westberliner
Goto Top

Domänenübergreifender Laufwerkszugriff ohne Vertrauensstellung

Hallo Zusammen,

ich habe hier meine interne Infrastruktur, hier habe ich auf 2 Servern Freigaben eingerichtet mit Freigabe- und Sicherheitsberechtigung "Jeder". Ist klar, kann jeder tun und lassen dort.

Nun Habe ich ein angemietetes System mit einer Domäne, DC, etc. Es besteht keine Vertrauensstellung zwischen unseren Domänen, lediglich ein Site2Site-VPN. Hier läuft unser zukünftiges ERP-System, welches dann auf meine lokale Infrastruktur in diese 2 Server Daten ablegen/abholen muss. Wie bewerkstellige ich hier den Zugriff, ohne das ich Explizit mich mit einem Benutzer verbinden oder eine Vertrauensstellung aufbauen muss? Geht das überhaupt?

Danke!

Content-ID: 448803

Url: https://administrator.de/contentid/448803

Ausgedruckt am: 25.11.2024 um 11:11 Uhr

certifiedit.net
certifiedit.net 08.05.2019 um 16:34:12 Uhr
Goto Top
Hallo,

warum ein angemietetes System mit einer eigenen Domäne? Überaus mies geplant, oder was?

Irgendwie musst du einen Handshake erzeugen.

VG
westberliner
westberliner 08.05.2019 aktualisiert um 16:37:06 Uhr
Goto Top
Die IT-Abteilung (ich)war nicht an der Entscheidungsfindung beteiligt, der Anbieter des ERP-Systems (und gleichzeitig Hoster) hatte es "aufgrund des engen Zeitplans" nicht für nötig gehalten, eine Vertrauensstellung mit einzurichten ... bla. Ich darf halt den Mist ausbaden, teilweise auch die User.

Was mich nur wundert, dass die Berechtigungsstufe "Jeder" ignoriert wird.
certifiedit.net
certifiedit.net 08.05.2019 um 16:41:46 Uhr
Goto Top
Zitat von @westberliner:

Die IT-Abteilung (ich)war nicht an der Entscheidungsfindung beteiligt, der Anbieter des ERP-Systems (und gleichzeitig Hoster) hatte es "aufgrund des engen Zeitplans" nicht für nötig gehalten, eine Vertrauensstellung mit einzurichten ... bla. Ich darf halt den Mist ausbaden, teilweise auch die User.

Was mich nur wundert, dass die Berechtigungsstufe "Jeder" ignoriert wird.

...und so, Leute, macht man den Bock zum Gärtner.

Warum denn überhaupt dort eine zweite Domäne. Aber ist hinfällig, die Antwort hast du, zieh es glatt. Wie? Das ist dann ein Projekt, dass du ordentlich betreuen (oder betreuen lassen) solltest.
itisnapanto
itisnapanto 08.05.2019 um 16:45:54 Uhr
Goto Top
Moin moin ,

ohne Vertrauensstellung, wird es immer wieder zu Problemen kommen . Jede Freigabe hilft dir da auch nicht.
Was spricht denn dagegen eine zu machen ?

Alternativ mit Netzlaufwerken arbeiten und mit Scripten incl. Credentials verbinden . Aber auch das wird keine zuverlässige Lösung sein.


Gruss
westberliner
westberliner 08.05.2019 um 16:52:50 Uhr
Goto Top
@certifiedit.net: Meinst aber nicht mich damit, das ich zu unfähig wäre?

Ich habe kein Problem mit einer Vertrauensstellung, aber der Hoster...man hätte nämlich damit auch das Problem erschlagen, dass die User zusätzliche Anmeldedaten zum Anmelden am TS benötigen, mit anderen Passwortpolicies, Anmeldenamen etc etc. ...

Problematisch sehe ich bei Skripten den Sachverhalt, dass hier z.B. EDI-Nachrichten oder Produktionsdaten automatisiert im Hintergrund übergeben werden und nicht Benutzerabhängig. Ich glaube nicht wirklich, dass man hier mit Netzlaufwerken arbeiten kann (und es auch sollte...), da alles im Hintergrund intransparent abläuft.
certifiedit.net
certifiedit.net 08.05.2019 um 16:56:29 Uhr
Goto Top
Zitat von @westberliner:

@certifiedit.net: Meinst aber nicht mich damit, das ich zu unfähig wäre?

