nebellicht
Goto Top

Ausm HO für den ADUser andere Netzlaufwerkfreigaben ?

Hallo Kollegen,
gibt es eine Möglichkeit dem gleichen DomainUserName - je nach Verbindungsart - andere Zugriffsrechte auf Netzlaufwerke zuzuteilen ?

Im Speziellen soll der DomainUser, der über das Homeoffice (VPN) Zugriff erhält andere Zugriffsrechte auf Netzlaufwerke erhalten, als der gleiche User, der sich dann vor Ort mit seinem Laptop an der Domain anmeldet.. DomainUserName incl. Passwort also Credentials sollen gleich bleiben, nur der Zugriff auf ein bestimmtes Netzlaufwerk im HO verhindert werden.

Wie sieht hierzu die Theorie aus ?
  • mir fällt nur die Variante ... jedem DomainUser im HO noch zusätlich einen DomainUserName-HO mitzugeben ein. Das ist allerdings nicht gewünscht.
  • muß ich hierzu eine andere Hardware Architektur (2ter Server und weiteres Subnetz oder weiteren managed Router NAS) aufbauen ?
  • geht das Softwaretechnisch "irgendwie" mit dem Radius Server ? Kann der Radius Server die Info "logged over" zusätzlich mitteilen und könnte man das irgendwie im AD oder in den Freigaben "verwursten" ?
  • Anhand der IPs; vergeben vom VPN; den Zugriff auf der Netzlaufwerkzugriffsebene steuern ?

... oder auch, wie macht ihr das in der Praxis ?

Habe das noch nie umgesetzt und ich kann mir gerade nur die Hardwarelösung vorstellen.
Gruß nbll

Content-Key: 63651068061

Url: https://administrator.de/contentid/63651068061

Printed on: May 26, 2024 at 06:05 o'clock

Member: Looser27
Looser27 Apr 15, 2024 at 13:23:29 (UTC)
Goto Top
Moin,

sowas kannst Du über son Skript in der Autostart lösen. Als erstes fragst Du das IPNetz ab, was ja unterschiedlich sein sollte und verbindest dann je nach Netz die Freigaben.

Gruß Looser
Member: ukulele-7
ukulele-7 Apr 15, 2024 at 13:29:38 (UTC)
Goto Top
Die Frage ist willst du nur die Netzlaufwerke anders mounten oder tatsächlich den Zugriff auf die Netzwerkressource verhindern?
Member: Nebellicht
Nebellicht Apr 15, 2024 updated at 13:36:51 (UTC)
Goto Top
Zitat von @ukulele-7:

Die Frage ist willst du nur die Netzlaufwerke anders mounten oder tatsächlich den Zugriff auf die Netzwerkressource verhindern?

Am liebsten so unkompliziert wie möglich. Also irgendwie über die Freigabe/Netzzugriffarchitektur - Software - lösen.
Member: ukulele-7
ukulele-7 Apr 15, 2024 at 13:39:36 (UTC)
Goto Top
Zitat von @Nebellicht:

Zitat von @ukulele-7:

Die Frage ist willst du nur die Netzlaufwerke anders mounten oder tatsächlich den Zugriff auf die Netzwerkressource verhindern?

Am liebsten so unkompliziert wie möglich. Also irgendwie über die Freigabe/Netzzugriffarchitektur - Software - lösen.
Naja unkompliziert schön und gut, das wäre dann die Variante von @Looser27 . Aber das hilft dir ja nicht wenn die Vorgabe besagt der User darf auf keinen Fall zugreifen können.
Member: Zossen
Zossen Apr 15, 2024 at 13:55:09 (UTC)
Goto Top
Zitat von @ukulele-7:

Zitat von @Nebellicht:

Zitat von @ukulele-7:

Die Frage ist willst du nur die Netzlaufwerke anders mounten oder tatsächlich den Zugriff auf die Netzwerkressource verhindern?

Am liebsten so unkompliziert wie möglich. Also irgendwie über die Freigabe/Netzzugriffarchitektur - Software - lösen.
Naja unkompliziert schön und gut, das wäre dann die Variante von @Looser27 . Aber das hilft dir ja nicht wenn die Vorgabe besagt der User darf auf keinen Fall zugreifen können.

