Freigaben nur für Domänen-PCs
Hi Leute,
ich stehe vor folgendem Problem:
In einer kleinen 2k3-Domäne soll der Zugriff auf Server-Freigaben nur von PCs aus möglich sein, die Domänen-Mitglied sind.
Da ich auf Freigabeebene den Zugriff nicht auf Computerkonten beschränken kann hab ich mittlerweile rausgefunden und der Switch kennt auch keine "Port-Security"-Funktion.
Weiß jemand, ob ich über die Sicherheitsrichtlinien den Zugriff von nich-Domänen-Mitgleidern unterbinden kann ?
Oder per GP ? So das nur die Maschinen Zugriff bekommen, bei denen die RL greift ?
Bin mal gespannt was euch einfällt
ich stehe vor folgendem Problem:
In einer kleinen 2k3-Domäne soll der Zugriff auf Server-Freigaben nur von PCs aus möglich sein, die Domänen-Mitglied sind.
Da ich auf Freigabeebene den Zugriff nicht auf Computerkonten beschränken kann hab ich mittlerweile rausgefunden und der Switch kennt auch keine "Port-Security"-Funktion.
Weiß jemand, ob ich über die Sicherheitsrichtlinien den Zugriff von nich-Domänen-Mitgleidern unterbinden kann ?
Oder per GP ? So das nur die Maschinen Zugriff bekommen, bei denen die RL greift ?
Bin mal gespannt was euch einfällt
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 67687
Url: https://administrator.de/forum/freigaben-nur-fuer-domaenen-pcs-67687.html
Ausgedruckt am: 25.12.2024 um 13:12 Uhr
23 Kommentare
Neuester Kommentar
Naja etwas umständlich:
Du richtest den DNS Server für ein anderes Subnetz ein. Den Pcs bei euch gibst du dann feste IP Adressen (am bestern per statischer IP) und entziehst den Benutzer per GPO das Recht die Eingabeaufforderung auszuführen und lässte Sie nur unter Hauptbenutzerrechte arbeiten. So haben Sie keinen Einblick in die IP Adressen, bekommen wenn Sie sich einbinden wollen falsche Adressen zugestellt die nicht auf euer Netzwerk zeigen.
Gab es beim DHCP Server nicht auch irgendwas mit Gruppen? Und du kannst den Gruppen dann berechtigungen verpassen. Muss mal in meinem dicken Grünen nachgucken, kann aber 1 -2 Tage dauern.
Alternativ (einfacher ;) ) baust du alle nicht belegten Patchdosen zurück, sprich du schliesst nicht belegte Patchdosen nicht am Switch an. Dann besteht aber immer noch die Gefahr, das der User das Netzwerkkabel aus dem Arbeitspc ziehen und anschliessen.
Ich weis ja nicht was da bei euch verbotenes Lagert das du keinen zugriff auf Freigaben geben willst, aber in Zeiten von einer USB-Stickgroösse von 4 GB oder 2,5" Wechselplatten, musst du dann auch auf den Arbeitspcs das anstecken von USB Geräten abschalten.
Thomas
Du richtest den DNS Server für ein anderes Subnetz ein. Den Pcs bei euch gibst du dann feste IP Adressen (am bestern per statischer IP) und entziehst den Benutzer per GPO das Recht die Eingabeaufforderung auszuführen und lässte Sie nur unter Hauptbenutzerrechte arbeiten. So haben Sie keinen Einblick in die IP Adressen, bekommen wenn Sie sich einbinden wollen falsche Adressen zugestellt die nicht auf euer Netzwerk zeigen.
Gab es beim DHCP Server nicht auch irgendwas mit Gruppen? Und du kannst den Gruppen dann berechtigungen verpassen. Muss mal in meinem dicken Grünen nachgucken, kann aber 1 -2 Tage dauern.
Alternativ (einfacher ;) ) baust du alle nicht belegten Patchdosen zurück, sprich du schliesst nicht belegte Patchdosen nicht am Switch an. Dann besteht aber immer noch die Gefahr, das der User das Netzwerkkabel aus dem Arbeitspc ziehen und anschliessen.
Ich weis ja nicht was da bei euch verbotenes Lagert das du keinen zugriff auf Freigaben geben willst, aber in Zeiten von einer USB-Stickgroösse von 4 GB oder 2,5" Wechselplatten, musst du dann auch auf den Arbeitspcs das anstecken von USB Geräten abschalten.
Thomas
Die Frage ist doch: Von wie vielen Clients reden wir denn??
Grüße
Dani
Alle Domänen-PCs mit statischen DHCP-Leases ausstatten
Sobald der User die Daten von seinem Arbeitsplatz weiß, trägt er diese bei seinem Notebook ein und gut ist.Auf dem Server eine Software-Firewall einsetzen um alle IPs im lokalen Subnetz ausser den
Bekannten zu sperren
Somit ist diese Maßnahme für die Katz (siehe oben).Bekannten zu sperren
Du richtest den DNS Server für ein anderes Subnetz ein.
