erikro
Goto Top

Login Script als Domänenadmin ausführen

Hallo zusammen,

folgendes Problem:

Es sollen Außendienstmitarbeiter je nach Einsatzort einer bestimmten Gruppe im AD zugewiesen werden, damit sie Zugriff auf die jeweiligen Daten für diesen Ort bekommen. Zur Lösung habe ich ein Powershell-Skript geschrieben, das den Ort aus einer Textdatei ausliest und den User beim Logon in die Gruppe einfügt. Beim Logoff wird er wieder aus der Gruppe entfernt. Das funktioniert auch wunderbar, sofern der User Admin ist. Nun möchte ich natürlich nicht die User alle zu Admins machen.

Content-Key: 343184

Url: https://administrator.de/contentid/343184

Ausgedruckt am: 02.10.2022 um 15:10 Uhr

Mitglied: emeriks
emeriks 12.07.2017 um 10:57:02 Uhr
Goto Top
Hi,
sorry, aber dieses Konzept ist Nonsens.
Es sollen Außendienstmitarbeiter je nach Einsatzort einer bestimmten Gruppe im AD zugewiesen werden, damit sie Zugriff auf die jeweiligen Daten für diesen Ort bekommen.
Welchen Sinn soll das haben? Wenn er in München ist kann er auf die München-Daten sowieso zugreifen. Warum sollte es nötig sein, explizit zu verbieten, dass er von Hamburg aus nicht auf diese Daten zugreifen kann, auch wenn er sie dort nicht benötigt?

Sinnvoller wäre es, den Zugriff z.B. über Netzlaufwerke zu lenken. Wenn er in München angemeldet ist, dann wird Netzlaufwerk X: mit \\server\münchen verbunden. Wenn er in Hamburg ist dann mit \\server\hamburg. Für den Anwender ist es immer X:\.

E.
Mitglied: Penny.Cilin
Penny.Cilin 12.07.2017 um 11:13:54 Uhr
Goto Top
Hallo,

welche Umgebung ist im Einsatz?
Je nach Umgebung kann die Lösung
  • Direct Access
  • Dynamic Access
  • Work Folders
  • oder anderes
sein.

Aber dazu sollte man beim erstellen eines Beitrages auch die nötigen Informationen angeben.
Siehe dazu Abschnitt Je nach Fragestellung werden folgende Informationen zusätzlich benötigt:


Gruss Penny
Mitglied: erikro
erikro 12.07.2017 um 15:38:51 Uhr
Goto Top
Ganz einfach: Datensicherheit. Laufwerksbuchstaben werden natürlich vergeben.
Mitglied: emeriks
emeriks 12.07.2017 aktualisiert um 15:49:19 Uhr
Goto Top
Datensicherheit? Das musst mir mal erklären ...
Wenn es darum geht, dass die Daten des einen Standorts auch nicht theoretisch am anderen Standort eingesehen werden können, dann sollte man das netzwerktechnisch trennen.
Bedenke:
Du redest von Loginscript o.ä.
Dieses greift aber bloß bei einer interaktiven Anmeldung. Wenn man an einen PC geht, wo jemand anderes angemeldet ist, dann kann man rein mit den Anmeldedaten auf die Freigabe des anderen Standorts zugreifen, auch ohne sich lokal an diesem PC anzumelden.
In puncto Datensicherheit kommst Du mit Deinem Ansatz da nicht weit.

Edit:
Das mit deinem Script bei Logon kann auch aus einem anderen Grund nicht funktionieren. Wenn ich angemeldet bin und dann ein Loginscript o.ä. läuft, welche dann erst meine Gruppenmitgliedschaft ändert, dann gilt das für die aktuelle Anmeldung überhaupt nicht. Geänderte Gruppenmitgliedschaften greifen erst bei nächster Anmeldung oder nach Ablauf des Token, was i.A. aber länger dauert.
Mitglied: Penny.Cilin
Penny.Cilin 12.07.2017 um 15:59:15 Uhr
Goto Top
Zitat von @erikro:

Ganz einfach: Datensicherheit. Laufwerksbuchstaben werden natürlich vergeben.
Sorry, aber irgendwie hast Du KEINEN Plan bzw. Ahnung wie man deine Anforderung umsetzt.

