8
Netzwerkzugriff auf Benutzer(-gruppen) beschränken Ein erstmal trivial scheinendes Problem, wenn nicht folgendes wäre....
In einer von mir betreuten Kanzlei besteht der Wunsch, dass auf einen bestimmten Ordner im Netzwerk nur berechtigte Mitarbeiter zugreifen können. Ein erstmal trivial scheinendes Problem, wenn nicht folgendes wäre....
Benutzergruppen sind eingerichtet, Zugangsberechtigungen für Freigabe und Sicherheit gesetzt (Win 2003 SBS Std. Server), Berechtigte können zugreifen, die Anderen eben nicht. Nun ist es jedoch so, das die "Berechtigten" hin und wieder den Arbeitsplatz verlassen (manchmal auch stunden- oder tageweise). Bildschirmschoner mit Passwort sind nicht erwünscht, andere (unberechtigte) Mitarbeiter sollen Zugriff (auch über das Nutzerprofil der "Berechtigten") haben (z.B. Sekretärin), nur auf den einen Ordner, da sollen Sie nicht...
Variante 2: Berechtigungen mit anderem Benutzernamen und Passwort gesetzt, Laufwerk verbunden mit "verbinden als" ohne das Häkchen bei Kennwort speichern. Gut soweit, Passwort wird abgefragt, jedoch merkt sich Windows bis zur nächsten Ab- und Anmeldung die Zugangsdaten. Der "Berechtigte" kann also nicht mal eben auf´s Klo ohne sich abzumelden. -Nicht erwünscht-
Variante 3: Dateiverschlüsselung mittels GNUPG etc. - Abgelehnt, zu kompliziert (Datei schreiben, speichern, verschlüsseln, Originaldatei löschen... Datei entschlüsseln, Verschlüsselte Datei löschen, Datei bearbeiten, speichern u.s.w.).
Nun bin ich am Ende mit meinem Latein..
Hat jemand eine Idee?
Kann ich z.B. Windows dazu bewegen bei jedem mal wenn ich den Ordner öffne, das Passwort abzufragen, auch wenn ich mich zwischendurch nicht abgemeldet habe?
Oder ist das Problem tatsächlich trivial und ich bin einfach zu dämlich (sagt´s ruhig)
Configuration:
Server : Win 2003 SBS Std. Active Directora, Domänenanmeldung der Clients
Arbeitsstationen: Win XP pro sp2 bzw. Win 2000 sp4
Völlig Ratlos
Euer Helmuth
Benutzergruppen sind eingerichtet, Zugangsberechtigungen für Freigabe und Sicherheit gesetzt (Win 2003 SBS Std. Server), Berechtigte können zugreifen, die Anderen eben nicht. Nun ist es jedoch so, das die "Berechtigten" hin und wieder den Arbeitsplatz verlassen (manchmal auch stunden- oder tageweise). Bildschirmschoner mit Passwort sind nicht erwünscht, andere (unberechtigte) Mitarbeiter sollen Zugriff (auch über das Nutzerprofil der "Berechtigten") haben (z.B. Sekretärin), nur auf den einen Ordner, da sollen Sie nicht...
Variante 2: Berechtigungen mit anderem Benutzernamen und Passwort gesetzt, Laufwerk verbunden mit "verbinden als" ohne das Häkchen bei Kennwort speichern. Gut soweit, Passwort wird abgefragt, jedoch merkt sich Windows bis zur nächsten Ab- und Anmeldung die Zugangsdaten. Der "Berechtigte" kann also nicht mal eben auf´s Klo ohne sich abzumelden. -Nicht erwünscht-
Variante 3: Dateiverschlüsselung mittels GNUPG etc. - Abgelehnt, zu kompliziert (Datei schreiben, speichern, verschlüsseln, Originaldatei löschen... Datei entschlüsseln, Verschlüsselte Datei löschen, Datei bearbeiten, speichern u.s.w.).
Nun bin ich am Ende mit meinem Latein..
Hat jemand eine Idee?
Kann ich z.B. Windows dazu bewegen bei jedem mal wenn ich den Ordner öffne, das Passwort abzufragen, auch wenn ich mich zwischendurch nicht abgemeldet habe?
