AD Win 2k3 Server - Kontoanmeldung in Relation zur momentanen IP,MAC-adresse,UUID machen.
Also ich habe hier eine Idee und ein damit verbundenes Problem:
Ich habe einen Win 2k3 Server mit AD, DHCP. Alle Clients im Netz sind natürlich NICHT im AD registriert.
Ich plane eine LAN bei der sich die Teilnehmerclients abhängig von Ihrer IP/MACadresse/UUID mit einem Konto anmelden das sich nur unter dieser IP/ MACadresse/UUID anmelden lässt - für die Dauer der LAN.
Gibts da Policyeinstellungen wo ich solche Prüfungen durchführen lassen kann bevor sich die Clients vollständig anmelden können?
Ich möchte eben die Zugriffe (FTP usw) sicherstellen und nachverfolgen können. Und ich will leicht manipulierbare komponenten wie MAC/IP ausschliessen, deshalb die UUID-Prüfung.
Ich hab leider noch keine Idee wie sich so etwas umsetzen ließe.
Wenn jemand eine andere Idee zur genannten Problematik hat wäre ich sehr dankbar.
greetz
Ich habe einen Win 2k3 Server mit AD, DHCP. Alle Clients im Netz sind natürlich NICHT im AD registriert.
Ich plane eine LAN bei der sich die Teilnehmerclients abhängig von Ihrer IP/MACadresse/UUID mit einem Konto anmelden das sich nur unter dieser IP/ MACadresse/UUID anmelden lässt - für die Dauer der LAN.
Gibts da Policyeinstellungen wo ich solche Prüfungen durchführen lassen kann bevor sich die Clients vollständig anmelden können?
Ich möchte eben die Zugriffe (FTP usw) sicherstellen und nachverfolgen können. Und ich will leicht manipulierbare komponenten wie MAC/IP ausschliessen, deshalb die UUID-Prüfung.
Ich hab leider noch keine Idee wie sich so etwas umsetzen ließe.
Wenn jemand eine andere Idee zur genannten Problematik hat wäre ich sehr dankbar.
greetz
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 138538
Url: https://administrator.de/forum/ad-win-2k3-server-kontoanmeldung-in-relation-zur-momentanen-ip-mac-adresse-uuid-machen-138538.html
Ausgedruckt am: 22.12.2024 um 21:12 Uhr
9 Kommentare
Neuester Kommentar
Hallo Lutz!
ullaaallaaaaaaa
Du schreibst, die Clienst sind NICHT im AD registriert. Wofür betreibst Du es dann?
Was meinst Du mit "für die Dauer der LAN"?
stehe ich auf der Leitung, oder sind das Tippfehler...?
Du könntest innerhalb der Gruppenrichtlinienverwaltung einzelne Rechner in eine OU zusammenfassen oder zu einer Gruppe hinzufügen...
Denkbar wäre auch ein VBScript, das nach dem Login überprüft, ob die UUID in einer Liste vorhaden ist und den User im NMgativfall wieder abmeldet...
wenn es nun aber darum geht, Webzugriffe zu Verfolgen, dann ist das ohnehin imho nicht der richtige Weg. Da hilft Dir dann ein ISA oder ähnliches wesentlich besser...
Falls ich irgendetwas grundlegend falsch verstanden habe: Sorry!
gutes gelingen
lg
Edi
ullaaallaaaaaaa
Du schreibst, die Clienst sind NICHT im AD registriert. Wofür betreibst Du es dann?
Was meinst Du mit "für die Dauer der LAN"?
stehe ich auf der Leitung, oder sind das Tippfehler...?
Du könntest innerhalb der Gruppenrichtlinienverwaltung einzelne Rechner in eine OU zusammenfassen oder zu einer Gruppe hinzufügen...
Denkbar wäre auch ein VBScript, das nach dem Login überprüft, ob die UUID in einer Liste vorhaden ist und den User im NMgativfall wieder abmeldet...
wenn es nun aber darum geht, Webzugriffe zu Verfolgen, dann ist das ohnehin imho nicht der richtige Weg. Da hilft Dir dann ein ISA oder ähnliches wesentlich besser...