  • Du hast verschiedene Außendienstmitarbeiter
  • die sind unter Umständen an verschiedenen Standorten
  • sollen Zugriff auf die Daten der jeweiligen Standorte bekommen

soweit die Anforderung, richtig?

Welche Umgebung setzt Ihr ein (Windows Server 2008, R2 2012, R2, oder neuer)? - meine Frage hast Du ja nicht beantwortet.
Bei Windows Server 2012 gibt es nämlich diverse Möglichkeiten, solche Anforderungen umzusetzen.
Mitglied: erikro
erikro 12.07.2017 um 16:41:39 Uhr
Goto Top
Es geht um den Zugriff auf Dateien, die in einer DFS-Freigabe liegen. Stimmt, das war schlecht ausgedrückt. Ich pack nochmal ein wenig Butter bei die Fische.
Mitglied: erikro
erikro 12.07.2017 um 16:42:35 Uhr
Goto Top
Immer diese Hektik.
Mitglied: emeriks
emeriks 12.07.2017 um 16:45:53 Uhr
Goto Top
Es geht um den Zugriff auf Dateien, die in einer DFS-Freigabe liegen. Stimmt, das war schlecht ausgedrückt. Ich pack nochmal ein wenig Butter bei die Fische.
DFS-N ändert daran gar nichts.
Lass mich raten: Die standortbezogenen Daten liegen dann jeweils in einer Freigabe auf einem Server, welcher vor Ort am betreffenden Standort steht?
Mitglied: erikro
erikro 12.07.2017 um 20:25:26 Uhr
Goto Top
Nein, auf den Schiffen stehen keine Server. Aus Usersicht liegen sie in der Domain. Wo genau auf der Welt weiß der User nicht. Das Problem ist auch nicht, wo die Daten liegen, sondern dass die Mitarbeiter NUR und AUSSCHLIESSLICH an dem Tag, an dem sie auf dem Schiff arbeiten, auf die Dateien zugreifen dürfen.
Mitglied: emeriks
emeriks 12.07.2017 um 20:37:05 Uhr
Goto Top
Das wäre dann eine Frage des Arbeitsprozess. Das kann man vergleichen mit Arbeit in Projekten bei uns im Haus. Wenn jemand einem anderen Projekt zugeteilt wird, dann wird sein Konto vorher in die entsprechenden Berechtigungsgruppen aufgenommen. Entweder durch einen Admin oder durch eine Person mit delegierten Rechten im AD oder meinetwegen durch eine Software, welche das in Form eines Workflows abbildet.
Mitglied: erikro
erikro 12.07.2017 um 20:50:11 Uhr
Goto Top
Dafür ist keine Zeit. Wenn die Admins das vorher wüssten, wo auf der Welt bei welchem Schiff von wem ein Noteinsatz durchgeführt wird, wäre das kein Problem.
Mitglied: emeriks
emeriks 12.07.2017 um 21:59:32 Uhr
Goto Top
Sorry, aber das ist eine Ausrede oder Du hast mich nicht verstanden.
Irgendjemand muss doch diese Leute beauftragen. Und an dieser Stelle muss ein definierter Prozess in Gange gesetzt werden. Fertig aus.
Mitglied: erikro
erikro 12.07.2017 um 23:09:23 Uhr
Goto Top
Genau so ist es. Und der definierte Prozess heißt: Trage das Datum und das Schiff in den Einsatzplan des Users ein und er wird per Skript in die entsprechende Gruppe eingefügt. Ganz einfach. Jetzt brauche ich nur noch die Lösung, wie ich beim Logon das Skript mit entsprechenden Rechten ausführe, ohne das ein Admin Nachtschicht machen muss.

