Domänenübergreifender Laufwerkszugriff ohne Vertrauensstellung
Hallo Zusammen,
ich habe hier meine interne Infrastruktur, hier habe ich auf 2 Servern Freigaben eingerichtet mit Freigabe- und Sicherheitsberechtigung "Jeder". Ist klar, kann jeder tun und lassen dort.
Nun Habe ich ein angemietetes System mit einer Domäne, DC, etc. Es besteht keine Vertrauensstellung zwischen unseren Domänen, lediglich ein Site2Site-VPN. Hier läuft unser zukünftiges ERP-System, welches dann auf meine lokale Infrastruktur in diese 2 Server Daten ablegen/abholen muss. Wie bewerkstellige ich hier den Zugriff, ohne das ich Explizit mich mit einem Benutzer verbinden oder eine Vertrauensstellung aufbauen muss? Geht das überhaupt?
Danke!
ich habe hier meine interne Infrastruktur, hier habe ich auf 2 Servern Freigaben eingerichtet mit Freigabe- und Sicherheitsberechtigung "Jeder". Ist klar, kann jeder tun und lassen dort.
Nun Habe ich ein angemietetes System mit einer Domäne, DC, etc. Es besteht keine Vertrauensstellung zwischen unseren Domänen, lediglich ein Site2Site-VPN. Hier läuft unser zukünftiges ERP-System, welches dann auf meine lokale Infrastruktur in diese 2 Server Daten ablegen/abholen muss. Wie bewerkstellige ich hier den Zugriff, ohne das ich Explizit mich mit einem Benutzer verbinden oder eine Vertrauensstellung aufbauen muss? Geht das überhaupt?
Danke!
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 448803
Url: https://administrator.de/contentid/448803
Ausgedruckt am: 25.11.2024 um 11:11 Uhr
9 Kommentare
Neuester Kommentar
Zitat von @westberliner:
Die IT-Abteilung (ich)war nicht an der Entscheidungsfindung beteiligt, der Anbieter des ERP-Systems (und gleichzeitig Hoster) hatte es "aufgrund des engen Zeitplans" nicht für nötig gehalten, eine Vertrauensstellung mit einzurichten ... bla. Ich darf halt den Mist ausbaden, teilweise auch die User.
Was mich nur wundert, dass die Berechtigungsstufe "Jeder" ignoriert wird.
Die IT-Abteilung (ich)war nicht an der Entscheidungsfindung beteiligt, der Anbieter des ERP-Systems (und gleichzeitig Hoster) hatte es "aufgrund des engen Zeitplans" nicht für nötig gehalten, eine Vertrauensstellung mit einzurichten ... bla. Ich darf halt den Mist ausbaden, teilweise auch die User.
Was mich nur wundert, dass die Berechtigungsstufe "Jeder" ignoriert wird.
...und so, Leute, macht man den Bock zum Gärtner.
Warum denn überhaupt dort eine zweite Domäne. Aber ist hinfällig, die Antwort hast du, zieh es glatt. Wie? Das ist dann ein Projekt, dass du ordentlich betreuen (oder betreuen lassen) solltest.
Nein, aber etwas unbedarft, "jeder" ist etwas was man nicht macht. Genausowenig, wie any-any.
Ich habe kein Problem mit einer Vertrauensstellung, aber der Hoster...man hätte nämlich damit auch das Problem erschlagen, dass die User zusätzliche Anmeldedaten zum Anmelden am TS benötigen, mit anderen Passwortpolicies, Anmeldenamen etc etc. ...
Wie gesagt, wenn die IT Abteilung es nicht schafft, sich bei IT-Abteilung relevanten Themen entsprechend zu positionieren macht man den Bock zum Gärtner, wenn man dann noch versucht das hinzufrickeln...jup, schlecht.