Falls ich irgendetwas grundlegend falsch verstanden habe: Sorry!
gutes gelingen
lg
Edi
OK!
Jetzt kommt etwas Licht in die Sache...
dh, NICHT im AD ist korrekt...
Dann kannst Du aber die Idee mit
Woher sollen Deine Admin-Schreibrechte für die Registry der Clients kommen (auf die Du ja per GPO zugreifst), wenn sie nicht Mitglied im AD sind und Du folgedessen auch nicht deren Administrator?
Du brauchst ein völlig anderes Konzept.
Vorweg: was anderes als am Proxyserver die Quell- und Ziel-IP-Adressen zu Protokollieren wird nicht funktionieren...
(lasse mich aber gerne eines Besseren belehren...)
Was soll den herauskommen? Was sind Deine Mindestanforderungen an die Sicherheit deiner Lanparty?
Jetzt kommt etwas Licht in die Sache...
dh, NICHT im AD ist korrekt...
Dann kannst Du aber die Idee mit
abhängig von Ihrer IP/MACadresse/UUID mit einem Konto anmelden
undGrouppolicy
gleich vergessen! Wie soll sich jemand im AD anmelden, wenn der Client nicht Mitglied ist?Woher sollen Deine Admin-Schreibrechte für die Registry der Clients kommen (auf die Du ja per GPO zugreifst), wenn sie nicht Mitglied im AD sind und Du folgedessen auch nicht deren Administrator?
Du brauchst ein völlig anderes Konzept.
Vorweg: was anderes als am Proxyserver die Quell- und Ziel-IP-Adressen zu Protokollieren wird nicht funktionieren...
(lasse mich aber gerne eines Besseren belehren...)
Was soll den herauskommen? Was sind Deine Mindestanforderungen an die Sicherheit deiner Lanparty?
Sorry, aber Dein Ansatz ist wirklich falsch!
wenn sich jemand mit 100@domain.local anmeldet, dann musst du
1.) diesen user im AD anlegen
2.) er meldet sich als USER und nicht als MACHINE an
es ist also mit diesem Ansatz nicht möglich, jemanden daran zu hindern, dass er seinen nachbar um dessen Kennung fragt und sich dann an seiner Maschine mit zb 10.0.0.10 als 10.0.0.234@domain.local anmeldet...
bin grad in Eile
später mehr....
wenn sich jemand mit 100@domain.local anmeldet, dann musst du
1.) diesen user im AD anlegen
2.) er meldet sich als USER und nicht als MACHINE an
es ist also mit diesem Ansatz nicht möglich, jemanden daran zu hindern, dass er seinen nachbar um dessen Kennung fragt und sich dann an seiner Maschine mit zb 10.0.0.10 als 10.0.0.234@domain.local anmeldet...
bin grad in Eile
später mehr....
Hola compagnero!
zuallererst wäre interessant, wie Deine Umgebung aussieht...
wieviele Clients, welchen Proxy, betreibst Du ein Internetcafe oder ist das eine Aktion der Schülervertretung vor den grossen Ferien....
prinzipiell gilt (imho):
Falls das eine Einmalveranstaltung ist, dann sollte sich der Aufwand in Grenzen halten!
der einfachste Weg:
Das Lanparty-Netz ist von Deinem komplett abgeschottet!!!
Falls die Teilnehmer Games spielen, die keinen Internetzugriff brauchen, dann haust Du ihnen einen alten Switch hin, teilst eine Liste mit den IP-Adressen der User aus und fertig isses!
Wer zu unbegabt ist, sich selbst eine IP-Adresse einzutragen, wird sich schnell selbst Hilfe besorgen, glaube mir!!! (die wollen ja spielen...).
Falls jemand selbst keine Firewall installiert hat und sich so den Angriffen seiner Mitspieler aussetzt ist selber Schuld. Dein Netz bleibt aussen vor...