Den Spaß kannst du aber bei > 50 Clients vergessen. Denn somit musst du immer, wenn ein Client n defekt an der Netzwerkkarte oder aber ausgetauscht, ein Neuer kommt alles anpssen => kostet viel Zeit!Dann besteht aber immer noch die Gefahr, das der User das Netzwerkkabel aus dem
Arbeitspc ziehen und anschliessen.
Richtig...bringt auch nichts!Arbeitspc ziehen und anschliessen.
Grüße
Dani
Sie könnten immernoch das Status-Fenster der Netzwerkverbindung öffnen, da steht die IP
auch drin. Aber vom Prinzip her ist die Idee mit nem DHCP (meintest du bestimmt) im falschen > Netz ganz nett
Wiederspricht sich so...wenn er die Daten weiß, ist der DHCP Fake außen vor, oder??auch drin. Aber vom Prinzip her ist die Idee mit nem DHCP (meintest du bestimmt) im falschen > Netz ganz nett
Wie ist denn dein Netzwerk aufgebaut (vllt. ne kl. Zeichung samt allen Geräten - Server, Clients, Router, Switche, etc..). Somit finden wir vllt. noch eine andere Möglichkeit.
Kannst du uns bitte noch den Namen von Switche, Router nennen?. Vllt. haben die ein kl. hilfreiches Feature.
Grüße
Dani
Jepp Sorry vertippt.
Meinte natürlich den DHCP Server.
Wie ist den die Anwendung installiert?
Werden die Patientendaten den nicht auf einem zentralen Server gespeichert? Dann sollte der PC doch nur ein Frontend besitzen. und die Freigabegeschichte nicht notwendig sein.
Ansonsten würde ich mir mal das Patientenverwaltungsprogramm überdenken.
Was mir gerade noch einfällt:
Wenn du den Usern nur ändern und Schreibrechte, aber keine Leserechte für die Freigabe gibst, reicht das nicht aus?
Gute Nacht, ich denk schon wieder wirres Zeug ;)
Meinte natürlich den DHCP Server.
Wie ist den die Anwendung installiert?
Werden die Patientendaten den nicht auf einem zentralen Server gespeichert? Dann sollte der PC doch nur ein Frontend besitzen. und die Freigabegeschichte nicht notwendig sein.
Ansonsten würde ich mir mal das Patientenverwaltungsprogramm überdenken.
Was mir gerade noch einfällt:
Wenn du den Usern nur ändern und Schreibrechte, aber keine Leserechte für die Freigabe gibst, reicht das nicht aus?
Gute Nacht, ich denk schon wieder wirres Zeug ;)
Ich hab das über feste IP´s und RL geregelt.
Die Thematik ist mir nicht unbekannt und es gibt da mächtige Tools, welche auch gut geld kosten.
Hardwaredevicemanagemant in der domäne ist wichtig, allerdings wenn der client kein mitglied ist wüsst ich auch nicht weiter.
Merken wirst du es wenn es zu spät ist, dann kann der admin ja mal wenigstens in den leases schauen wer es war (wennn DHCP verfügbar)
Schon mal nach nem tool gesucht waas den Ordnerzugriff kontrolliert oder managed? muss ja nicht die Freigabe sein die gesteuert wird.
Die Thematik ist mir nicht unbekannt und es gibt da mächtige Tools, welche auch gut geld kosten.
Hardwaredevicemanagemant in der domäne ist wichtig, allerdings wenn der client kein mitglied ist wüsst ich auch nicht weiter.
Merken wirst du es wenn es zu spät ist, dann kann der admin ja mal wenigstens in den leases schauen wer es war (wennn DHCP verfügbar)
Schon mal nach nem tool gesucht waas den Ordnerzugriff kontrolliert oder managed? muss ja nicht die Freigabe sein die gesteuert wird.
Hallo,
es gibt ja noch die Möglichkeit im AD den User bei der Anmledung auf gestimmte PC einzuschränken (Anmleden an Da bin ich mir aber nicht sicher, ob das auch zieht, wenn man ein Netz-LW mouten will.
Ansonsten könntest DU uns vielleicht verraten, was Du _genau_ mit dieser Aktion erreichen möchtest. Der Schutz der Pat.-Daten kann es alleine nicht sein, denn die Mitarbeiten kommen sich ja an den PCs anmelden und so in die Patientenakte schauen. Willst Du Datentransfer verbieten, dann mußt Du auch die "legalen" PCs abdichten (USB usw.)
