Domänenübergreifender Laufwerkszugriff ohne Vertrauensstellung

Hallo Zusammen,

ich habe hier meine interne Infrastruktur, hier habe ich auf 2 Servern Freigaben eingerichtet mit Freigabe- und Sicherheitsberechtigung "Jeder". Ist klar, kann jeder tun und lassen dort.

Nun Habe ich ein angemietetes System mit einer Domäne, DC, etc. Es besteht keine Vertrauensstellung zwischen unseren Domänen, lediglich ein Site2Site-VPN. Hier läuft unser zukünftiges ERP-System, welches dann auf meine lokale Infrastruktur in diese 2 Server Daten ablegen/abholen muss. Wie bewerkstellige ich hier den Zugriff, ohne das ich Explizit mich mit einem Benutzer verbinden oder eine Vertrauensstellung aufbauen muss? Geht das überhaupt?

Danke!

Content-Key: 448803

Url: https://administrator.de/contentid/448803

Ausgedruckt am: 25.01.2022 um 15:01 Uhr

Mitglied: certifiedit.net
certifiedit.net 08.05.2019 um 16:34:12 Uhr
Goto Top
Hallo,

warum ein angemietetes System mit einer eigenen Domäne? Überaus mies geplant, oder was?

Irgendwie musst du einen Handshake erzeugen.

VG
Mitglied: westberliner
westberliner 08.05.2019 aktualisiert um 16:37:06 Uhr
Goto Top
Die IT-Abteilung (ich)war nicht an der Entscheidungsfindung beteiligt, der Anbieter des ERP-Systems (und gleichzeitig Hoster) hatte es "aufgrund des engen Zeitplans" nicht für nötig gehalten, eine Vertrauensstellung mit einzurichten ... bla. Ich darf halt den Mist ausbaden, teilweise auch die User.

Was mich nur wundert, dass die Berechtigungsstufe "Jeder" ignoriert wird.
Mitglied: certifiedit.net
certifiedit.net 08.05.2019 um 16:41:46 Uhr
Goto Top
Zitat von @westberliner:

Die IT-Abteilung (ich)war nicht an der Entscheidungsfindung beteiligt, der Anbieter des ERP-Systems (und gleichzeitig Hoster) hatte es "aufgrund des engen Zeitplans" nicht für nötig gehalten, eine Vertrauensstellung mit einzurichten ... bla. Ich darf halt den Mist ausbaden, teilweise auch die User.

Was mich nur wundert, dass die Berechtigungsstufe "Jeder" ignoriert wird.

...und so, Leute, macht man den Bock zum Gärtner.

Warum denn überhaupt dort eine zweite Domäne. Aber ist hinfällig, die Antwort hast du, zieh es glatt. Wie? Das ist dann ein Projekt, dass du ordentlich betreuen (oder betreuen lassen) solltest.
Mitglied: itisnapanto
itisnapanto 08.05.2019 um 16:45:54 Uhr
Goto Top
Moin moin ,

ohne Vertrauensstellung, wird es immer wieder zu Problemen kommen . Jede Freigabe hilft dir da auch nicht.
Was spricht denn dagegen eine zu machen ?

Alternativ mit Netzlaufwerken arbeiten und mit Scripten incl. Credentials verbinden . Aber auch das wird keine zuverlässige Lösung sein.


Gruss
Mitglied: westberliner
westberliner 08.05.2019 um 16:52:50 Uhr
Goto Top
@certifiedit.net: Meinst aber nicht mich damit, das ich zu unfähig wäre?

Ich habe kein Problem mit einer Vertrauensstellung, aber der Hoster...man hätte nämlich damit auch das Problem erschlagen, dass die User zusätzliche Anmeldedaten zum Anmelden am TS benötigen, mit anderen Passwortpolicies, Anmeldenamen etc etc. ...

Problematisch sehe ich bei Skripten den Sachverhalt, dass hier z.B. EDI-Nachrichten oder Produktionsdaten automatisiert im Hintergrund übergeben werden und nicht Benutzerabhängig. Ich glaube nicht wirklich, dass man hier mit Netzlaufwerken arbeiten kann (und es auch sollte...), da alles im Hintergrund intransparent abläuft.
Mitglied: certifiedit.net
certifiedit.net 08.05.2019 um 16:56:29 Uhr
Goto Top
Zitat von @westberliner:

@certifiedit.net: Meinst aber nicht mich damit, das ich zu unfähig wäre?

Nein, aber etwas unbedarft, "jeder" ist etwas was man nicht macht. Genausowenig, wie any-any.

Ich habe kein Problem mit einer Vertrauensstellung, aber der Hoster...man hätte nämlich damit auch das Problem erschlagen, dass die User zusätzliche Anmeldedaten zum Anmelden am TS benötigen, mit anderen Passwortpolicies, Anmeldenamen etc etc. ...

Wie gesagt, wenn die IT Abteilung es nicht schafft, sich bei IT-Abteilung relevanten Themen entsprechend zu positionieren macht man den Bock zum Gärtner, wenn man dann noch versucht das hinzufrickeln...jup, schlecht.

Problematisch sehe ich bei Skripten den Sachverhalt, dass hier z.B. EDI-Nachrichten oder Produktionsdaten automatisiert im Hintergrund übergeben werden und nicht Benutzerabhängig. Ich glaube nicht wirklich, dass man hier mit Netzlaufwerken arbeiten kann (und es auch sollte...), da alles im Hintergrund intransparent abläuft.

