12
Laufwerk über GPO in fremdem Netzwerk einbinden - wie Alternative Credentials übergeben?
Sicherheit ist toll,
Sicherheit ist mächtich (g)
und ich hab nen Hals
von 3 Meter 60!
Moin!
Ich habe zwei Windows-Domänen. Nennen wir sie DomA und DomB. Die beiden kennen sich nicht, sollen sie auch nicht. Keine Vertrauensstellung also.
In DomA gibt es eine Freigabe, die noch für ca. ein Jahr benötigt wird. Die User, die darauf zugreifen sollen, arbeiten in DomB.
Nun möchte ich zu dieser Freigabe in DomA ein Laufwerk per GPO in DomB verbinden. Jetzt kommt die Verbindung ja von Usern aus einer anderen Domäne. Wenn ich das Laufwerk manuell verbinde, kann ich alternative Anmeldedaten angeben, bei einer Laufwerksverbindung über GPO seit einigen Jahren nicht mehr. So weit, so sicher.
Und jetzt? Ich will nicht ernsthaft bei diversen Usern ein Laufwerk manuell eintragen, bei dem sie immer wieder mal die alten Credentials eintragen müssen und mich jedes Mal anrufen, weil sie schon wieder nicht wissen, wie das Passwort da noch mal war. Ich will es über einen Standarduser lösen, auf Sicherheit brauchen wir an dieser Stelle keine Rücksicht nehmen.
Gibt es eine Möglichkeit, in der GPO die alternativen Credentials doch noch zu hinterlegen? Ich meine: es wäre doch das Gleiche, wenn ich etwa ein NAS über Laufwerksbuchstaben anbinden wollte, das kein SSO kann.
Gruß
Jörg
Sicherheit ist mächtich (g)
und ich hab nen Hals
von 3 Meter 60!
Moin!
Ich habe zwei Windows-Domänen. Nennen wir sie DomA und DomB. Die beiden kennen sich nicht, sollen sie auch nicht. Keine Vertrauensstellung also.
In DomA gibt es eine Freigabe, die noch für ca. ein Jahr benötigt wird. Die User, die darauf zugreifen sollen, arbeiten in DomB.
Nun möchte ich zu dieser Freigabe in DomA ein Laufwerk per GPO in DomB verbinden. Jetzt kommt die Verbindung ja von Usern aus einer anderen Domäne. Wenn ich das Laufwerk manuell verbinde, kann ich alternative Anmeldedaten angeben, bei einer Laufwerksverbindung über GPO seit einigen Jahren nicht mehr. So weit, so sicher.
Und jetzt? Ich will nicht ernsthaft bei diversen Usern ein Laufwerk manuell eintragen, bei dem sie immer wieder mal die alten Credentials eintragen müssen und mich jedes Mal anrufen, weil sie schon wieder nicht wissen, wie das Passwort da noch mal war. Ich will es über einen Standarduser lösen, auf Sicherheit brauchen wir an dieser Stelle keine Rücksicht nehmen.
Gibt es eine Möglichkeit, in der GPO die alternativen Credentials doch noch zu hinterlegen? Ich meine: es wäre doch das Gleiche, wenn ich etwa ein NAS über Laufwerksbuchstaben anbinden wollte, das kein SSO kann.
Gruß
Jörg
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 621121
Url: https://administrator.de/contentid/621121
Printed on: April 19, 2024 at 02:04 o'clock
12 Comments
Latest comment
Hi,
E.
auf Sicherheit brauchen wir an dieser Stelle keine Rücksicht nehmen.
Na, wenn das so gilt, dann trage doch einfach am Ziel "Jeder" mit den entsprechenden Berechtigungen ein.E.
Na sooo sicherheitslos geht dann auch wieder nicht. Was ich meinte, ist: das sind zwei virtuelle Netzwerke, die auf nebeneinander stehender Hardware leben. Keine Zugriffe von außen und so. Es gibt User, die dürfen zugreifen und andere nicht. Der Unterschied soll schon da sein.
Aber gut, ich hätte genauso geantwortet
Jörg
Aber gut, ich hätte genauso geantwortet
Jörg
Hi
Login Skript ? Mit Klartext Passwort ?!
Wäre eine Möglichkeit ?
Sicherheit ist wie bei den alten GPP Objekten hier halt kleingeschrieben.
Wenn es unbedingt das GPP Objekt sein soll musst du "nur" die GPO XML manipulieren.