P.S. Ich habe eher das Gefühl, dass Du das Problem nicht verstehst.
Mitglied: emeriks
emeriks 13.07.2017 um 08:23:57 Uhr
Goto Top
Mir scheint, Du willst unbedingt diese Lösung über das Loginscript wissen. Den "Trick" dahinter.
Letzter Versuch von mir:
Und der definierte Prozess heißt: Trage das Datum und das Schiff in den Einsatzplan des Users ein und er wird per Skript in die entsprechende Gruppe eingefügt. Ganz einfach.
Ganz einfach wäre es, wenn Du jeden Tag um 00:01 Uhr eine Geplante Aufgabe laufen lässt, welche Name, Datum und Schiff aus dieser Datei ausliest und damit die Gruppenmitgliedschsaft des Benutzers anpasst.
Mitglied: erikro
erikro 13.07.2017 um 09:10:09 Uhr
Goto Top
Siehst Du, Du hast das Problem nicht verstanden. 00:01 in Hamburg? Oder in Lima? Oder in Hongkong? Und was passiert, wenn der Kapitän um 00:02 anruft? Soll das Schiff dann einen ganzen Tag im Hafen liegen? Hast Du eine Vorstellung davon, was das kostet? Das vorgegebene Zeitfenster ist fünf Minuten zwischen Auftragserteilung und Rechtevergabe ohne Eingriff eines Admins. Außerdem ist die Vorgabe, dass die Rechte beim Logoff wieder entzogen werden. Und das ebenfalls automatisiert. Das ist eben nicht so banal wie die normale Rechtevergabe. Deshalb sind ja auch die festangestellten Admins der Firma daran gescheitert und schieben Nachtschichten.
Mitglied: Penny.Cilin
Penny.Cilin 13.07.2017 um 10:06:33 Uhr
Goto Top
Also mal halblang.
@emeriks hat völlig recht. Der Prozeß ist bei Euch in keinster Weise durchdacht worden.

Deine Lösungsversuche in Ehren, es kann nicht sein, daß die Administratoren die Fehlplanung der Prozesse ausbügeln müssen.
Korrekterweise MUSS für dieses Ansinnen ein Pflichtenheft erstellt werden, um die Arbeitsprozesse zu definieren.
Dafür gibt es das Prozeßmanagement. Anhand der definierten Prozesse werden die Lösungsmöglichkeiten erarbeitet.

Da dies aber nicht gewollt/gewünscht ist, sondern man nach der Methode Setzt das um, oder Ihr seid nicht für den Job geeignet verfährt,
stehst Du und (möglicherweise) Deine Kollegen in der Schußlinie.

Irgendwas läuft also bei Euch schief. - Aus diesem Grunde kommen auch keine weiteren Lösungvorschläge,
weil die Anforderung nicht einfach mit einem Loginscript umzusetzen ist. *Punkt*


Gruss Penny
Mitglied: emeriks
emeriks 13.07.2017 um 10:20:14 Uhr
Goto Top
@Penny.Cilin
Dito!

@erikro
Suche die Fehler hier bitte nicht bei mir! Ich will Dir nur helfen ...
00:01 in Hamburg? Oder in Lima? Oder in Hongkong?
Denkfehler! Die Zeit muss natürlich relativ zur Zeitzone, in welcher der Computer mit der geplanten Aufgabe steht, in diese betreffende Datei geschrieben werden. Da ist der Fehler!
wenn der Kapitän um 00:02 anruft? Soll das Schiff dann einen ganzen Tag im Hafen liegen?
Es ist ein leichtes, einen Trigger zu hinterlegen, welcher die geplante Aufgabe sofort ausführt, wenn diese Datei geändert wird.
Mitglied: erikro
erikro 13.07.2017 um 17:06:34 Uhr
Goto Top
Denkfehler. Der Server steht nicht da, wo sich das Schiff gerade befindet. Schiffe haben es an sich, dass sie sich bewegen. Heute ist es vielleicht in Lima und in vier Wochen vielleicht in Hongkong.