Das kommt auf die Schnittstellen an. Ich hab hier schon SMTP gesehen, find ich - naja - Aber wie gesagt, du brauchst eine ordentliche Projektsteuerung, ansonsten verfrickelt sich das nur weiter.
Mitglied: itisnapanto
itisnapanto 08.05.2019 um 17:18:23 Uhr
Goto Top
Zitat von @westberliner:

@certifiedit.net: Meinst aber nicht mich damit, das ich zu unfähig wäre?

Ich habe kein Problem mit einer Vertrauensstellung, aber der Hoster...man hätte nämlich damit auch das Problem erschlagen, dass die User zusätzliche Anmeldedaten zum Anmelden am TS benötigen, mit anderen Passwortpolicies, Anmeldenamen etc etc. ...

Problematisch sehe ich bei Skripten den Sachverhalt, dass hier z.B. EDI-Nachrichten oder Produktionsdaten automatisiert im Hintergrund übergeben werden und nicht Benutzerabhängig. Ich glaube nicht wirklich, dass man hier mit Netzlaufwerken arbeiten kann (und es auch sollte...), da alles im Hintergrund intransparent abläuft.

Natürlich sollst du nicht mit Scripten arbeiten . Den richtigen Weg kennst du ja.
Kenne die Vertragsdaten nicht . Wenn die ERP Firma euch das betriebsfertig hinstellen muss, würde die Voraussetzungen anfragen und umsetzen . Rest ist doof gesagt deren Problem.

Gruss
Mitglied: Dani
Dani 08.05.2019 um 20:41:26 Uhr
Goto Top
Moin,
Es besteht keine Vertrauensstellung zwischen unseren Domänen, lediglich ein Site2Site-VPN.
Wir haben ein paar wenige System, die absichtlich eine separate Domäne verwaltet werden.

Hier läuft unser zukünftiges ERP-System, welches dann auf meine lokale Infrastruktur in diese 2 Server Daten ablegen/abholen muss.
Stammen die Daten von den jeweiligen Benutzern oder von anderen Anwendungen von eurem Haus - z.B. SAP?

Benutzer
Wir mappen dazu über Citrix ein persönliches, bestehendes Netzlaufwerk auf dem Client 1:1 durch

System
Hier solltest du das den Speicher als WebDAV vom Hoster mappen. Somit kann evtl. die Schnittstelle direkt schreiben, da es kein klassisches Netzlaufwerk ist.


Gruß,
Dani
Mitglied: DerWoWusste
DerWoWusste 08.05.2019 um 23:03:53 Uhr
Goto Top
Wenn Du's unbedingt so willst, kannst Du in der Sicherheitsrichtlinie Freigabenamen eintragen, die sogar anonym benutzbar sind: https://docs.microsoft.com/en-us/windows/security/threat-protection/secu ...
Heiß diskutierte Beiträge
question
Ist diese Hardware sinnvoll für privaten Haushalt?stonevVor 1 TagFrageRouter & Routing5 Kommentare

Hallo erstmal :) Meine alte Fritzbox 7490 spinnt seit gestern. Ich gehe von Alterschwäche aus, es wird also Ersatz fällig. Zufrieden war ich mit ihr ...

question
LTO-5 Bänder Löschen geht nichtkreuzbergerVor 1 TagFrageBackup23 Kommentare

Hallo ihr Helden, ich hab da ein blödes Problem: Ich habe einen Stapel gebrauchte LTO-5-Bänder bekommen, die soweit völlig i. O. sind. Mit welchem Programm ...

question
Teilenummer für weiße Esprimo Mini-PC?LochkartenstanzerVor 1 TagFrageHardware21 Kommentare

Moin, Ich habe eine eigenwillige Kundin, die einen weißen Fujitsu Esprimo Mini-PC haben will. Und der Kundin ist, wie sollte es anders sein, die Farbe ...

question
Ein Smartphone für privat und geschäftliche NutzungNebellichtVor 1 TagFragePeripheriegeräte5 Kommentare

Hallo, für die Firma werden aktuell Smartphone(s) gesucht, die da eine Dual Sim ermöglichen und zusätzlich trennende Sicherheit, d.h. ein Trennen von privaten Daten und ...

question
Tipp für Firewall mit mehreren DHCP-Instanzen für VLAN gesucht gelöst Holly484Vor 22 StundenFrageFirewall5 Kommentare

Hallo zusammen, hatte in einer Gemeinschaftspraxis bisher tolle Erfahrungen mit Netgear über die letzten vielen Jahre gesammelt. Jetzt ist Netgear aus dem Firewall-Business ausgestiegen. Bisher ...

question
Suche nach "Beschreibung"ThabeusVor 1 TagFrageVmware11 Kommentare

Moin, ich stehe gerade auf dem Schlauch bei der Suche nach einer Anleitung. Vielleicht kann mir jemand helfen die "Begrifflichkeit" zu finden. In meinem Netzwerk ...

question
User verschickt mit kryptischer Outlook.com Adresse aus on-prem Exchange 2016LauneBaerVor 1 TagFrageExchange Server10 Kommentare

Servus in die Runde, ich habe ein für mich nicht nachvollziehbares Problem bei einem User, das heute zum 2ten mal aufgetreten ist. Und zwar verschickte ...

question
Windows Admin Center - Zugriff verweigertsaschakpVor 1 TagFrageWindows Update3 Kommentare

Hallo ich habe das Windows Admin Center Installiert, leider bekomme ich beim öffnen die Meldung: Zugriff verweigert Sie sind leider nicht zum Senden dieser Anforderung ...