Nein, aber etwas unbedarft, "jeder" ist etwas was man nicht macht. Genausowenig, wie any-any.

Ich habe kein Problem mit einer Vertrauensstellung, aber der Hoster...man hätte nämlich damit auch das Problem erschlagen, dass die User zusätzliche Anmeldedaten zum Anmelden am TS benötigen, mit anderen Passwortpolicies, Anmeldenamen etc etc. ...

Wie gesagt, wenn die IT Abteilung es nicht schafft, sich bei IT-Abteilung relevanten Themen entsprechend zu positionieren macht man den Bock zum Gärtner, wenn man dann noch versucht das hinzufrickeln...jup, schlecht.

Problematisch sehe ich bei Skripten den Sachverhalt, dass hier z.B. EDI-Nachrichten oder Produktionsdaten automatisiert im Hintergrund übergeben werden und nicht Benutzerabhängig. Ich glaube nicht wirklich, dass man hier mit Netzlaufwerken arbeiten kann (und es auch sollte...), da alles im Hintergrund intransparent abläuft.

Das kommt auf die Schnittstellen an. Ich hab hier schon SMTP gesehen, find ich - naja - Aber wie gesagt, du brauchst eine ordentliche Projektsteuerung, ansonsten verfrickelt sich das nur weiter.
itisnapanto
itisnapanto 08.05.2019 um 17:18:23 Uhr
Goto Top
Zitat von @westberliner:

@certifiedit.net: Meinst aber nicht mich damit, das ich zu unfähig wäre?

Ich habe kein Problem mit einer Vertrauensstellung, aber der Hoster...man hätte nämlich damit auch das Problem erschlagen, dass die User zusätzliche Anmeldedaten zum Anmelden am TS benötigen, mit anderen Passwortpolicies, Anmeldenamen etc etc. ...

Problematisch sehe ich bei Skripten den Sachverhalt, dass hier z.B. EDI-Nachrichten oder Produktionsdaten automatisiert im Hintergrund übergeben werden und nicht Benutzerabhängig. Ich glaube nicht wirklich, dass man hier mit Netzlaufwerken arbeiten kann (und es auch sollte...), da alles im Hintergrund intransparent abläuft.

Natürlich sollst du nicht mit Scripten arbeiten . Den richtigen Weg kennst du ja.
Kenne die Vertragsdaten nicht . Wenn die ERP Firma euch das betriebsfertig hinstellen muss, würde die Voraussetzungen anfragen und umsetzen . Rest ist doof gesagt deren Problem.

Gruss
Dani
Dani 08.05.2019 um 20:41:26 Uhr
Goto Top
Moin,
Es besteht keine Vertrauensstellung zwischen unseren Domänen, lediglich ein Site2Site-VPN.
Wir haben ein paar wenige System, die absichtlich eine separate Domäne verwaltet werden.

Hier läuft unser zukünftiges ERP-System, welches dann auf meine lokale Infrastruktur in diese 2 Server Daten ablegen/abholen muss.
Stammen die Daten von den jeweiligen Benutzern oder von anderen Anwendungen von eurem Haus - z.B. SAP?

Benutzer
Wir mappen dazu über Citrix ein persönliches, bestehendes Netzlaufwerk auf dem Client 1:1 durch

System
Hier solltest du das den Speicher als WebDAV vom Hoster mappen. Somit kann evtl. die Schnittstelle direkt schreiben, da es kein klassisches Netzlaufwerk ist.


Gruß,
Dani
DerWoWusste
DerWoWusste 08.05.2019 um 23:03:53 Uhr
Goto Top
Wenn Du's unbedingt so willst, kannst Du in der Sicherheitsrichtlinie Freigabenamen eintragen, die sogar anonym benutzbar sind: https://docs.microsoft.com/en-us/windows/security/threat-protection/secu ...