Problematisch sehe ich bei Skripten den Sachverhalt, dass hier z.B. EDI-Nachrichten oder Produktionsdaten automatisiert im Hintergrund übergeben werden und nicht Benutzerabhängig. Ich glaube nicht wirklich, dass man hier mit Netzlaufwerken arbeiten kann (und es auch sollte...), da alles im Hintergrund intransparent abläuft.
Das kommt auf die Schnittstellen an. Ich hab hier schon SMTP gesehen, find ich - naja - Aber wie gesagt, du brauchst eine ordentliche Projektsteuerung, ansonsten verfrickelt sich das nur weiter.
Zitat von @westberliner:
@certifiedit.net: Meinst aber nicht mich damit, das ich zu unfähig wäre?
Ich habe kein Problem mit einer Vertrauensstellung, aber der Hoster...man hätte nämlich damit auch das Problem erschlagen, dass die User zusätzliche Anmeldedaten zum Anmelden am TS benötigen, mit anderen Passwortpolicies, Anmeldenamen etc etc. ...
Problematisch sehe ich bei Skripten den Sachverhalt, dass hier z.B. EDI-Nachrichten oder Produktionsdaten automatisiert im Hintergrund übergeben werden und nicht Benutzerabhängig. Ich glaube nicht wirklich, dass man hier mit Netzlaufwerken arbeiten kann (und es auch sollte...), da alles im Hintergrund intransparent abläuft.
@certifiedit.net: Meinst aber nicht mich damit, das ich zu unfähig wäre?
Ich habe kein Problem mit einer Vertrauensstellung, aber der Hoster...man hätte nämlich damit auch das Problem erschlagen, dass die User zusätzliche Anmeldedaten zum Anmelden am TS benötigen, mit anderen Passwortpolicies, Anmeldenamen etc etc. ...
Problematisch sehe ich bei Skripten den Sachverhalt, dass hier z.B. EDI-Nachrichten oder Produktionsdaten automatisiert im Hintergrund übergeben werden und nicht Benutzerabhängig. Ich glaube nicht wirklich, dass man hier mit Netzlaufwerken arbeiten kann (und es auch sollte...), da alles im Hintergrund intransparent abläuft.
Natürlich sollst du nicht mit Scripten arbeiten . Den richtigen Weg kennst du ja.
Kenne die Vertragsdaten nicht . Wenn die ERP Firma euch das betriebsfertig hinstellen muss, würde die Voraussetzungen anfragen und umsetzen . Rest ist doof gesagt deren Problem.
Gruss
Moin,
Benutzer
Wir mappen dazu über Citrix ein persönliches, bestehendes Netzlaufwerk auf dem Client 1:1 durch
System
Hier solltest du das den Speicher als WebDAV vom Hoster mappen. Somit kann evtl. die Schnittstelle direkt schreiben, da es kein klassisches Netzlaufwerk ist.
Gruß,
Dani
Es besteht keine Vertrauensstellung zwischen unseren Domänen, lediglich ein Site2Site-VPN.
Wir haben ein paar wenige System, die absichtlich eine separate Domäne verwaltet werden.Hier läuft unser zukünftiges ERP-System, welches dann auf meine lokale Infrastruktur in diese 2 Server Daten ablegen/abholen muss.
Stammen die Daten von den jeweiligen Benutzern oder von anderen Anwendungen von eurem Haus - z.B. SAP?Benutzer
Wir mappen dazu über Citrix ein persönliches, bestehendes Netzlaufwerk auf dem Client 1:1 durch
System
Hier solltest du das den Speicher als WebDAV vom Hoster mappen. Somit kann evtl. die Schnittstelle direkt schreiben, da es kein klassisches Netzlaufwerk ist.
Gruß,
Dani
Wenn Du's unbedingt so willst, kannst Du in der Sicherheitsrichtlinie Freigabenamen eintragen, die sogar anonym benutzbar sind: https://docs.microsoft.com/en-us/windows/security/threat-protection/secu ...