Dieser Beitrag ist schon älter. Bitte vergewissern Sie sich, dass die Rahmenbedingungen oder der enthaltene Lösungsvorschlag noch dem aktuellen Stand der Technik entspricht.

lokal angemeldet, trotzdem Zugriff auf Domäne

Mitglied: misa75
Hallo, kann mir jemand sagen, warum ein lokal, am Client angemeldeter, Benutzer Zugriff auf die Domäne hat? Sollte Ihm das nicht verweigert werden? Die Sicherheitseinstellungen der Freigaben enthalten nicht "Jeder" sondern "authentifiziert Benutzer". Das ganze funktioniert auch von privaten Geräten, die sich dann unter angabe des benutzers und Passwort auf den Server verbinden???

Content-Key: 101725

Url: https://administrator.de/contentid/101725

Ausgedruckt am: 28.07.2021 um 21:07 Uhr

Mitglied: Pandora
Pandora 13.11.2008 um 11:41:11 Uhr
Goto Top
Hi Misa,

Wieso? Die Benutzer haben sich doch an ihrem Rechner authentifiziert. :-) face-smile. As per Microsoft:

Authenticated Users
(S-1-5-11) Includes all users and computers whose identities have been authenticated. Authenticated Users does not include Guest even if the Guest account has a password.

Leg mal eine richtige Gruppe an und pack da alle Benutzer rein, die auch wirklich Zugriff brauchen, dann klappt es auch mit der Zugriffsverweigerung.

Gruß, Pandora
Mitglied: misa75
misa75 13.11.2008 um 11:54:17 Uhr
Goto Top
die haben aber auch Zugriff auf Daten, die nicht für die authentifizierte Benutzer freigegeben sind.
Ich denke, wenn man nicht an der Domäne angemeldet ist, sollte man auch keinen Zugriff haben. Evtl. denke ich da aber auch falsch?? Wie könnte ich den sonst verhindern, das jemand sein privaten Notebook mitbringt und sich zum Server verbindet, sein Firmenbenutzernamen und Passwort eingibt, und sich dann die Daten vom Server zieht?
Mitglied: Pandora
Pandora 13.11.2008 um 12:25:36 Uhr
Goto Top
Du kannst dich natürlich auch von einem Rechner aus anmelden, der selber nicht in der Domäne ist. Wenn da Benutzername und Kennwort vorhanden sind ist das ganz normal.

Das kannst du z.B. dadurch unterbinden, dass du es einschränkst, von welchen PC aus sich ein Benutzer anmelden darf.
Mitglied: petenicker
petenicker 13.11.2008 um 12:37:11 Uhr
Goto Top
Zitat von @misa75:
Wie könnte ich den sonst verhindern, das jemand sein privaten
Notebook mitbringt und sich zum Server verbindet, sein
Firmenbenutzernamen und Passwort eingibt, und sich dann die Daten vom
Server zieht?

Indem du verhinderst, dass das Notebook eine IP-Adresse zugewiesen bekommt. Das kannst du mit einer entsprechenden Konfiguration des DHCP-Servers erreichen. Entweder ein entsprechend kleiner Scope oder du arbeitest mit Reservierungen anhand der MAC-Adressen.
Mitglied: misa75
misa75 13.11.2008 um 12:45:35 Uhr
Goto Top
Zitat von @petenicker:
> Zitat von @misa75:
> Wie könnte ich den sonst verhindern, das jemand sein
privaten
> Notebook mitbringt und sich zum Server verbindet, sein
> Firmenbenutzernamen und Passwort eingibt, und sich dann die
Daten vom
> Server zieht?
>
Indem du verhinderst, dass das Notebook eine IP-Adresse zugewiesen
bekommt. Das kannst du mit einer entsprechenden Konfiguration des
DHCP-Servers erreichen. Entweder ein entsprechend kleiner Scope oder
du arbeitest mit Reservierungen anhand der MAC-Adressen.

Danke erstmal für die Antwort.
Das Problem sind die privaten Geräte. Da kann natürlich jeder eine IP einstellen...
Mitglied: misa75
misa75 13.11.2008 um 12:47:45 Uhr
Goto Top
Zitat von @Pandora:
Du kannst dich natürlich auch von einem Rechner aus anmelden, der
selber nicht in der Domäne ist. Wenn da Benutzername und Kennwort
vorhanden sind ist das ganz normal.

Das kannst du z.B. dadurch unterbinden, dass du es einschränkst,
von welchen PC aus sich ein Benutzer anmelden darf.


Danke für deine Antwort.
Ich denke, das einschränken der Anmeldung nur von bestimmten Pc´s ist da keine schlechte Sache..
Mitglied: misa75
misa75 13.11.2008 um 13:48:57 Uhr
Goto Top
Hat noch jemand ne Idee, wie ich private Pc´s aussperren kann?
Mitglied: 64748
64748 13.11.2008 um 15:05:11 Uhr
Goto Top
Hallo zusammen,

so wie ich das verstehe hast Du mehrere Probleme.
Einmal kann standardmäßig jeder Domänenbenutzer maximal 10 Rechner in die Domäne heben. Das kannst Du aber verhindern.
Zum zweiten ist eine Anmeldung an einer Domäne nur von einem Rechner aus möglich, der Mitglied in der Domäne ist.
Hast Du mal im AD nachgesehen, ob vielleicht die privaten Notebooks schon Domänenmitglieder sind?

Gruß

Markus
Mitglied: misa75
misa75 13.11.2008 um 15:21:55 Uhr
Goto Top
Hallo, nein die privaten Notebooks sind keine Dommitglieder. Sie brauchen nur \\server\freigabe eingeben und sich mit benutzer und PW authetifiziern, und haben damit Zugriff.
Mitglied: Pandora
Pandora 13.11.2008 um 15:27:58 Uhr
Goto Top
Zum zweiten ist eine Anmeldung an einer Domäne nur von einem
Rechner aus möglich, der Mitglied in der Domäne ist.