Klar ist es leicht zu triggern, wenn die Datei geändert wird. Die Rechte sollen aber dann gesetzt werden, wenn der User sich einlogt. Und was ist mit dem Entzug der Rechte beim Logoff?
Mitglied: emeriks
emeriks 13.07.2017 aktualisiert um 19:44:53 Uhr
Goto Top
Ok, ich klinke mich dann mal aus.
Es wäre trotzdem toll, wenn Du die Lösung hier posten würdest, falls Du es hinbekommst. Die Münchhausen-Lösung mit dem Zopf wird es jedenfalls nicht sein können.
Mitglied: Penny.Cilin
Penny.Cilin 13.07.2017 um 17:57:34 Uhr
Goto Top
Zitat von @emeriks:

Ok, ich klinke mich dann mal aus.
Es wäre trotzdem toll, wenn Du die Lösung hier posten würdest, falls Du es hinbekommst. Die Müchhausen-Lösung mit dem Zopf wird es jedenfalls nicht sein können.
Auch ich klinke mich her aus und schließe mich @emeriks an.

Leider hast Du uns bisher nicht verraten, welche Umgebung eingesetzt wird.
Ich hatte Dir weiter oben mitgeteilt, daß unter Umständen
  • Direct Access
  • Dynamic Access
eine Möglichkeit sind. dazu sollte aber Windows Server 2012 bzw. R2 eingesetzt werden.
Mitglied: erikro
erikro 13.07.2017 um 18:03:37 Uhr
Goto Top
Dass es Server 2012 R2 ist, hatte ich erwähnt.
Mitglied: Th0mKa
Th0mKa 13.07.2017 um 18:16:14 Uhr
Goto Top
Zitat von @erikro:

Dass es Server 2012 R2 ist, hatte ich erwähnt.
Hast du nicht, aber davon abgesehen wird es aus der oben bereits erwähnten Problematik das der Logon je nach Art eurer Gruppenzuweisung zu spät für die Security Token ist nicht funktionieren. Sinnvoller Ansatz wäre ein Workflowsystem das die User entsprechend ihrem Order Book den Gruppen zeitnah zum Termin zuweisst. Aber wie immer gilt, man kann organisatorsche Defizite nicht technisch lösen.

VG,

Thomas
Mitglied: Penny.Cilin
Penny.Cilin 13.07.2017 um 18:17:52 Uhr
Goto Top
Zitat von @erikro:

Dass es Server 2012 R2 ist, hatte ich erwähnt.
Nöö leider nicht. Du hattest nur DFS-Freigabe erwähnt (nämlich gestern um 16:41 Beitrag)
Aber wenn W2K12 R2 eingesetzt wird, dann schau Dir mal die beiden von mir genannten Funktionen an.
Möglicherweise kannst Du damit Deine Anforderung lösen.
Mitglied: erikro
erikro 14.07.2017 um 08:40:41 Uhr
Goto Top
Und um 16:42, dass es 2012 R2 ist.
Mitglied: emeriks
emeriks 14.07.2017 aktualisiert um 08:50:07 Uhr
Goto Top
Und um 16:42, dass es 2012 R2 ist.
Dann hätten wir hier ein technisches Problem im Forum ...
Deine 16:42 Antwort sieht bei mir so aus:

eriko_1642
Mitglied: erikro
erikro 14.07.2017 um 09:10:36 Uhr
Goto Top
klist purge
Mitglied: emeriks
emeriks 14.07.2017 um 09:14:22 Uhr
Goto Top
klist purge
Ach hör auf! Warum sollen wir uns Dein Steno-Gestottere antun?
Außerdem:
Membership in Domain Admins, or equivalent, is the minimum required to run all the parameters of this command.

Bin jetzt endgültig raus.
Mitglied: Ex0r2k16
Ex0r2k16 24.05.2018 um 15:26:14 Uhr
Goto Top
das was du/ihr plant ist AD Missbrauch vom Feinsten. Sowas realisiert man nicht über ein AD. Wenn der Workflow schon derart verkorkst ist, würde ich mir eine Plattform bauen (lassen), wo die User sich selber einen einmaligen und zeitlich begrenzten Zugriffstoken generieren können. Das ganze wird natürlich protokolliert. Wie siehts mit GPS aus? Zur Not könnte man ja noch den GPS Standort als Bedingung mit rein nehmen. Oder die Kombi der Mac Adresse von Client und Gateway und und und... Machbar ist da vieles aber nicht übers AD!

Wer hat euch da beraten?