lokal angemeldet, trotzdem Zugriff auf Domäne
Hallo, kann mir jemand sagen, warum ein lokal, am Client angemeldeter, Benutzer Zugriff auf die Domäne hat? Sollte Ihm das nicht verweigert werden? Die Sicherheitseinstellungen der Freigaben enthalten nicht "Jeder" sondern "authentifiziert Benutzer". Das ganze funktioniert auch von privaten Geräten, die sich dann unter angabe des benutzers und Passwort auf den Server verbinden???
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 101725
Url: https://administrator.de/contentid/101725
Ausgedruckt am: 22.11.2024 um 10:11 Uhr
12 Kommentare
Neuester Kommentar
Hi Misa,
Wieso? Die Benutzer haben sich doch an ihrem Rechner authentifiziert. . As per Microsoft:
Authenticated Users
(S-1-5-11) Includes all users and computers whose identities have been authenticated. Authenticated Users does not include Guest even if the Guest account has a password.
Leg mal eine richtige Gruppe an und pack da alle Benutzer rein, die auch wirklich Zugriff brauchen, dann klappt es auch mit der Zugriffsverweigerung.
Gruß, Pandora
Wieso? Die Benutzer haben sich doch an ihrem Rechner authentifiziert. . As per Microsoft:
Authenticated Users
(S-1-5-11) Includes all users and computers whose identities have been authenticated. Authenticated Users does not include Guest even if the Guest account has a password.
Leg mal eine richtige Gruppe an und pack da alle Benutzer rein, die auch wirklich Zugriff brauchen, dann klappt es auch mit der Zugriffsverweigerung.
Gruß, Pandora
Zitat von @misa75:
Wie könnte ich den sonst verhindern, das jemand sein privaten
Notebook mitbringt und sich zum Server verbindet, sein
Firmenbenutzernamen und Passwort eingibt, und sich dann die Daten vom
Server zieht?
Indem du verhinderst, dass das Notebook eine IP-Adresse zugewiesen bekommt. Das kannst du mit einer entsprechenden Konfiguration des DHCP-Servers erreichen. Entweder ein entsprechend kleiner Scope oder du arbeitest mit Reservierungen anhand der MAC-Adressen.Wie könnte ich den sonst verhindern, das jemand sein privaten
Notebook mitbringt und sich zum Server verbindet, sein
Firmenbenutzernamen und Passwort eingibt, und sich dann die Daten vom
Server zieht?
Hallo zusammen,
so wie ich das verstehe hast Du mehrere Probleme.
Einmal kann standardmäßig jeder Domänenbenutzer maximal 10 Rechner in die Domäne heben. Das kannst Du aber verhindern.
Zum zweiten ist eine Anmeldung an einer Domäne nur von einem Rechner aus möglich, der Mitglied in der Domäne ist.
Hast Du mal im AD nachgesehen, ob vielleicht die privaten Notebooks schon Domänenmitglieder sind?
Gruß
Markus
so wie ich das verstehe hast Du mehrere Probleme.
Einmal kann standardmäßig jeder Domänenbenutzer maximal 10 Rechner in die Domäne heben. Das kannst Du aber verhindern.
Zum zweiten ist eine Anmeldung an einer Domäne nur von einem Rechner aus möglich, der Mitglied in der Domäne ist.
Hast Du mal im AD nachgesehen, ob vielleicht die privaten Notebooks schon Domänenmitglieder sind?
Gruß
Markus
Zum zweiten ist eine Anmeldung an einer Domäne nur von einem
Rechner aus möglich, der Mitglied in der Domäne ist.
Rechner aus möglich, der Mitglied in der Domäne ist.
Ja, aber du kannst doch von jedem Rechner aus eine Freigabe aufrufen, wenn du ein entsprechendes Benutzerkonto zur Hand hast. Aber wenn jemand eine Möglichkeit kennt (außer oben beschriebenes) das zu unterbinden immer her damit.