Such dir nen weg aus
Mit freundlichen Grüßen Nemesis
Login Skript ? Mit Klartext Passwort ?!
Wäre eine Möglichkeit ?
Sicherheit ist wie bei den alten GPP Objekten hier halt kleingeschrieben.
Wenn es unbedingt das GPP Objekt sein soll musst du "nur" die GPO XML manipulieren.
Such dir nen weg aus
Mit freundlichen Grüßen Nemesis
Moin!
Kannst du für die Freigabe einen eigenen User erstellen und den im Klartext in eine .bat schreiben und diese per GPO verteilen?
Mir ist leider kein Weg bekannt, wie man bei GPPs Logindaten mitgeben kann, die Möglichkeit habe ich auch schon vergeblich gesucht.
MfG
Kannst du für die Freigabe einen eigenen User erstellen und den im Klartext in eine .bat schreiben und diese per GPO verteilen?
Mir ist leider kein Weg bekannt, wie man bei GPPs Logindaten mitgeben kann, die Möglichkeit habe ich auch schon vergeblich gesucht.
MfG
Hinterlege die Creds doch im Credential-Store des Users (cmdkey), dann ist ein mitgeben der Credentials zum Mappen des Laufwerks nicht mehr nötig.
Muss man für cmdkey lokale Adminrechte haben? Oder kann man das auch im Userkontext nutzen?
Wäre natürlich eine geschmeidige Lösung. Jetzt muss nur noch Windows 10 2004+ die Infos auch in der Anmeldeinformationsverwaltung speichern *hust*.
MfG
Wäre natürlich eine geschmeidige Lösung. Jetzt muss nur noch Windows 10 2004+ die Infos auch in der Anmeldeinformationsverwaltung speichern *hust*.
MfG
1
Sehr cool, Window! Funktioniert sofort und ohne Umwege! Ist gekauft!
So brauche ich kein Klartextkennwort, keine Batchdateien und wenn ich das Laufwerk später wieder wegnehme, ist es mit wenigen Klicks raus, ohne dass noch irgendwer suchen muss, wo ich denn nun was eingestellt habe.
Merci!
Allen anderen natürlich auch danke fürs Mitdenken und die insgesamt durchaus brauchbaren Vorschläge. XML manipulieren fand ich auch nett.
Jörg
So brauche ich kein Klartextkennwort, keine Batchdateien und wenn ich das Laufwerk später wieder wegnehme, ist es mit wenigen Klicks raus, ohne dass noch irgendwer suchen muss, wo ich denn nun was eingestellt habe.
Merci!
Allen anderen natürlich auch danke fürs Mitdenken und die insgesamt durchaus brauchbaren Vorschläge. XML manipulieren fand ich auch nett.
Jörg
Nein, so lange der User nur seinen eigenen Store bearbeitet nicht.
Oder kann man das auch im Userkontext nutzen?
Ja, klar.1
Cool, danke für die Info. Dann kann man das ja auch zentral ausrollen, nice.
MfG
MfG
Aber hoffentlich nicht das Kennwort im Klartext in nem Skript verknoten und über den Äther blasen. Dann lieber das Kennwort geschützt in einem AD-Attribut hinterlegen welches nur der User selbst lesen kann (Attribut-ACL), und das Kennwort dann im Skript via LDAPs im Userkontext aus dem AD abfragen.
1
Moin,
Stell doch da einfach eine (notfalls virtuelle) Kiste mit Samba hin, das das Laufwerk mit den credentials der Domäne A mountet und für User der Domain B freigibt. Dann brauchst Du Dir keinen Kopf wegen der Credentials machen.
lks
Stell doch da einfach eine (notfalls virtuelle) Kiste mit Samba hin, das das Laufwerk mit den credentials der Domäne A mountet und für User der Domain B freigibt. Dann brauchst Du Dir keinen Kopf wegen der Credentials machen.
lks
Zitat von @Lochkartenstanzer:
Stell doch da einfach eine (notfalls virtuelle) Kiste mit Samba hin, ...
Stell doch da einfach eine (notfalls virtuelle) Kiste mit Samba hin, ...
Auch ne nette Idee. Allerdings will ich die alte Domäne gerade sterben lassen und so viel wie möglich da raus haben. Laut Plan brauche ich das alles in sechs Wochen nicht mehr. Allerdings kenne ich die Pläne unseres Projektfuzzis, deswegen habe ich eine andere Zeitrechnung
