nebellicht
15.04.2024
view1422
view12
0
Goto Top

Ausm HO für den ADUser andere Netzlaufwerkfreigaben ?

FrageNetzwerkmanagementWindows Netzwerk
Hallo Kollegen,
gibt es eine Möglichkeit dem gleichen DomainUserName - je nach Verbindungsart - andere Zugriffsrechte auf Netzlaufwerke zuzuteilen ?

Im Speziellen soll der DomainUser, der über das Homeoffice (VPN) Zugriff erhält andere Zugriffsrechte auf Netzlaufwerke erhalten, als der gleiche User, der sich dann vor Ort mit seinem Laptop an der Domain anmeldet.. DomainUserName incl. Passwort also Credentials sollen gleich bleiben, nur der Zugriff auf ein bestimmtes Netzlaufwerk im HO verhindert werden.

Wie sieht hierzu die Theorie aus ?
  • mir fällt nur die Variante ... jedem DomainUser im HO noch zusätlich einen DomainUserName-HO mitzugeben ein. Das ist allerdings nicht gewünscht.
  • muß ich hierzu eine andere Hardware Architektur (2ter Server und weiteres Subnetz oder weiteren managed Router NAS) aufbauen ?
  • geht das Softwaretechnisch "irgendwie" mit dem Radius Server ? Kann der Radius Server die Info "logged over" zusätzlich mitteilen und könnte man das irgendwie im AD oder in den Freigaben "verwursten" ?
  • Anhand der IPs; vergeben vom VPN; den Zugriff auf der Netzlaufwerkzugriffsebene steuern ?

... oder auch, wie macht ihr das in der Praxis ?

Habe das noch nie umgesetzt und ich kann mir gerade nur die Hardwarelösung vorstellen.
Gruß nbll
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 63651068061

Url: https://administrator.de/contentid/63651068061

Ausgedruckt am: 21.11.2024 um 17:11 Uhr

12 Kommentare
Neuester Kommentar
Goto Top
Looser27
Looser27 15.04.2024 um 15:23:29 Uhr
Goto Top
Moin,

sowas kannst Du über son Skript in der Autostart lösen. Als erstes fragst Du das IPNetz ab, was ja unterschiedlich sein sollte und verbindest dann je nach Netz die Freigaben.

Gruß Looser
ukulele-7
ukulele-7 15.04.2024 um 15:29:38 Uhr
Goto Top
Die Frage ist willst du nur die Netzlaufwerke anders mounten oder tatsächlich den Zugriff auf die Netzwerkressource verhindern?
Nebellicht
Nebellicht 15.04.2024 aktualisiert um 15:36:51 Uhr
Goto Top
Zitat von @ukulele-7:

Die Frage ist willst du nur die Netzlaufwerke anders mounten oder tatsächlich den Zugriff auf die Netzwerkressource verhindern?

Am liebsten so unkompliziert wie möglich. Also irgendwie über die Freigabe/Netzzugriffarchitektur - Software - lösen.
ukulele-7
ukulele-7 15.04.2024 um 15:39:36 Uhr
Goto Top
Zitat von @Nebellicht:

Zitat von @ukulele-7:

Die Frage ist willst du nur die Netzlaufwerke anders mounten oder tatsächlich den Zugriff auf die Netzwerkressource verhindern?

Am liebsten so unkompliziert wie möglich. Also irgendwie über die Freigabe/Netzzugriffarchitektur - Software - lösen.
Naja unkompliziert schön und gut, das wäre dann die Variante von @Looser27 . Aber das hilft dir ja nicht wenn die Vorgabe besagt der User darf auf keinen Fall zugreifen können.
Zossen
Zossen 15.04.2024 um 15:55:09 Uhr
Goto Top
Zitat von @ukulele-7:

Zitat von @Nebellicht:

Zitat von @ukulele-7:

Die Frage ist willst du nur die Netzlaufwerke anders mounten oder tatsächlich den Zugriff auf die Netzwerkressource verhindern?

Am liebsten so unkompliziert wie möglich. Also irgendwie über die Freigabe/Netzzugriffarchitektur - Software - lösen.
Naja unkompliziert schön und gut, das wäre dann die Variante von @Looser27 . Aber das hilft dir ja nicht wenn die Vorgabe besagt der User darf auf keinen Fall zugreifen können.

Moin,
wenn sich diese Freigabe auf einem eigenen Server (ohne den Teil, den die HO-User benutzen können sollen) befindet kann man hier eventuell die eingebaute Server-Firewall nutzen, um den VPN-Adressbereich auszuschließen.
Dani
Dani 15.04.2024 um 17:28:50 Uhr
Goto Top
Moin,
... oder auch, wie macht ihr das in der Praxis ?
gar nicht. Warum soll der User im VPN und LAN unterschiedliche Rechte haben. Hast du Angst, dass er zu Hause Dateien anschaut, welche andere nicht sehen sollen/dürfen?!