Geht es darum "einfach nur" private PCs oder Laptops aus dem Netz fern zuhalten, würde ich dort keine großen technischen Verrenkungen anstellen, sondern das über eine Dienstanweisung des Arbeitgebers machen, wo eindeutig drinnnsteht, dass es verboten ist solche Geräte ins Netz zu hängen. Mit der eindeutigen Ansage, dass das ein Abmahnungsgrund ist!
Das geht vor jedem Arbeitsgericht druch, zumal ihr ja auch noch sensieble Pat.-Daten habt.
Ralf
es gibt ja noch die Möglichkeit im AD den User bei der Anmledung auf gestimmte PC einzuschränken (Anmleden an Da bin ich mir aber nicht sicher, ob das auch zieht, wenn man ein Netz-LW mouten will.
Ansonsten könntest DU uns vielleicht verraten, was Du _genau_ mit dieser Aktion erreichen möchtest. Der Schutz der Pat.-Daten kann es alleine nicht sein, denn die Mitarbeiten kommen sich ja an den PCs anmelden und so in die Patientenakte schauen. Willst Du Datentransfer verbieten, dann mußt Du auch die "legalen" PCs abdichten (USB usw.)
Geht es darum "einfach nur" private PCs oder Laptops aus dem Netz fern zuhalten, würde ich dort keine großen technischen Verrenkungen anstellen, sondern das über eine Dienstanweisung des Arbeitgebers machen, wo eindeutig drinnnsteht, dass es verboten ist solche Geräte ins Netz zu hängen. Mit der eindeutigen Ansage, dass das ein Abmahnungsgrund ist!
Das geht vor jedem Arbeitsgericht druch, zumal ihr ja auch noch sensieble Pat.-Daten habt.
Ralf
Moin!
Außerdem, jede Sicherheit hat seinen Preis. So ein Radius ist für ein kl. Netz ziemlich schnell eingerichtet.
Grüße
Dani
Kann ich mir nicht einfach selbst ein Zertifikat erstellen und auf den Rechnern verteilen, die
auf den Server zugreifen dürfen ?
Ist für uns keine Option...weil wir mit Zertifikaten etc... schon schlechte Erfahrungen gemacht haben.auf den Server zugreifen dürfen ?
Außerdem, jede Sicherheit hat seinen Preis. So ein Radius ist für ein kl. Netz ziemlich schnell eingerichtet.
Grüße
Dani
Hi Chris?!,
Grüße
Dani
Welche schlechten Erfahrungen habt ihr denn gemacht,
Naja..manche Zertifikate waren einfach nicht mehr von einem auf den anderen Tag gültig. Bis du dann überhaupt weißt, dass es am Zertifikat liegt verging viel Zeit.weshalb das keine Option für euch ist ?
Das Ganze musst du ja an jedem Client manuell (gehts heute schon automatisch?) einrichten. Das war uns zu stressig. Die Anzahl der Clients war auch ein bisschen größer (100 - 200).Grüße
Dani
Hallo c-webber,
hoffe dein Problem hat sich mittlerweile erledigt. Falls nicht, versuch mal IPSec-Richtlinien zu definieren. D.h. jeder Client muss vor jeder Verbindungsaufnahme mit dem Server die eingestellte Sicherheit aushandeln. Das geht mit sowohl mit Zertifikaten, aber auch mit der einfachsten Variante, einen zuvor fest definierten Schlüssel auf dem Client und den Server zu hinterlegen.
Ich glaube diese Verfahrensweise könnte dein Problem lösen. Allerdings kostet IPSec ein
Haufen CPUZeit, aber wenn deine Maschinen das mitmachen, warum nicht.
Ansonsten fällt mir jetzt auch nur noch PortSecurity auf VLAN-fähgen Switches ein. So wahnsinnig
teuer sind die heutzutage auch nicht mehr.
Nun dann ... hoffe damit geholfen zu haben.
Viele Grüsse
Joerg
hoffe dein Problem hat sich mittlerweile erledigt. Falls nicht, versuch mal IPSec-Richtlinien zu definieren. D.h. jeder Client muss vor jeder Verbindungsaufnahme mit dem Server die eingestellte Sicherheit aushandeln. Das geht mit sowohl mit Zertifikaten, aber auch mit der einfachsten Variante, einen zuvor fest definierten Schlüssel auf dem Client und den Server zu hinterlegen.
Ich glaube diese Verfahrensweise könnte dein Problem lösen. Allerdings kostet IPSec ein
Haufen CPUZeit, aber wenn deine Maschinen das mitmachen, warum nicht.
Ansonsten fällt mir jetzt auch nur noch PortSecurity auf VLAN-fähgen Switches ein. So wahnsinnig
teuer sind die heutzutage auch nicht mehr.
Nun dann ... hoffe damit geholfen zu haben.
Viele Grüsse
Joerg