13
Einem Arbeitsgruppen-PC den Zugriff auf eine Domäne (Freigabe) verbieten
Hallo zusammen,
ich habe auch nach langem Suchen leider keine Antwort auf meine Frage gefunden. Darum stelle ich sie mal hier im Forum.
Ausgangssituation:
Win Server 2008 R2 Domäne mit Win7 Clients. Wenn man mit einem PC, der kein Domänenmitglied ist (Neu-PC oder Privat), auf den Server über \\Servername\Freigabe zugreift, kommt ein Fenster für die Anmeldung.
Gibt es eine Möglichkeit, den Zugriff auf die Domäne von einem Arbeitsgruppen-PC aus zu verhindern?
Anwendungsfall:
Ein Mitarbeiter bringt sein Privat-Notebook mit, steckt es am Netzwerk an und da er ja am Server einen User hat, kann er sich auch anmelden.
Vielen Dank schon im voraus,
Stephan
ich habe auch nach langem Suchen leider keine Antwort auf meine Frage gefunden. Darum stelle ich sie mal hier im Forum.
Ausgangssituation:
Win Server 2008 R2 Domäne mit Win7 Clients. Wenn man mit einem PC, der kein Domänenmitglied ist (Neu-PC oder Privat), auf den Server über \\Servername\Freigabe zugreift, kommt ein Fenster für die Anmeldung.
Gibt es eine Möglichkeit, den Zugriff auf die Domäne von einem Arbeitsgruppen-PC aus zu verhindern?
Anwendungsfall:
Ein Mitarbeiter bringt sein Privat-Notebook mit, steckt es am Netzwerk an und da er ja am Server einen User hat, kann er sich auch anmelden.
Vielen Dank schon im voraus,
Stephan
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 175455
Url: https://administrator.de/contentid/175455
Printed on: April 16, 2024 at 04:04 o'clock
13 Comments
Latest comment
Moin moin,
Und was soll das dann bringen?
Dann würde er die Daten auf einen PC (in der Domäne) kopieren, per Netzwerkkabel mit seinem Laptop verbinden und die Daten dann rüberschaufeln (peer2peer).
greetz
ravers
Und was soll das dann bringen?
Dann würde er die Daten auf einen PC (in der Domäne) kopieren, per Netzwerkkabel mit seinem Laptop verbinden und die Daten dann rüberschaufeln (peer2peer).
greetz
ravers
Hallo,
wenn jemand Daten klauen möchte, dann findet er immer einen Weg! Wir wollen einfach ein Signal setzten, dass dies nicht gesattet ist!
Stephan
wenn jemand Daten klauen möchte, dann findet er immer einen Weg! Wir wollen einfach ein Signal setzten, dass dies nicht gesattet ist!
Stephan
Hi,
dann versuch doch das ganze schon auf Netzwerkebene abzufangen. Also mithilfe von Port-Security / VLAN´s / Firewall etc.
Gruß
Luie
dann versuch doch das ganze schon auf Netzwerkebene abzufangen. Also mithilfe von Port-Security / VLAN´s / Firewall etc.
Gruß
Luie
Hey
Ich würde die Freigaben anpassen, das nicht "Jeder" sondern nur "Domänen-Benuzter" leserechte hat.
gruß
Ich würde die Freigaben anpassen, das nicht "Jeder" sondern nur "Domänen-Benuzter" leserechte hat.
gruß
Hallo,
das mit der Netzwerkebene wäre ein Ansatz ...
In den Freigaben stehen eh nur die Domänen-Benutzer bzw. die jeweiligen Gruppen. "Jeder" wird grundsätzlich gelöscht.
Es reicht, wenn der Mitarbeiter einen Account hat. Dann kann er sich anmelden!
Meine Überlegung war auch schon, mit der Gruppe Domänencomputer zu arbeiten, aber das klappt auch nicht ganz so. Die User sind den Computern übergeordnet ?!
Stephan
das mit der Netzwerkebene wäre ein Ansatz ...