Gruß,
Dani
ukulele-7
ukulele-7 15.04.2024 um 19:19:53 Uhr
Goto Top
Zitat von @Dani:

Moin,
... oder auch, wie macht ihr das in der Praxis ?
gar nicht. Warum soll der User im VPN und LAN unterschiedliche Rechte haben. Hast du Angst, dass er zu Hause Dateien anschaut, welche andere nicht sehen sollen/dürfen?!
Ich gehe mal davon aus das er verhindern will das User Daten auf einen PC bei sich zuhause exfiltrieren. Konsequent ist das aber nicht.

Wir wissen allerdings nicht, was wirklich zum Einsatz kommt. Gehört der Client dem Unternehmen? Kommt da ein Terminal Server zum Einsatz oder laufen die Anwendungen direkt auf dem Client?
Deepsys
Deepsys 15.04.2024 aktualisiert um 21:24:07 Uhr
Goto Top
Zitat von @Dani:
... oder auch, wie macht ihr das in der Praxis ?

N'Abend,

bin da bei Dani, gar nicht.
Und frage mich auch nach dem Sinn??

Wenn du Datenklau vermeiden willst, ist das bestimmt nicht der richtige weg.
Aktuell geht ja bei vielen der Weg in die Cloud, das ist das noch "egaler" wo du bist

Viele Grüße
Deepsys
Nebellicht
Nebellicht 16.04.2024 aktualisiert um 09:45:24 Uhr
Goto Top
Es gibt also keine einfache Lösung ? Bzw. das wurde bisher nie angewendet ? Gruss nbll

(Es gibt sicherlich den Gedanken: Diebstahlschutz od. Datenschutz bei Abhandenkommen von Passwörtern bzw. ortsveränderlicher Hardware (Laptop) als weitern zusätzlichen Schutz. Dazu ggf. auch weitere Überlegungen s.o. von den Admins angedacht. = zusätzlich !!!) Wenn man Datentrennung von Arbeitsdaten und z.B. sensiblen Daten gewährleistet.
DerWoWusste
DerWoWusste 16.04.2024 um 10:21:25 Uhr
Goto Top
Das geht sehr einfach, wenn Du Netzlaufwerke über Group Policy Preferences verteilst. Die besitzen nämlich item level targeting und können abhängig von vorhandenen Netzwerkverbindungen aktiv geschaltet werden.
screenshot 2024-04-16 102030
heart1
ukulele-7
ukulele-7 16.04.2024 um 10:34:56 Uhr
Goto Top
Aber nochmal ergänzend der Hinweis: Laufwerksmapping != Zugriffsrechte. Das Laufwerksmapping kann ich über mehrere Wege beeinflussen, siehe GPOs. NTFS Rechte aber nicht, kennt der Benutzer die Freigabe kann er sie auch ohne Laufwerksmapping benutzen. Da müsstest du eher in deiner Firewall ansetzen.
Dani
Dani 16.04.2024 um 12:37:37 Uhr
Goto Top
Moin,
Es gibt also keine einfache Lösung ? Bzw. das wurde bisher nie angewendet ? Gruss nbll
schildere doch einfach die Anforderung und die Rahmenbedingungen. Sonst wird das Ratespiel immer so weiter gehen.


Gruß,
Dani
FrageNetzwerkmanagementWindows Netzwerk
Mehr von NebellichtNebellichtMicrosoft Teams - Anwählen bequem über einen HyperlinkNebellicht - 1 KommentarNebellichtAdobe PDF Drucker, er druckt nur nicht unter PowerPointNebellicht - 1 KommentarNebellichtTemperaturgesteuertes Herunterfahren PowerEdge T340Nebellicht - 3 KommentareNebellichtIm Leerlauf ein "Hochdrehen des Lüfters"Nebellicht - 4 Kommentare
Heiß diskutiert
user217Kaufberatung Hardware - Hyper-V Cluster 3 Nodesuser217 - 25 KommentarePharaunIntel-E810 QSFP28 to Mikrotik QSPF+ mit 40Gbit VerbindungPharaun - 23 KommentarecseLaufwege erfassen in großer Hallecse - 20 Kommentaresuperfun2k24Sophos SFOS 20 DNAT funktioniert nichtsuperfun2k24 - 19 Kommentareprplemk2Testumgebung bauen (Grundlegend)prplemk2 - 19 KommentareYan2021Nachricht an mehrere PCs im Netzwerk sendenYan2021 - 17 KommentareaufdemmarsHP Z620 USB hat kein Strom beim Startenaufdemmars - 15 KommentareTJ.Hooker74Dom.Admin-Passwort ändern - Auswirkungen auf EX, HCW, AADCTJ.Hooker74 - 14 KommentareJudgelgZertifikate in die Exchange Online GAL hochladenJudgelg - 13 KommentaremaisenkaiserSwitch ohne STP ins Netzwerkmaisenkaiser - 13 KommentareadmtechEntwicklertagebuch: Release 6.4 - Filteradmtech - 13 KommentareleberkaeseFB7590 ISDN Fax-Funktionleberkaese - 12 Kommentare