen, wie man das realisieren könnte?

Vielen Dank im Voraus!

Content-ID: 441166

Url: https://administrator.de/contentid/441166

Ausgedruckt am: 08.11.2024 um 11:11 Uhr

itisnapanto
itisnapanto 16.04.2019 um 15:27:31 Uhr
Goto Top
Moin ,

Du lässt nicht gemanagte (private) Laptops per VPN in dein Firmennetzwerk ??
Absolutes No-Go!

Und den DC nutzt man auch nicht als Fileserver.

Also mache es richtig . Stellt den Mitarbeitern Geräte, bringt diese in die Domäne und sichert diese entsprechend ab.

Wie realisiert ihr das VPN ?

Gruss
Kraemer
Kraemer 16.04.2019 um 15:38:00 Uhr
Goto Top
Moin,

das was du da vor hast ist Harakiri.
Lasst entweder die Rechner laufen btw. weckt die per WOL auf, oder installiert einen Terminalserver.

Gruß
emeriks
emeriks 16.04.2019 um 15:45:25 Uhr
Goto Top
Stichwort: Terminalserver
Pjordorf
Pjordorf 16.04.2019 um 15:47:20 Uhr
Goto Top
Hallo,

Zitat von @xneb20:
Habt ihr da irgendwelche Ideen, wie man das realisieren könnte?
Zuallererst Private Rechner gehören nicht in deine Domäne, auch nicht maal eben. Das st ein NoGo. Als Beispiel sei mal genannt: Du darfst auf diesen eurer Firma fren´mdes Eigentum nicht mal eben eine Software Installieren, Lösche, irgendetwas ändern usw. Deswegen stellen die Arbeitgeber diesen Mitarbeitern die Hardware, inkl. Router und Internetanschluß. Denn da bestimmt der Arbeitgeben was damit dar oder nicht darf.
Oder es wird eine TermenalServer Umgebunbung aufgebaut und genutzt.Da bleiben dann sogar alle Dokumente am Firmenstandort und verlassen diesen nicht.
Auch ist die Gefahr eines Virus oder Trojaners weitgehenst reduziert, welche aber von den getroffenen Einstellungen abhängig ist.

Deine Bastellösung brauchst dann auch nicht mehr. Firma = Firma, Privat = Privat.

Gruß,
Peter
xneb20
xneb20 16.04.2019 um 16:57:58 Uhr
Goto Top
Vielen lieben Dank erst einmal für Antworten.

Zum Thema Sicherheit: das Ganze ist eine Nebendomäne, die keine vertrauliche oder sensible Daten beinhaltet. Sie ist von der Hauptdomäne komplett unabhängig. Deshalb ist der Domänencontroller in diesem Fall auch gleichzeitig der Fileserver (eingeschränkte Ressourcen).

Das mit dem Terminalserver ist so eine Sache. Ich befürchte, das kommt aufgrund fehlender Rechenleistung nicht in Frage. Leider habe ich für diese Nebendomäne nur einen Server zur Verfügung.

Gibt es keine andere Möglichkeit?
Pjordorf
Pjordorf 16.04.2019 um 19:22:33 Uhr
Goto Top
Hallo,

Zitat von @xneb20:
Gibt es keine andere Möglichkeit?
Solange hier keiner weiß was die Clients genaus tun sollen (Die Benuter und die Rechner) und mit welchen rechten usw. diese agieren sollen, kannst du nicht erwarten das du mehr als diese Vorschläge bekommen kannst, auch nicht wenn wir alles andere noch wissen sollten. Zu sagen das du nur einen Maschine hast, hiklfz weder uns noch dir dir. Aber du willst ja etwas realisieren aber zu wenige Resourcen hast.
Stell für jeden Aussendienstler einein lokalen Rechner auf, nutze VPN und lass die Aussendienstler per RDP sich verbinden, oder nutze sachen wie TeamViewer usw. Ihr habt doch noch irgendwo alte Rechner rumstehen, oder? Egal wie du es bastelst, es wird ein Bastelobjekt bleiben und wird dem Sicherheitsbedürfniss der Firma nicht gerecht. Eine Nebendomäne bietet keinerlei Sicherheit, was auch immer ein Nebendomäne sein soll. Da ist nichts irgedwie getrennt.

Gruß,
Peter
Penny.Cilin
Penny.Cilin 17.04.2019 um 08:21:46 Uhr
Goto Top
Zitat von @xneb20:

Vielen lieben Dank erst einmal für Antworten.
Moin.

Zum Thema Sicherheit: das Ganze ist eine Nebendomäne, die keine vertrauliche oder sensible Daten beinhaltet.
Erkläre uns doch mal, was ist eine Nebendomäne. Was Du als Nebendomäne nennst, ist vielleicht eine Subdomain, oder eine Site.
Ist das eine RODC (Readonly Domaincontroller)?

Sie ist von der Hauptdomäne komplett unabhängig. Deshalb ist der Domänencontroller in diesem Fall auch gleichzeitig der Fileserver (eingeschränkte Ressourcen).
Und dann ist dieser auch noch Fileserver (Dateiserver)? Das ist ein Designfehler. Warum man das so gemacht hat, wissen wir nicht, möglicherweise aus der Historie gewachsen.

Und zu guter Letzt: Wenn Mitarbeiter das mitmachen, dass Ihre Privatrechner für dienstliche Zwecke genutzt werden, wer kommt für die Schäden auf, wenn die Rechner wegen Virenbefall neu installiert werden müssen? @Pjordorf.">Siehe Kommentar von @Pjordorf.

Gruss Penny.
SaschaRD
SaschaRD 17.04.2019 aktualisiert um 09:57:27 Uhr
Goto Top
Hallo @xneb20,

die Beste und sicherste Variante wäre es einen Terminalserver aufzubauen, wie die anderen Damen und Herren bereits geschrieben haben. Da dies aus Mangel an Ressource nicht möglich ist, ist hier eine mögliche Hilfestellung für deine Frage.

Anstatt die Privatcomputer deiner Kollegen zu monitoren und diese Hand an ihrer Berechtigungen im AD die Laufwerke zuzweisen, wäre es einfacher, wenn deine Kollegen nachdem erfolgreichen Aufbau der VPN-Verbindung ein Batchskript/PowerShell ausführen um die Laufwerke zu mappen.

Könnte z.B. so realisiert
@echo off

set filer = "192.168.1.1"  

:: Netzwerk-Laufwerkspfadangaben
set H=H: "\\%filer%\home\hansmeier"  
set N=N: "\\%filer%\data"  

:: Benutzer- und Passwortangaben
set user = "XYZ"  
set password = "PW"  

echo Hallo, Netzwerkverbindung wird ueberprueft, bitte warten..
:: Verbindung zum Fileserver herstellen.
ping -n 3 %filer% >NUL 
IF ERRORLEVEL = 1 (
	echo Verbindung zum Fileserver nicht moeglich, VPN-Verbindung vorhanden?
	) ELSE (
		echo Verbindung zum Server war erfolgreich!
		echo Binde die Laufwerke an:
		net use %H% | echo Binde %H% an.
                net use %N% | echo Binde %N% an.
	)
exit

Gruß, Sascha