Ausm HO für den ADUser andere Netzlaufwerkfreigaben ?
Hallo Kollegen,
gibt es eine Möglichkeit dem gleichen DomainUserName - je nach Verbindungsart - andere Zugriffsrechte auf Netzlaufwerke zuzuteilen ?
Im Speziellen soll der DomainUser, der über das Homeoffice (VPN) Zugriff erhält andere Zugriffsrechte auf Netzlaufwerke erhalten, als der gleiche User, der sich dann vor Ort mit seinem Laptop an der Domain anmeldet.. DomainUserName incl. Passwort also Credentials sollen gleich bleiben, nur der Zugriff auf ein bestimmtes Netzlaufwerk im HO verhindert werden.
Wie sieht hierzu die Theorie aus ?
... oder auch, wie macht ihr das in der Praxis ?
Habe das noch nie umgesetzt und ich kann mir gerade nur die Hardwarelösung vorstellen.
Gruß nbll
gibt es eine Möglichkeit dem gleichen DomainUserName - je nach Verbindungsart - andere Zugriffsrechte auf Netzlaufwerke zuzuteilen ?
Im Speziellen soll der DomainUser, der über das Homeoffice (VPN) Zugriff erhält andere Zugriffsrechte auf Netzlaufwerke erhalten, als der gleiche User, der sich dann vor Ort mit seinem Laptop an der Domain anmeldet.. DomainUserName incl. Passwort also Credentials sollen gleich bleiben, nur der Zugriff auf ein bestimmtes Netzlaufwerk im HO verhindert werden.
Wie sieht hierzu die Theorie aus ?
- mir fällt nur die Variante ... jedem DomainUser im HO noch zusätlich einen DomainUserName-HO mitzugeben ein. Das ist allerdings nicht gewünscht.
- muß ich hierzu eine andere Hardware Architektur (2ter Server und weiteres Subnetz oder weiteren managed Router NAS) aufbauen ?
- geht das Softwaretechnisch "irgendwie" mit dem Radius Server ? Kann der Radius Server die Info "logged over" zusätzlich mitteilen und könnte man das irgendwie im AD oder in den Freigaben "verwursten" ?
- Anhand der IPs; vergeben vom VPN; den Zugriff auf der Netzlaufwerkzugriffsebene steuern ?
... oder auch, wie macht ihr das in der Praxis ?
Habe das noch nie umgesetzt und ich kann mir gerade nur die Hardwarelösung vorstellen.
Gruß nbll
Please also mark the comments that contributed to the solution of the article
Content-ID: 63651068061
Url: https://administrator.de/contentid/63651068061
Printed on: October 16, 2024 at 02:10 o'clock
12 Comments
Latest comment
Zitat von @Nebellicht:
Am liebsten so unkompliziert wie möglich. Also irgendwie über die Freigabe/Netzzugriffarchitektur - Software - lösen.
Naja unkompliziert schön und gut, das wäre dann die Variante von @Looser27 . Aber das hilft dir ja nicht wenn die Vorgabe besagt der User darf auf keinen Fall zugreifen können.Zitat von @ukulele-7:
Die Frage ist willst du nur die Netzlaufwerke anders mounten oder tatsächlich den Zugriff auf die Netzwerkressource verhindern?
Die Frage ist willst du nur die Netzlaufwerke anders mounten oder tatsächlich den Zugriff auf die Netzwerkressource verhindern?
Am liebsten so unkompliziert wie möglich. Also irgendwie über die Freigabe/Netzzugriffarchitektur - Software - lösen.
Zitat von @ukulele-7:
Zitat von @Nebellicht:
Am liebsten so unkompliziert wie möglich. Also irgendwie über die Freigabe/Netzzugriffarchitektur - Software - lösen.
Naja unkompliziert schön und gut, das wäre dann die Variante von @Looser27 . Aber das hilft dir ja nicht wenn die Vorgabe besagt der User darf auf keinen Fall zugreifen können.Zitat von @ukulele-7:
Die Frage ist willst du nur die Netzlaufwerke anders mounten oder tatsächlich den Zugriff auf die Netzwerkressource verhindern?
Die Frage ist willst du nur die Netzlaufwerke anders mounten oder tatsächlich den Zugriff auf die Netzwerkressource verhindern?
Am liebsten so unkompliziert wie möglich. Also irgendwie über die Freigabe/Netzzugriffarchitektur - Software - lösen.
Moin,
wenn sich diese Freigabe auf einem eigenen Server (ohne den Teil, den die HO-User benutzen können sollen) befindet kann man hier eventuell die eingebaute Server-Firewall nutzen, um den VPN-Adressbereich auszuschließen.
Zitat von @Dani:
Moin,
Ich gehe mal davon aus das er verhindern will das User Daten auf einen PC bei sich zuhause exfiltrieren. Konsequent ist das aber nicht.Moin,
... oder auch, wie macht ihr das in der Praxis ?
gar nicht. Warum soll der User im VPN und LAN unterschiedliche Rechte haben. Hast du Angst, dass er zu Hause Dateien anschaut, welche andere nicht sehen sollen/dürfen?!Wir wissen allerdings nicht, was wirklich zum Einsatz kommt. Gehört der Client dem Unternehmen? Kommt da ein Terminal Server zum Einsatz oder laufen die Anwendungen direkt auf dem Client?
N'Abend,
bin da bei Dani, gar nicht.
Und frage mich auch nach dem Sinn??
Wenn du Datenklau vermeiden willst, ist das bestimmt nicht der richtige weg.
Aktuell geht ja bei vielen der Weg in die Cloud, das ist das noch "egaler" wo du bist
Viele Grüße
Deepsys