Moin,
wenn sich diese Freigabe auf einem eigenen Server (ohne den Teil, den die HO-User benutzen können sollen) befindet kann man hier eventuell die eingebaute Server-Firewall nutzen, um den VPN-Adressbereich auszuschließen.
Member: Dani
Dani Apr 15, 2024 at 15:28:50 (UTC)
Goto Top
Moin,
... oder auch, wie macht ihr das in der Praxis ?
gar nicht. Warum soll der User im VPN und LAN unterschiedliche Rechte haben. Hast du Angst, dass er zu Hause Dateien anschaut, welche andere nicht sehen sollen/dürfen?!


Gruß,
Dani
Member: ukulele-7
ukulele-7 Apr 15, 2024 at 17:19:53 (UTC)
Goto Top
Zitat von @Dani:

Moin,
... oder auch, wie macht ihr das in der Praxis ?
gar nicht. Warum soll der User im VPN und LAN unterschiedliche Rechte haben. Hast du Angst, dass er zu Hause Dateien anschaut, welche andere nicht sehen sollen/dürfen?!
Ich gehe mal davon aus das er verhindern will das User Daten auf einen PC bei sich zuhause exfiltrieren. Konsequent ist das aber nicht.

Wir wissen allerdings nicht, was wirklich zum Einsatz kommt. Gehört der Client dem Unternehmen? Kommt da ein Terminal Server zum Einsatz oder laufen die Anwendungen direkt auf dem Client?
Member: Deepsys
Deepsys Apr 15, 2024 updated at 19:24:07 (UTC)
Goto Top
Zitat von @Dani:
... oder auch, wie macht ihr das in der Praxis ?

N'Abend,

bin da bei Dani, gar nicht.
Und frage mich auch nach dem Sinn??

Wenn du Datenklau vermeiden willst, ist das bestimmt nicht der richtige weg.
Aktuell geht ja bei vielen der Weg in die Cloud, das ist das noch "egaler" wo du bist

Viele Grüße
Deepsys
Member: Nebellicht
Nebellicht Apr 16, 2024 updated at 07:45:24 (UTC)
Goto Top
Es gibt also keine einfache Lösung ? Bzw. das wurde bisher nie angewendet ? Gruss nbll

(Es gibt sicherlich den Gedanken: Diebstahlschutz od. Datenschutz bei Abhandenkommen von Passwörtern bzw. ortsveränderlicher Hardware (Laptop) als weitern zusätzlichen Schutz. Dazu ggf. auch weitere Überlegungen s.o. von den Admins angedacht. = zusätzlich !!!) Wenn man Datentrennung von Arbeitsdaten und z.B. sensiblen Daten gewährleistet.
Member: DerWoWusste
DerWoWusste Apr 16, 2024 at 08:21:25 (UTC)
Goto Top
Das geht sehr einfach, wenn Du Netzlaufwerke über Group Policy Preferences verteilst. Die besitzen nämlich item level targeting und können abhängig von vorhandenen Netzwerkverbindungen aktiv geschaltet werden.
screenshot 2024-04-16 102030
Member: ukulele-7
ukulele-7 Apr 16, 2024 at 08:34:56 (UTC)
Goto Top
Aber nochmal ergänzend der Hinweis: Laufwerksmapping != Zugriffsrechte. Das Laufwerksmapping kann ich über mehrere Wege beeinflussen, siehe GPOs. NTFS Rechte aber nicht, kennt der Benutzer die Freigabe kann er sie auch ohne Laufwerksmapping benutzen. Da müsstest du eher in deiner Firewall ansetzen.
Member: Dani
Dani Apr 16, 2024 at 10:37:37 (UTC)
Goto Top
Moin,
Es gibt also keine einfache Lösung ? Bzw. das wurde bisher nie angewendet ? Gruss nbll
schildere doch einfach die Anforderung und die Rahmenbedingungen. Sonst wird das Ratespiel immer so weiter gehen.


Gruß,
Dani