Falls die Internetzugang benötigen, gilt beinahe das selbe:
Du trennst die Netze und führst sie vor deinen Internetzugang wieder zusammen. Zuvor schottest du die Netze über eine Firewall (was Du verwendest weiss ich nicht) voneniander ab...
Alternativ dazu kannst du den Switch an einen (WLAN-)Router hängen, und von dem dann in dein Produktivnetz. Am Router schnell eingestellt, dass nur http funktioniert und gut isses. Achtung: Logs gibts in dieser Konfig keine.
Wenn Du Logs brauchst, dann hilft Dir nur ein ISA oder SQUID o.ä.
Das ist aber dann eher nichts für "ich mach das schnell zwischen Mittagessen und Nachmittagsjause..." und lohnt sich für einmalshows keinesfalls!
in diesem Sinne
je mehr Infos du für mich hast, desto detaillierter kann ich Dir sagen, was geht/nicht geht/nicht ökonomisch ist
lg
Edi
zuallererst wäre interessant, wie Deine Umgebung aussieht...
wieviele Clients, welchen Proxy, betreibst Du ein Internetcafe oder ist das eine Aktion der Schülervertretung vor den grossen Ferien....
prinzipiell gilt (imho):
Falls das eine Einmalveranstaltung ist, dann sollte sich der Aufwand in Grenzen halten!
der einfachste Weg:
Das Lanparty-Netz ist von Deinem komplett abgeschottet!!!
Falls die Teilnehmer Games spielen, die keinen Internetzugriff brauchen, dann haust Du ihnen einen alten Switch hin, teilst eine Liste mit den IP-Adressen der User aus und fertig isses!
Wer zu unbegabt ist, sich selbst eine IP-Adresse einzutragen, wird sich schnell selbst Hilfe besorgen, glaube mir!!! (die wollen ja spielen...).
Falls jemand selbst keine Firewall installiert hat und sich so den Angriffen seiner Mitspieler aussetzt ist selber Schuld. Dein Netz bleibt aussen vor...
Falls die Internetzugang benötigen, gilt beinahe das selbe:
Du trennst die Netze und führst sie vor deinen Internetzugang wieder zusammen. Zuvor schottest du die Netze über eine Firewall (was Du verwendest weiss ich nicht) voneniander ab...
Alternativ dazu kannst du den Switch an einen (WLAN-)Router hängen, und von dem dann in dein Produktivnetz. Am Router schnell eingestellt, dass nur http funktioniert und gut isses. Achtung: Logs gibts in dieser Konfig keine.
Wenn Du Logs brauchst, dann hilft Dir nur ein ISA oder SQUID o.ä.
Das ist aber dann eher nichts für "ich mach das schnell zwischen Mittagessen und Nachmittagsjause..." und lohnt sich für einmalshows keinesfalls!
in diesem Sinne
je mehr Infos du für mich hast, desto detaillierter kann ich Dir sagen, was geht/nicht geht/nicht ökonomisch ist
lg
Edi
Hola!
Kein Internet -->
nur 1 USER: AD hat so überhaupt keine Sinn (sorry für die harten Worte). Es würde auch ein Server ohne AD mit DHCP und DNS reichen.
wie merkst Du das? hier muss Deine Lösung ansetzen...
Wenn es auf Layer8 (sprich: der Mensch) bemerkt wird, dann muss auch hier der Kick angesetzt werden.
Wie beim guten alten Poker: wer mit gezinkten Karten spielt, wird gefedert und geteert (und nicht an einer aufwändigen Lösung gebastelt, die das Zinken von Karten verhindert - Titan oder so
Was ginge (aber das hast Du schon selbst ausgeführt):
MAC am Switch (an allen Switches) sperren --> bringt aber wenig, weil er senie MAC umstellt
MAC am Server abfangen (zb via DHCP unbrauchbare IP per Reservierung zuweisen o. ä.) --> bringt aber wenig, weil er senie MAC umstellt
UUID am Switch --> geht nicht, weil Switch nur Layer2
UUID am Server + Script, das den Client herunterfährt (oder so ähnlich) --> ghet nicht, weil Dir die Schreibrechte am Client fehlen, um dort ein Script abzuarbeiten
eine Möglichkeit wäre, Du nimmst mein Script aus der Anleitung (Wie gestalte ich eine Prüfung unter Verwendung eines AD so, dass Zusammenarbeit der Prüflinge möglichst verhindert wird?) und legst für jeden User eine Kennung mit komplexem Passwort an.