Oder ist das Problem tatsächlich trivial und ich bin einfach zu dämlich (sagt´s ruhig)
Configuration:
Server : Win 2003 SBS Std. Active Directora, Domänenanmeldung der Clients
Arbeitsstationen: Win XP pro sp2 bzw. Win 2000 sp4
Völlig Ratlos
Euer Helmuth
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 39148
Url: https://administrator.de/contentid/39148
Ausgedruckt am: 22.11.2024 um 15:11 Uhr
8 Kommentare
Neuester Kommentar
So ist das eben - entweder man hat Zugriff, oder man hat keinen.
Ein Benutzer der seinen Arbeitsplatz verlässt, sperrt seinen PC mit strgaltent.
Wenn er ihn nicht sperrt, und auch nicht automatisch nach Nichtaktivität die Sperrung automatisch erfolgt, kann eben jeder der lokal an den PC kommt auch auf Daten zugreifen.
Ich verstehe das Problem nicht so ganz ehrlichgesagt.
Der Betroffene könnte ja bei Verlassen des Arb.platzes auch die Verbindung zu einem bestimmten Netzlaufwerk trennen. Dann muss man sich neu authentifiizieren um auf den Ordner zugreifen zu dürfen.
Die Sekretärin sollte ihr eigenes Benutzerprofil nutzen, und nicht das von "Berechtigten".
Das führt die Philosohie ja ad absurdum, wenn mehrere Benutzer das selbe Userkonto nutzen.
Ein Benutzer der seinen Arbeitsplatz verlässt, sperrt seinen PC mit strgaltent.
Wenn er ihn nicht sperrt, und auch nicht automatisch nach Nichtaktivität die Sperrung automatisch erfolgt, kann eben jeder der lokal an den PC kommt auch auf Daten zugreifen.
Ich verstehe das Problem nicht so ganz ehrlichgesagt.
Der Betroffene könnte ja bei Verlassen des Arb.platzes auch die Verbindung zu einem bestimmten Netzlaufwerk trennen. Dann muss man sich neu authentifiizieren um auf den Ordner zugreifen zu dürfen.
Die Sekretärin sollte ihr eigenes Benutzerprofil nutzen, und nicht das von "Berechtigten".
Das führt die Philosohie ja ad absurdum, wenn mehrere Benutzer das selbe Userkonto nutzen.
Ist doch immer wieder witzig auf was für Ideen die Leute kommen.
Gehen wir mal davon aus, dass es gehen würde (EFS ?). Die User müssten ja bei jedem Zugriff ein Passwort eingeben. Wäre recht aufwendig.
Eine (teure) Idee hätte ich aber: Nimm einen Terminalserver und greif über eine Session auf die Verzeichnisse zu. Auf dem TS stellst du ein, das eine Session nach 1 Minute Leerlaufzeit getrennt wird.
Gehen wir mal davon aus, dass es gehen würde (EFS ?). Die User müssten ja bei jedem Zugriff ein Passwort eingeben. Wäre recht aufwendig.
Eine (teure) Idee hätte ich aber: Nimm einen Terminalserver und greif über eine Session auf die Verzeichnisse zu. Auf dem TS stellst du ein, das eine Session nach 1 Minute Leerlaufzeit getrennt wird.
Kann da nur duno zustimmen. Entweder jeder hat sein sep. Benutzerprofil oder man hat ein allgemeines Benutzerprofil. Wenn man aber nun ein allgemeines Profil hat, kann jeder das dort eingerichtete nutzen. Sagt doch der normale Menschenverstand. Ich würde auch eher jedem ein Benutzerprofil einräumen. Ist ja Sinn und Zweck, vorallem wenn Du z. B. Exchange mit einsetzt. Was wäre das für ein Chaos, wenn alle mit dem gleichen Profil arbeiten. ;)
Es wäre auch eine Lösung mit Smartcards möglich, jeder Mitarbeiter bekommt seine
eigene Karte udn wenn er seinen Platz verlässt, muss/sollte er die Karte aus dem Lesegerät
entfernen.
eigene Karte udn wenn er seinen Platz verlässt, muss/sollte er die Karte aus dem Lesegerät
entfernen.
Eine (teure) Idee hätte ich aber: Nimm
einen Terminalserver und greif über eine
Session auf die Verzeichnisse zu. Auf dem TS
stellst du ein, das eine Session nach 1
Minute Leerlaufzeit getrennt wird.
