Active Directory Gastbenutzer ohne Rechte
Hallo,
im Büro wird ein WLAN zur Verfügung gestellt, das mittels WPA2-Enterprise gesichert ist und deren Authorisierung der RADIUS-Server auf dem Domänencontroller (Windows Server 2008, NICHT R2) übernimmt. Dabei sind alle Benutzer, die berechtigt sind, sich mit dem WLAN zu verbinden, Mitglied einer Gruppe namens "Wireless Users". So weit, so gut. Dies funktioniert alles prächtig. Zusätzlich ist das WLAN per MAC-Filter gesichert, indem nur erlaubte Geräte auf den AccessPoints eingetragen sind.
Nun möchte ich gerne ausgewählten Außenstehenden (externe Geschätspartner, Besucher etc.) den Zugriff auf das WLAN erlauben, damit diese die Internetverbindung nutzen können. Selbstverständlich haben diese Leute kein Benutzerkonto im Active Directory und das soll sich auch nicht ändern. Ich hatte daran gedacht, einen Benutzer im AD namens "guest" anzulegen, der Mitglied der Gruppe "Wireless Users" ist, und damit berechtigt ist, sich mit dem WLAN zu verbinden. An der Stelle soll aber auch Schluss sein. Insbesondere darf sich dieser Benutzer "guest" an KEINEM Computer im Büro anmelden können, keinerlei Zugriff auf irgendwelche Netzwerkressourcen haben (Freigaben etc.), sondern eben ausschließlich den WLAN-Zugriff auf die Internetverbindung herstellen.
Ist so etwas möglich? Wie kann ich einen Nutzer anlegen, der im Prinzip "nichts darf"? Also wirklich absolut nichts, sich nicht mal irgendwo anmelden darf. Einzige Ausnahme eben die Herstellung einer WLAN-Verbindung.
Was haltet ihr von der Idee und wie habt ihr ein solches "Problem" gelöst?
Viele Grüße aus Paderborn,
Peter
im Büro wird ein WLAN zur Verfügung gestellt, das mittels WPA2-Enterprise gesichert ist und deren Authorisierung der RADIUS-Server auf dem Domänencontroller (Windows Server 2008, NICHT R2) übernimmt. Dabei sind alle Benutzer, die berechtigt sind, sich mit dem WLAN zu verbinden, Mitglied einer Gruppe namens "Wireless Users". So weit, so gut. Dies funktioniert alles prächtig. Zusätzlich ist das WLAN per MAC-Filter gesichert, indem nur erlaubte Geräte auf den AccessPoints eingetragen sind.
Nun möchte ich gerne ausgewählten Außenstehenden (externe Geschätspartner, Besucher etc.) den Zugriff auf das WLAN erlauben, damit diese die Internetverbindung nutzen können. Selbstverständlich haben diese Leute kein Benutzerkonto im Active Directory und das soll sich auch nicht ändern. Ich hatte daran gedacht, einen Benutzer im AD namens "guest" anzulegen, der Mitglied der Gruppe "Wireless Users" ist, und damit berechtigt ist, sich mit dem WLAN zu verbinden. An der Stelle soll aber auch Schluss sein. Insbesondere darf sich dieser Benutzer "guest" an KEINEM Computer im Büro anmelden können, keinerlei Zugriff auf irgendwelche Netzwerkressourcen haben (Freigaben etc.), sondern eben ausschließlich den WLAN-Zugriff auf die Internetverbindung herstellen.
Ist so etwas möglich? Wie kann ich einen Nutzer anlegen, der im Prinzip "nichts darf"? Also wirklich absolut nichts, sich nicht mal irgendwo anmelden darf. Einzige Ausnahme eben die Herstellung einer WLAN-Verbindung.
Was haltet ihr von der Idee und wie habt ihr ein solches "Problem" gelöst?
Viele Grüße aus Paderborn,
Peter
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 188890
Url: https://administrator.de/forum/active-directory-gastbenutzer-ohne-rechte-188890.html
Ausgedruckt am: 25.12.2024 um 13:12 Uhr
6 Kommentare
Neuester Kommentar
Moin.
Die Anmeldeberechtigungen kannst Du direkt im Userobjekt beschneiden (Knopf: "anmelden an"). Zugriffe auf Shares kannst Du unterbinden, indem Du evtl. die Policy "Zugriff auf diesen Computer vom Netzwerk verweigern" nutzt. Aber zwingend brauchen wirst Du diese nur, wenn Du Shares hast, auf die die Gruppe "Jeder" Zugriff hat.
Die Anmeldeberechtigungen kannst Du direkt im Userobjekt beschneiden (Knopf: "anmelden an"). Zugriffe auf Shares kannst Du unterbinden, indem Du evtl. die Policy "Zugriff auf diesen Computer vom Netzwerk verweigern" nutzt. Aber zwingend brauchen wirst Du diese nur, wenn Du Shares hast, auf die die Gruppe "Jeder" Zugriff hat.
Gib doch eine Phantasieworkstation zur Anmeldeberechtigung an und fertig, dann springt nichts zurück (Du hast Recht, das Zurückspringen hatte ich auch mal bemerkkt - böse Falle!).
Wegen der Shares: im Zweifel einfach die Policy benutzen. Beispiel: GastuserA und GastuserB sind sowohl Mitglieder in Wireless, als auch in einer Gruppe "keinFreigabezugriff". Letztere Gruppe wird dann mit der GPO "Zugriff auf diesen Computer vom Netzwerk verweigern" generell ausgesperrt.
Wegen der Shares: im Zweifel einfach die Policy benutzen. Beispiel: GastuserA und GastuserB sind sowohl Mitglieder in Wireless, als auch in einer Gruppe "keinFreigabezugriff". Letztere Gruppe wird dann mit der GPO "Zugriff auf diesen Computer vom Netzwerk verweigern" generell ausgesperrt.
Hi
ich würde vorschlagen die Gäste in ein eigenes VLAN zu verfrachten aus dem sie nur ins Internet kommen. Idealerweise kann dein AP mehrere SSID parallel fahren. Dann richtest du ein eigenes WLAN für die Gäste ein. Zusätzlich kann man auch ein Captive-Portal einrichten, an dem Sie sich authentifizieren können.
Kommt halt drauf an was für Hardware du zur Verfügung hast.
LG
ich würde vorschlagen die Gäste in ein eigenes VLAN zu verfrachten aus dem sie nur ins Internet kommen. Idealerweise kann dein AP mehrere SSID parallel fahren. Dann richtest du ein eigenes WLAN für die Gäste ein. Zusätzlich kann man auch ein Captive-Portal einrichten, an dem Sie sich authentifizieren können.
Kommt halt drauf an was für Hardware du zur Verfügung hast.
LG
genau, separate SSID auf einem separaten VLAN und ggf. ein Capt. Portal dazu, dann hast ein offens WLAN wo sich die Leute aber anmelden müssen, so verlierst nicht die Kontrolle darüber wer sich alles anmeldet. Evtl. ein passendes Ticket-System dazu und gut ist (Anleitung hier im Forum von Aqui).
Gäste ins Domänen-Netz zu lassen würde ich grundsätzlich nicht machen.
Gäste ins Domänen-Netz zu lassen würde ich grundsätzlich nicht machen.