Ja, aber du kannst doch von jedem Rechner aus eine Freigabe aufrufen, wenn du ein entsprechendes Benutzerkonto zur Hand hast. Aber wenn jemand eine Möglichkeit kennt (außer oben beschriebenes) das zu unterbinden immer her damit. :-) face-smile
Mitglied: 64748
64748 13.11.2008 um 15:44:37 Uhr
Goto Top
Hallo nochmal,

ich kann es jetzt gerade nicht ausprobieren, aber Anmeldeeinschränkungen werden im "Active Directory Benutzer und Computer" in den Eigenschaften der Benutzer eingestellt. Frage ist allerdings, ob die Benutzer, wenn sie von einem Domänenrechner aus angemeldet sind nicht auch all das machen, was sie nicht sollen. Dazu musst Du die Berechtigungen der Freigabe UND! die NTFS-Berechtigungen der darin enthaltenen Ordner kontrollieren (Wichtig ist das Zusammenspiel dieser Berechtigungen, damit kann man den Zugriff genau steuern). Zudem solltest Du aufpassen, dass keine anderesn Freigaben auf dem Server vorhanden sind.

Gruß

Markus
Mitglied: Jochem
Jochem 13.11.2008 um 17:47:07 Uhr
Goto Top
Moin,
so wies aussieht, hast Du mehrere Probleme:
- ad 1: Der Betrieb/die Benutzung private Hard- und/oder Software sollte in einer Firma nicht erlaubt und entsprechend bewehrt sein (Dienstvereinbarung, Arbeitsvertrag etc.)
- ad 2: Um Zugriff auf die Domäne zu bekommen benötigst Du
; einen authentifizierten Benutzernamen
; ein dazu korrespondierendes Paßwort
; eine IP-Adresse im Bereich der Domäne
; die Subnetzmaske zum IP-Bereich
; die IP-Adresse des DNS-Servers
; evtl. noch die IP-Adresse des Gateways
Mit diesen Angaben kannst Du Dich problemlos in die Domäne einloggen, sofern im Netz feste IP-Adressen vorgegeben sind. Läuft die Vergabe der IP-Adressen über einen DHCP-Server, der zusätzlich zur IP-Adresse noch die MAC-Adresse prüft, hast Du eine Möglichkeit gefunden, "Fremdeinlogger" von der Domäne auszuschließen. Aber sicher wird auch irgendwer dann eine Möglichkeit finden, die MAC-Adresse zu klonen.
- ad 3: Wenn Die User derzeit schon die Möglichkeit haben, quer durch die Domäne auf Daten zuzugreifen, stimmt irgendwas mit Deiner Rechtevergabe nicht.

Also ran und Hausaufgaben machen ;-) face-wink

Gruß J :-) face-smile chem
Heiß diskutierte Beiträge
question
Mitarbeiter ab gewisser Uhrzeit am arbeiten hindern gelöst passy951Vor 1 TagFrageWindows Netzwerk23 Kommentare

Guten Morgen zusammen, ich wurde gestern von unseren Betriebsrat gefragt ob es möglich ist ab z.B. 20 Uhr die Mitarbeiter daran zu hindern zu arbeiten. ...

question
Domänencontroller von Windows Server 2016 auf Windows Server 2019 migrierenEstefaniaVor 1 TagFrageWindows Server29 Kommentare

Hi. Kann mir ein Admin bei folgendem Problem weiterhelfen !? Wir haben insgesamt 5 Domänencontroller, die auf einem Windows Server 2016 laufen. Nun ist es ...

question
Wie lange kann ein PC in der Domain ohne Kontakt zur Domain betrieben werden?DaxAtDS9Vor 1 TagFrageNetzwerkmanagement16 Kommentare

Hallo, bis vor einer Woche habe ich einen SBS2011 Server inkl. AD etc. in Betrieb gehabt. Nun habe ich ihn abgeschaltet und nutze einer der ...

question
Domänenbeitritt verhindern gelöst grmg2010Vor 1 TagFrageWindows 1018 Kommentare

Guten Abend zusammen, ich befasse mich gedanklich mit dem Thema Windows Domäne. Dazu ein hypothetisches Beispiel zu dem ich keine wirkliche Lösung bei meiner Suche ...

question
LAN over VoIP?DatenreiseVor 23 StundenFrageNetzwerke19 Kommentare

Hallo zusammen, der Titel meiner Frage ist natürlich unsinnig, spiegelt aber etwa das Fragezeichen wieder, welches ich hinsichtlich einer Installation im Gesicht habe. Ein Telefonie-Dienstleister ...

general
Sichere Remote Zugriff LösungenbrammerVor 1 TagAllgemeinSicherheit11 Kommentare

Hallo, ich darf gerade einige Remote Service Lösungen die Unsere Kunden gerne einsetzen würden sondieren. Dabei bin ich auf 2 Webseiten auf folgende Aussagen gestoßen; ...

question
Powershellskript für workfoldersD-ViperVor 1 TagFrageWindows Server23 Kommentare

Moin Moin, bitte verschieben sollte es hier nicht rein gehören. Ich bin auf der Suche nach einem Powershellskript das meine vorhanden Userdaten aus den Homelaufwerken ...

question
W11 total langsam auf Power PCinspinspVor 1 TagFrageVmware12 Kommentare

Host 64GB, HDs’ alles auf sehr schnellen m.2 Modulen Core I9 9900. Natürlich läuft das System stabil. Vmware 16.1.1. Alle W10 laufe sehr performant. Ein ...