@helohse
@meinereiner
Servus zusammen,
also zum Thema Teuer:
helohse hat einen SBS-Server 2003 da ist die TerminalServerLizens (die UserCals die du hast gelten auch für den) schon dabei!
d.h. du brauchst nur noch die Clientlizens(en).
Das mit der Minute gefällt mir ehrlich gesagt auch gut aber dein Kunde ist doch kein militärischer Hochsicherheitstrakt!
Eine weiter Idee wäre natürlich noch ein NAS das alle Verbindungen nach bestimmter Zeit trennt (ich glaub das mal in einem gesehen zu haben). Dann muss man immer wieder KW eingeben.
Oder du versuchst das Ganze auf die webbassierte Oberfläche des SBS zu stellen. Damit kann man auch ein bisschen Spielen aber frag mich nicht wie --- habs nach 2 Stunden aufgegeben ---!
mfg
d.t.soko
also zum Thema Teuer:
helohse hat einen SBS-Server 2003 da ist die
TerminalServerLizens (die UserCals die du
hast gelten auch für den) schon dabei!
d.h. du brauchst nur noch die
Clientlizens(en).
helohse hat einen SBS-Server 2003 da ist die
TerminalServerLizens (die UserCals die du
hast gelten auch für den) schon dabei!
d.h. du brauchst nur noch die
Clientlizens(en).
Der SBS 2003 lässt sich nicht als TS konfigurieren.
Es wäre auch eine Lösung mit
Smartcards möglich, jeder Mitarbeiter
bekommt seine
eigene Karte udn wenn er seinen Platz
verlässt, muss/sollte er die Karte aus
dem Lesegerät
entfernen.
Smartcards möglich, jeder Mitarbeiter
bekommt seine
eigene Karte udn wenn er seinen Platz
verlässt, muss/sollte er die Karte aus
dem Lesegerät
entfernen.
Da kann er doch genausogut strg+alt+entf drücken und den PC sperren...
Die User wollen halt scheinbar einerseits sicherheit, anderseits alle bequemlichkeiten.
Das beisst sich leider.
Sinn und grosser Vorteil der Kerberos Authentifizierung ist ja das Single-Sign-on, bzw. alle Berechtigungen die ich habe werden durchgereicht, wenn ich mich einmal erfolgreich authentifiziert habe. Das ist ja einer der Grundpfeiler der Active Directory Authentifizierung.
Wie ich auf einen bestimmten Ordner dies abstellen soll will sich mir nicht erschliessen.
Hallo zusammen,
vielen Dank für die Antworten auf meine Anfrage. Ich bin froh, dass ich nicht zu dämlich war sondern das Problem tatsächlich nicht trivial ist. Auf die Idee mit dem Terminalserver war ich nocht nicht gekommen. In der Kanzlei befindet sich auch noch ein Win2003 Std. Server mit dem ich das ausprobieren kann.
Die Idee mit den Smartcards hatte ich auch schon, jedoch sollen sich ja auch andere Mitarbeiter unter dem gleichen Profil an diesem Rechner anmelden können.
Es scheint mir jedoch so, dass ich meinem Kunden beibringen muss, dass sie eben Geheimnisse voreinander haben und sich entsprechend verhalten müssen. Das heisst dass ihr bisheriges Konzept "Wir sind alle so gut miteinander, dass alle alle Passwörter kennen und an jeden Rechner können" nicht mehr funktioniert.
Viele Grüße
Helohse
vielen Dank für die Antworten auf meine Anfrage. Ich bin froh, dass ich nicht zu dämlich war sondern das Problem tatsächlich nicht trivial ist. Auf die Idee mit dem Terminalserver war ich nocht nicht gekommen. In der Kanzlei befindet sich auch noch ein Win2003 Std. Server mit dem ich das ausprobieren kann.
Die Idee mit den Smartcards hatte ich auch schon, jedoch sollen sich ja auch andere Mitarbeiter unter dem gleichen Profil an diesem Rechner anmelden können.
Es scheint mir jedoch so, dass ich meinem Kunden beibringen muss, dass sie eben Geheimnisse voreinander haben und sich entsprechend verhalten müssen. Das heisst dass ihr bisheriges Konzept "Wir sind alle so gut miteinander, dass alle alle Passwörter kennen und an jeden Rechner können" nicht mehr funktioniert.
Viele Grüße
Helohse
