yotyot
Goto Top

Laufwerk über GPO in fremdem Netzwerk einbinden - wie Alternative Credentials übergeben?

Sicherheit ist toll,
Sicherheit ist mächtich (g)
und ich hab nen Hals
von 3 Meter 60!

Moin!

Ich habe zwei Windows-Domänen. Nennen wir sie DomA und DomB. Die beiden kennen sich nicht, sollen sie auch nicht. Keine Vertrauensstellung also.
In DomA gibt es eine Freigabe, die noch für ca. ein Jahr benötigt wird. Die User, die darauf zugreifen sollen, arbeiten in DomB.
Nun möchte ich zu dieser Freigabe in DomA ein Laufwerk per GPO in DomB verbinden. Jetzt kommt die Verbindung ja von Usern aus einer anderen Domäne. Wenn ich das Laufwerk manuell verbinde, kann ich alternative Anmeldedaten angeben, bei einer Laufwerksverbindung über GPO seit einigen Jahren nicht mehr. So weit, so sicher.

Und jetzt? Ich will nicht ernsthaft bei diversen Usern ein Laufwerk manuell eintragen, bei dem sie immer wieder mal die alten Credentials eintragen müssen und mich jedes Mal anrufen, weil sie schon wieder nicht wissen, wie das Passwort da noch mal war. Ich will es über einen Standarduser lösen, auf Sicherheit brauchen wir an dieser Stelle keine Rücksicht nehmen.

Gibt es eine Möglichkeit, in der GPO die alternativen Credentials doch noch zu hinterlegen? Ich meine: es wäre doch das Gleiche, wenn ich etwa ein NAS über Laufwerksbuchstaben anbinden wollte, das kein SSO kann.

Gruß

Jörg

Content-ID: 621121

Url: https://administrator.de/forum/laufwerk-ueber-gpo-in-fremdem-netzwerk-einbinden-wie-alternative-credentials-uebergeben-621121.html

Ausgedruckt am: 25.12.2024 um 18:12 Uhr

emeriks
emeriks 10.11.2020 um 15:47:09 Uhr
Goto Top
Hi,
auf Sicherheit brauchen wir an dieser Stelle keine Rücksicht nehmen.
Na, wenn das so gilt, dann trage doch einfach am Ziel "Jeder" mit den entsprechenden Berechtigungen ein.

E.
YotYot
YotYot 10.11.2020 um 16:34:33 Uhr
Goto Top
Na sooo sicherheitslos geht dann auch wieder nicht. Was ich meinte, ist: das sind zwei virtuelle Netzwerke, die auf nebeneinander stehender Hardware leben. Keine Zugriffe von außen und so. Es gibt User, die dürfen zugreifen und andere nicht. Der Unterschied soll schon da sein.

Aber gut, ich hätte genauso geantwortet face-wink

Jörg
nEmEsIs
nEmEsIs 10.11.2020 um 16:38:56 Uhr
Goto Top
Hi

Login Skript ? Mit Klartext Passwort ?!
Wäre eine Möglichkeit ?
Sicherheit ist wie bei den alten GPP Objekten hier halt kleingeschrieben.
Wenn es unbedingt das GPP Objekt sein soll musst du "nur" die GPO XML manipulieren.
Such dir nen weg aus face-wink

Mit freundlichen Grüßen Nemesis
support-m
support-m 10.11.2020 um 16:40:20 Uhr
Goto Top
Moin!
Kannst du für die Freigabe einen eigenen User erstellen und den im Klartext in eine .bat schreiben und diese per GPO verteilen?
Mir ist leider kein Weg bekannt, wie man bei GPPs Logindaten mitgeben kann, die Möglichkeit habe ich auch schon vergeblich gesucht.

MfG
146189
Lösung 146189 10.11.2020 aktualisiert um 16:42:35 Uhr
Goto Top
Hinterlege die Creds doch im Credential-Store des Users (cmdkey), dann ist ein mitgeben der Credentials zum Mappen des Laufwerks nicht mehr nötig.
support-m
support-m 10.11.2020 um 16:45:22 Uhr
Goto Top
Muss man für cmdkey lokale Adminrechte haben? Oder kann man das auch im Userkontext nutzen?
Wäre natürlich eine geschmeidige Lösung. Jetzt muss nur noch Windows 10 2004+ die Infos auch in der Anmeldeinformationsverwaltung speichern *hust*.

MfG
YotYot
YotYot 10.11.2020 um 16:53:14 Uhr
Goto Top
Sehr cool, Window! Funktioniert sofort und ohne Umwege! Ist gekauft!

So brauche ich kein Klartextkennwort, keine Batchdateien und wenn ich das Laufwerk später wieder wegnehme, ist es mit wenigen Klicks raus, ohne dass noch irgendwer suchen muss, wo ich denn nun was eingestellt habe.

Merci!

Allen anderen natürlich auch danke fürs Mitdenken und die insgesamt durchaus brauchbaren Vorschläge. XML manipulieren fand ich auch nett.

Jörg
146189
146189 10.11.2020 aktualisiert um 16:58:48 Uhr
Goto Top
Zitat von @support-m:
Muss man für cmdkey lokale Adminrechte haben?
Nein, so lange der User nur seinen eigenen Store bearbeitet nicht.
Oder kann man das auch im Userkontext nutzen?
Ja, klar.
support-m
support-m 10.11.2020 aktualisiert um 17:01:03 Uhr
Goto Top
Cool, danke für die Info. Dann kann man das ja auch zentral ausrollen, nice.

MfG
146189
146189 10.11.2020 aktualisiert um 17:05:05 Uhr
Goto Top
Zitat von @support-m:
Cool, danke für die Info. Dann kann man das ja auch zentral ausrollen, nice.
Aber hoffentlich nicht das Kennwort im Klartext in nem Skript verknoten und über den Äther blasen. Dann lieber das Kennwort geschützt in einem AD-Attribut hinterlegen welches nur der User selbst lesen kann (Attribut-ACL), und das Kennwort dann im Skript via LDAPs im Userkontext aus dem AD abfragen.
Lochkartenstanzer
Lochkartenstanzer 10.11.2020 aktualisiert um 17:05:31 Uhr
Goto Top
Moin,

Stell doch da einfach eine (notfalls virtuelle) Kiste mit Samba hin, das das Laufwerk mit den credentials der Domäne A mountet und für User der Domain B freigibt. Dann brauchst Du Dir keinen Kopf wegen der Credentials machen.

lks
YotYot
YotYot 12.11.2020 um 13:13:57 Uhr
Goto Top
Zitat von @Lochkartenstanzer:

Stell doch da einfach eine (notfalls virtuelle) Kiste mit Samba hin, ...

Auch ne nette Idee. Allerdings will ich die alte Domäne gerade sterben lassen und so viel wie möglich da raus haben. Laut Plan brauche ich das alles in sechs Wochen nicht mehr. Allerdings kenne ich die Pläne unseres Projektfuzzis, deswegen habe ich eine andere Zeitrechnung face-wink