PC in Produktionsumgebung in Domäne einbinden
Hallo zusammen,
zwecks einfacherer Verwaltung möchte ich gerne einen Windows 7 PC der sich in unseren Produktionsräumen befindet (Bereitstellung einer Branchensoftware, kein SMB Zugriff auf Server) in meine SBS 2011 Domäne aufnehmen. Auf der anderen Seite soll von diesem PC keinerlei Zugriff auf die Daten/Freigaben des Servers etc. möglich sein. Also auch kein "Verbinden als" mit den Zugangsdaten eines Bürobenutzers. Damit habe ich wieder eine "Wasch mir den Pelz, aber mach mich nicht nass." Situation.
Deshalb die Frage an alle die Erfahrung in diesem Bereich haben:
Wie bindet ihr eure PCs in den Produktionsräumen mit möglichst geringen Rechten in euer AD ein?
Folgendes ist klar:
- getrenntes VLAN
- in der Firewall zwischen dem Produktionsnetz und dem Büronetz nur die AD und Branchensoftware relevanten Ports öffnen
- eine Gruppe "Produktion" und entsprechende Nutzer im AD anlegen
- auf dem PC selbst per Gruppenrichtlinie nur das Anmelden der Nutzer in der Gruppe "Produktion" erlauben
Ich freue mich auf eure Tipps
Grüße
zwecks einfacherer Verwaltung möchte ich gerne einen Windows 7 PC der sich in unseren Produktionsräumen befindet (Bereitstellung einer Branchensoftware, kein SMB Zugriff auf Server) in meine SBS 2011 Domäne aufnehmen. Auf der anderen Seite soll von diesem PC keinerlei Zugriff auf die Daten/Freigaben des Servers etc. möglich sein. Also auch kein "Verbinden als" mit den Zugangsdaten eines Bürobenutzers. Damit habe ich wieder eine "Wasch mir den Pelz, aber mach mich nicht nass." Situation.
Deshalb die Frage an alle die Erfahrung in diesem Bereich haben:
Wie bindet ihr eure PCs in den Produktionsräumen mit möglichst geringen Rechten in euer AD ein?
Folgendes ist klar:
- getrenntes VLAN
- in der Firewall zwischen dem Produktionsnetz und dem Büronetz nur die AD und Branchensoftware relevanten Ports öffnen
- eine Gruppe "Produktion" und entsprechende Nutzer im AD anlegen
- auf dem PC selbst per Gruppenrichtlinie nur das Anmelden der Nutzer in der Gruppe "Produktion" erlauben
Ich freue mich auf eure Tipps
Grüße
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 300213
Url: https://administrator.de/forum/pc-in-produktionsumgebung-in-domaene-einbinden-300213.html
Ausgedruckt am: 23.12.2024 um 14:12 Uhr
7 Kommentare
Neuester Kommentar
Hallo,
Vom PC aus oder vom dortigen gerade angemeldeten Benutzer?
Gruß,
Peter
Vom PC aus oder vom dortigen gerade angemeldeten Benutzer?
Wie bindet ihr eure PCs in den Produktionsräumen mit möglichst geringen Rechten in euer AD ein?
Warum einen PC in einer Domäne heben wenn er doch nichts darf? Lass ihn draussen in sein eigenes VLAN und gut ist. Verwaltung dann mit TeamViewer und Co.- auf dem PC selbst per Gruppenrichtlinie nur das Anmelden der Nutzer in der Gruppe "Produktion" erlauben
Und diese können trotzdem dann noch "Anmelden als"...Gruß,
Peter
Hallo,
Gruß,
Peter
Zitat von @timmer:
Gibt es hierfür eventuell eine Gruppenrichtlinie? Habe bei meiner Suche leider nichts entdeckt.
Lokales Anmelden nur für bestimmte gruppen / user erlauben / verbieten. Hilft aber nicht gegen dein "Verbinden mit einer Freigabe" mit anderen Benutzerdaten....Gibt es hierfür eventuell eine Gruppenrichtlinie? Habe bei meiner Suche leider nichts entdeckt.
Gruß,
Peter