Hallo nochmal,
ich kann es jetzt gerade nicht ausprobieren, aber Anmeldeeinschränkungen werden im "Active Directory Benutzer und Computer" in den Eigenschaften der Benutzer eingestellt. Frage ist allerdings, ob die Benutzer, wenn sie von einem Domänenrechner aus angemeldet sind nicht auch all das machen, was sie nicht sollen. Dazu musst Du die Berechtigungen der Freigabe UND! die NTFS-Berechtigungen der darin enthaltenen Ordner kontrollieren (Wichtig ist das Zusammenspiel dieser Berechtigungen, damit kann man den Zugriff genau steuern). Zudem solltest Du aufpassen, dass keine anderesn Freigaben auf dem Server vorhanden sind.
Gruß
Markus
ich kann es jetzt gerade nicht ausprobieren, aber Anmeldeeinschränkungen werden im "Active Directory Benutzer und Computer" in den Eigenschaften der Benutzer eingestellt. Frage ist allerdings, ob die Benutzer, wenn sie von einem Domänenrechner aus angemeldet sind nicht auch all das machen, was sie nicht sollen. Dazu musst Du die Berechtigungen der Freigabe UND! die NTFS-Berechtigungen der darin enthaltenen Ordner kontrollieren (Wichtig ist das Zusammenspiel dieser Berechtigungen, damit kann man den Zugriff genau steuern). Zudem solltest Du aufpassen, dass keine anderesn Freigaben auf dem Server vorhanden sind.
Gruß
Markus
Moin,
so wies aussieht, hast Du mehrere Probleme:
- ad 1: Der Betrieb/die Benutzung private Hard- und/oder Software sollte in einer Firma nicht erlaubt und entsprechend bewehrt sein (Dienstvereinbarung, Arbeitsvertrag etc.)
- ad 2: Um Zugriff auf die Domäne zu bekommen benötigst Du
; einen authentifizierten Benutzernamen
; ein dazu korrespondierendes Paßwort
; eine IP-Adresse im Bereich der Domäne
; die Subnetzmaske zum IP-Bereich
; die IP-Adresse des DNS-Servers
; evtl. noch die IP-Adresse des Gateways
Mit diesen Angaben kannst Du Dich problemlos in die Domäne einloggen, sofern im Netz feste IP-Adressen vorgegeben sind. Läuft die Vergabe der IP-Adressen über einen DHCP-Server, der zusätzlich zur IP-Adresse noch die MAC-Adresse prüft, hast Du eine Möglichkeit gefunden, "Fremdeinlogger" von der Domäne auszuschließen. Aber sicher wird auch irgendwer dann eine Möglichkeit finden, die MAC-Adresse zu klonen.
- ad 3: Wenn Die User derzeit schon die Möglichkeit haben, quer durch die Domäne auf Daten zuzugreifen, stimmt irgendwas mit Deiner Rechtevergabe nicht.
Also ran und Hausaufgaben machen
Gruß J chem
so wies aussieht, hast Du mehrere Probleme:
- ad 1: Der Betrieb/die Benutzung private Hard- und/oder Software sollte in einer Firma nicht erlaubt und entsprechend bewehrt sein (Dienstvereinbarung, Arbeitsvertrag etc.)
- ad 2: Um Zugriff auf die Domäne zu bekommen benötigst Du
; einen authentifizierten Benutzernamen
; ein dazu korrespondierendes Paßwort
; eine IP-Adresse im Bereich der Domäne
; die Subnetzmaske zum IP-Bereich
; die IP-Adresse des DNS-Servers
; evtl. noch die IP-Adresse des Gateways
Mit diesen Angaben kannst Du Dich problemlos in die Domäne einloggen, sofern im Netz feste IP-Adressen vorgegeben sind. Läuft die Vergabe der IP-Adressen über einen DHCP-Server, der zusätzlich zur IP-Adresse noch die MAC-Adresse prüft, hast Du eine Möglichkeit gefunden, "Fremdeinlogger" von der Domäne auszuschließen. Aber sicher wird auch irgendwer dann eine Möglichkeit finden, die MAC-Adresse zu klonen.
- ad 3: Wenn Die User derzeit schon die Möglichkeit haben, quer durch die Domäne auf Daten zuzugreifen, stimmt irgendwas mit Deiner Rechtevergabe nicht.
Also ran und Hausaufgaben machen
Gruß J chem