7
Geräteauthentifizierung mit AD
Guten Morgen alle zusammen,
meine erste Frage hier:
Einer unserer Mitarbeiter hatten seinen eigenes Notebook im Betrieb. Dieses möchte ich in Zukunft unterbinden indem ich eine Geräteauthentifizierung mit dem AD mache.
Gibt es eine Möglichkeit IP`s nur zu vergeben, die nur im AD sind?
Oder andere mögliche Vorschläge?
Gruß und Danke
dzinasblt
meine erste Frage hier:
Einer unserer Mitarbeiter hatten seinen eigenes Notebook im Betrieb. Dieses möchte ich in Zukunft unterbinden indem ich eine Geräteauthentifizierung mit dem AD mache.
Gibt es eine Möglichkeit IP`s nur zu vergeben, die nur im AD sind?
Oder andere mögliche Vorschläge?
Gruß und Danke
dzinasblt
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 278134
Url: https://administrator.de/forum/geraeteauthentifizierung-mit-ad-278134.html
Ausgedruckt am: 13.04.2025 um 09:04 Uhr
7 Kommentare
Neuester Kommentar
Du kannst via GPO verbieten dass User neue Rechner bzw Computer in die Domäne aufnehmen.
http://deadaffebeef.com/blog/active-directory-domanenbeitritt-von-compu ...
damit kann er dann zwar sein privates Notebook mitbringen aber kann damit in bezug auf das AD nix anfangen
http://deadaffebeef.com/blog/active-directory-domanenbeitritt-von-compu ...
damit kann er dann zwar sein privates Notebook mitbringen aber kann damit in bezug auf das AD nix anfangen
Hallo,
- Kabel gebundene Geräte via LDAP
- Kabel lose Geräte via Radius Server
- Kabel lose Geräte von Kunden bzw. Gästen via Captive Portal
- Nur statische (fix bzw. fest) IPs vergeben für alle Kabel gebundenen Geräte
Zusätzlich kann man mit folgenden Sachen arbeiten;
- IDS/IPS
- Switch ACLs
- Firewalls ACLs
- Zertifikate nutzen
- Ungenutzte Switchports sperren
- WLAN Rouge Host detection am WLAN Controller aktivieren
- MAC und IP Adresse über Syn Cookies speichern
- Squid Proxy installieren und dann die Logs auch auslesen
Des weiteren kann man auch eine Arbeitsanweisung von allen MA
unterschreiben lassen.
Alternative:
BYOD nur via WLAN und in einem eigenen VLAN Zugriff auf das Internet gestatten.
Gruß
Dobby
- Kabel gebundene Geräte via LDAP
- Kabel lose Geräte via Radius Server
- Kabel lose Geräte von Kunden bzw. Gästen via Captive Portal
- Nur statische (fix bzw. fest) IPs vergeben für alle Kabel gebundenen Geräte
Zusätzlich kann man mit folgenden Sachen arbeiten;
- IDS/IPS
- Switch ACLs
- Firewalls ACLs
- Zertifikate nutzen
- Ungenutzte Switchports sperren
- WLAN Rouge Host detection am WLAN Controller aktivieren
- MAC und IP Adresse über Syn Cookies speichern
- Squid Proxy installieren und dann die Logs auch auslesen
Des weiteren kann man auch eine Arbeitsanweisung von allen MA
unterschreiben lassen.
Alternative:
BYOD nur via WLAN und in einem eigenen VLAN Zugriff auf das Internet gestatten.
Gruß
Dobby
Moin Tjelvar.
damit kann er dann zwar sein privates Notebook mitbringen aber kann damit in bezug auf das AD nix anfangen
Irrtum. Per default darf sich jeder AD-Nutzer überall anmelden/authentifizieren. Das schließt die Authentifizierung an Nicht-Domänen-PCs mit ein. Du kannst also unter Eingabe Deiner Domänencredentials von einem x-beliebigen PC auf Domänenressourcen zugreifen.Zitat von @DerWoWusste:
Moin Tjelvar.
> damit kann er dann zwar sein privates Notebook mitbringen aber kann damit in bezug auf das AD nix anfangen
Irrtum. Per default darf sich jeder AD-Nutzer überall anmelden/authentifizieren. Das schließt die Authentifizierung an
Nicht-Domänen-PCs mit ein. Du kannst also unter Eingabe Deiner Domänencredentials von einem x-beliebigen PC auf
Domänenressourcen zugreifen.
Moin Tjelvar.
> damit kann er dann zwar sein privates Notebook mitbringen aber kann damit in bezug auf das AD nix anfangen
Irrtum. Per default darf sich jeder AD-Nutzer überall anmelden/authentifizieren. Das schließt die Authentifizierung an
Nicht-Domänen-PCs mit ein. Du kannst also unter Eingabe Deiner Domänencredentials von einem x-beliebigen PC auf
Domänenressourcen zugreifen.
und jetzt lesen wir nochmal den Satz vorher und den Link dazu und korrigieren unsere Aussage
Die GPO hat damit nur leider gar nichts zu tun.
Servus,
und ich dachte, meine Abstimmung hierzu mit den Kollegen klappt, ohne dass ich eine der o.g. Maßnahmen ergreifen muss...
Bis ich gestern über The Dude ein mir zunächst unbekanntes Notebook einer Außenstelle entdeckt hatte und ich schon befürchtete, dass hier jemand sein privates Notebook einsetzt.
Heute hat sich im Gespräch herausgestellt, dass es sich um ein beruflich verwendetes Gerät handelt, das ohne meine Kenntnisnahme bei einem örtlichen Händler für diese Außenstelle eingekauft wurde.
Gerät ist jetzt mal temporär deaktiviert, bis ich vor allem die Konfig und den AV vor Ort checken konnte.
Gruß,
VGem-e
und ich dachte, meine Abstimmung hierzu mit den Kollegen klappt, ohne dass ich eine der o.g. Maßnahmen ergreifen muss...
Bis ich gestern über The Dude ein mir zunächst unbekanntes Notebook einer Außenstelle entdeckt hatte und ich schon befürchtete, dass hier jemand sein privates Notebook einsetzt.
Heute hat sich im Gespräch herausgestellt, dass es sich um ein beruflich verwendetes Gerät handelt, das ohne meine Kenntnisnahme bei einem örtlichen Händler für diese Außenstelle eingekauft wurde.
Gerät ist jetzt mal temporär deaktiviert, bis ich vor allem die Konfig und den AV vor Ort checken konnte.
Gruß,
VGem-e