In den Freigaben stehen eh nur die Domänen-Benutzer bzw. die jeweiligen Gruppen. "Jeder" wird grundsätzlich gelöscht.
Es reicht, wenn der Mitarbeiter einen Account hat. Dann kann er sich anmelden!
Meine Überlegung war auch schon, mit der Gruppe Domänencomputer zu arbeiten, aber das klappt auch nicht ganz so. Die User sind den Computern übergeordnet ?!
Stephan
Meine Überlegung war auch schon, mit der Gruppe Domänencomputer zu arbeiten, aber das klappt auch nicht ganz so. Die
User sind den Computern übergeordnet ?!
User sind den Computern übergeordnet ?!
Die User greifen ja auf die Freigaben zu, nicht die Computer. Wenn du nicht in der Domäne bist, kannst du dich ja trotzdem gegen das AD authentifizieren.
Hallo,
folgender Vorschlag ist zwar etwas weit ausgeholt, dafür aber recht sicher: Zugriff nur über WebDAV zulassen und die Authentifizierung am IIS mit Clientzertifikaten filtern.
Gruß
Torsten
folgender Vorschlag ist zwar etwas weit ausgeholt, dafür aber recht sicher: Zugriff nur über WebDAV zulassen und die Authentifizierung am IIS mit Clientzertifikaten filtern.
Gruß
Torsten
Gibt es eine Möglichkeit, den Zugriff auf die Domäne von einem Arbeitsgruppen-PC aus zu verhindern?
Wusstest du, dass in der Standardeinstellung jeder Benutzer Computer in eine Domäne aufnehmen darf?
Wenn du es wirklich verhindern willst hilft nur Domain Isolation.
Wenn du es nur symbolisch verhindern willst kannst du MAC-ID-Filter an den Switchen benutzen (statisch oder 802.1x)
Alles andere ist wirkungslos.
Hallo,
vielen Dank für die vielen Antworten, Vor- und Ratschläge
@dog:
Was verstehst Du unter Standardeinstellung?
Die Standardeinstellung ist doch, dass nur Domänen-Admis Computer in die Domäne einbinden können?!
Stephan
vielen Dank für die vielen Antworten, Vor- und Ratschläge
@dog:
Was verstehst Du unter Standardeinstellung?
Die Standardeinstellung ist doch, dass nur Domänen-Admis Computer in die Domäne einbinden können?!
Stephan
Die Standardeinstellung ist doch, dass nur Domänen-Admis Computer in die Domäne einbinden können?!
Nein.
Die Standard-Einstellung ist, dass jeder Computer einbinden kann.
Moin.
Ehrlich gesagt, ist die Lösung naheliegend: Du kannst in den Eigenschaften der Userobjekte angeben, an welchen PCs sie sich anmelden können. Steht der Privat-PC dort nicht drin, kann sich der Nutzer nicht von diesem PC an der Domäne authentifizieren und somit keine Freigaben nutzen. Standard ist jedoch die Einstellung: "Nutzer kann sich an allen Workstations anmelden". Ändere das und Du hast die Lösung.
Ehrlich gesagt, ist die Lösung naheliegend: Du kannst in den Eigenschaften der Userobjekte angeben, an welchen PCs sie sich anmelden können. Steht der Privat-PC dort nicht drin, kann sich der Nutzer nicht von diesem PC an der Domäne authentifizieren und somit keine Freigaben nutzen. Standard ist jedoch die Einstellung: "Nutzer kann sich an allen Workstations anmelden". Ändere das und Du hast die Lösung.
Hallo,
Danke für die zahlreichen Infos.
Hat sich von Euch schon mal jemand mit der Frage / Problem beschäftigt? Was wird in anderen Firmen dagegen gemacht oder auch nicht?
Gruß Stephan
Danke für die zahlreichen Infos.
Hat sich von Euch schon mal jemand mit der Frage / Problem beschäftigt? Was wird in anderen Firmen dagegen gemacht oder auch nicht?
Gruß Stephan
Äh... hast Du meinen Beitrag evtl. überlesen? Das ist eine/die von MS vorgesehene Lösung.