Das Script errichtet Dir nebst dem Share "angabe" mit Leserechten (das wäre das, wo Du deine Games plazierst) auch eine csv-datei mit
Username --> 10stelligem hochkomplexem Passwort
Du scheidest nun von der Tabelle für jeden User eine Zeile mit Kennung und Passwort aus und teilst sie vor Spielbeginn aus.
wenn jemand cheatet sperrst Du den User im AD.
Eine andere Kennung zu "erraten" ist aufgrund der komplexen Passwörter nicht möglich. Falls jemand seine Kennung an den Cheater hergibt, dann hast Du wieder dein Layer8-Problem...
was ginge wäre 802.1x (denke ich zumindest), aber das können meine Switches hier nicht und daher kann ich Dir dazu auch nichts sagen...
Tut mir leid, dass ich Dir nicht weiterhelfen kann
lg
gutes gelingen
Edi
Kein Internet -->
Ich möchte eben die Zugriffe (FTP usw) sicherstellen und nachverfolgen können.
kannst Du vergessen.nur 1 USER: AD hat so überhaupt keine Sinn (sorry für die harten Worte). Es würde auch ein Server ohne AD mit DHCP und DNS reichen.
lokale Serveranmeldung usw. deaktiviere.
wofür das denn? Steht der Server am Gang? Wenn jemand austickt, cheatet oder sich sonst irgendwie unfair bzw. den AGB entgegen benimmt, wird erstmal gekickt, später gebannt.
wie merkst Du das? hier muss Deine Lösung ansetzen...
Wenn es auf Layer8 (sprich: der Mensch) bemerkt wird, dann muss auch hier der Kick angesetzt werden.
Wie beim guten alten Poker: wer mit gezinkten Karten spielt, wird gefedert und geteert (und nicht an einer aufwändigen Lösung gebastelt, die das Zinken von Karten verhindert - Titan oder so
Was ginge (aber das hast Du schon selbst ausgeführt):
MAC am Switch (an allen Switches) sperren --> bringt aber wenig, weil er senie MAC umstellt
MAC am Server abfangen (zb via DHCP unbrauchbare IP per Reservierung zuweisen o. ä.) --> bringt aber wenig, weil er senie MAC umstellt
UUID am Switch --> geht nicht, weil Switch nur Layer2
UUID am Server + Script, das den Client herunterfährt (oder so ähnlich) --> ghet nicht, weil Dir die Schreibrechte am Client fehlen, um dort ein Script abzuarbeiten
eine Möglichkeit wäre, Du nimmst mein Script aus der Anleitung (Wie gestalte ich eine Prüfung unter Verwendung eines AD so, dass Zusammenarbeit der Prüflinge möglichst verhindert wird?) und legst für jeden User eine Kennung mit komplexem Passwort an.
Das Script errichtet Dir nebst dem Share "angabe" mit Leserechten (das wäre das, wo Du deine Games plazierst) auch eine csv-datei mit
Username --> 10stelligem hochkomplexem Passwort
Du scheidest nun von der Tabelle für jeden User eine Zeile mit Kennung und Passwort aus und teilst sie vor Spielbeginn aus.
wenn jemand cheatet sperrst Du den User im AD.
Eine andere Kennung zu "erraten" ist aufgrund der komplexen Passwörter nicht möglich. Falls jemand seine Kennung an den Cheater hergibt, dann hast Du wieder dein Layer8-Problem...
was ginge wäre 802.1x (denke ich zumindest), aber das können meine Switches hier nicht und daher kann ich Dir dazu auch nichts sagen...
Tut mir leid, dass ich Dir nicht weiterhelfen kann
lg
gutes gelingen
Edi