timmer
Goto Top

PC in Produktionsumgebung in Domäne einbinden

Hallo zusammen,

zwecks einfacherer Verwaltung möchte ich gerne einen Windows 7 PC der sich in unseren Produktionsräumen befindet (Bereitstellung einer Branchensoftware, kein SMB Zugriff auf Server) in meine SBS 2011 Domäne aufnehmen. Auf der anderen Seite soll von diesem PC keinerlei Zugriff auf die Daten/Freigaben des Servers etc. möglich sein. Also auch kein "Verbinden als" mit den Zugangsdaten eines Bürobenutzers. Damit habe ich wieder eine "Wasch mir den Pelz, aber mach mich nicht nass." Situation.

Deshalb die Frage an alle die Erfahrung in diesem Bereich haben:
Wie bindet ihr eure PCs in den Produktionsräumen mit möglichst geringen Rechten in euer AD ein?

Folgendes ist klar:
- getrenntes VLAN
- in der Firewall zwischen dem Produktionsnetz und dem Büronetz nur die AD und Branchensoftware relevanten Ports öffnen
- eine Gruppe "Produktion" und entsprechende Nutzer im AD anlegen
- auf dem PC selbst per Gruppenrichtlinie nur das Anmelden der Nutzer in der Gruppe "Produktion" erlauben

Ich freue mich auf eure Tipps

Grüße

Content-ID: 300213

Url: https://administrator.de/forum/pc-in-produktionsumgebung-in-domaene-einbinden-300213.html

Ausgedruckt am: 23.12.2024 um 14:12 Uhr

Pjordorf
Lösung Pjordorf 27.03.2016 um 20:40:22 Uhr
Goto Top
Hallo,

Zitat von @timmer:
diesem PC keinerlei Zugriff
Vom PC aus oder vom dortigen gerade angemeldeten Benutzer?

Wie bindet ihr eure PCs in den Produktionsräumen mit möglichst geringen Rechten in euer AD ein?
Warum einen PC in einer Domäne heben wenn er doch nichts darf? Lass ihn draussen in sein eigenes VLAN und gut ist. Verwaltung dann mit TeamViewer und Co.

- auf dem PC selbst per Gruppenrichtlinie nur das Anmelden der Nutzer in der Gruppe "Produktion" erlauben
Und diese können trotzdem dann noch "Anmelden als"...

Gruß,
Peter
keine-ahnung
keine-ahnung 27.03.2016 um 21:56:46 Uhr
Goto Top
Moin,
sollte man über eine lokale Sicherheitsrichtlinie an der Büchse selbst definieren können. Alternativ als GPO, da für musst Du die Kiste aber in eine eigene OU stellen.

LG, Thomas
timmer
timmer 28.03.2016 aktualisiert um 11:56:50 Uhr
Goto Top
Hallo Peter,

Vom PC aus oder vom dortigen gerade angemeldeten Benutzer?
Vom PC aus, denn sonst ginge ja noch "anmelden als". Ich hatte auf eine Lösung von der Art "Port in der Firewall sperren" gehofft auf die ich noch nicht gekommen bin.
Wie bindet ihr eure PCs in den Produktionsräumen mit möglichst geringen Rechten in euer AD ein?
Warum einen PC in einer Domäne heben wenn er doch nichts darf? Lass ihn draussen in sein eigenes VLAN und gut ist. Verwaltung dann mit TeamViewer und Co.
Unter den von mir genannten Kriterien stimmt das wohl. Vielleicht denke ich da auch etwas zu restriktiv. Wie handhabst du die Situation "PCs in Produktionsräumen"?
- auf dem PC selbst per Gruppenrichtlinie nur das Anmelden der Nutzer in der Gruppe "Produktion" erlauben
Und diese können trotzdem dann noch "Anmelden als"...
Gibt es hierfür eventuell eine Gruppenrichtlinie? Habe bei meiner Suche leider nichts entdeckt.

Danke und Grüße
Tim
timmer
timmer 28.03.2016 um 12:03:20 Uhr
Goto Top
Hallo Thomas,

sollte man über eine lokale Sicherheitsrichtlinie an der Büchse selbst definieren können. Alternativ als GPO, da für musst Du die Kiste aber in eine eigene OU stellen.

ich kann dir leider nicht ganz folgen. Könntest du deinen Vorschlag noch etwas konkretisieren?

Danke und Grüße
Tim
Pjordorf
Pjordorf 28.03.2016 um 13:38:37 Uhr
Goto Top
Hallo,

Zitat von @timmer:
Gibt es hierfür eventuell eine Gruppenrichtlinie? Habe bei meiner Suche leider nichts entdeckt.
Lokales Anmelden nur für bestimmte gruppen / user erlauben / verbieten. Hilft aber nicht gegen dein "Verbinden mit einer Freigabe" mit anderen Benutzerdaten....

Gruß,
Peter
DerWoWusste
Lösung DerWoWusste 28.03.2016 um 22:20:11 Uhr
Goto Top
Hi.

Zugriff auf Port 445 (smb) ausgehend in Richting Domänencontroller wird für die Gruppenrichtlinien benötigt. Ist denn der Server mit den Freigaben von dem Du sprichst der Domänencontroller? Wenn nicht kannst Du natürlich am Fileserer eingehenden Traffic über 445 von diesem PC aus verbieten.
timmer
timmer 29.03.2016 um 10:55:23 Uhr
Goto Top
Hallo DerWoWusste,

leider ist der SBS der einzige Server im Netz. D.h. auf ihm liegen auch die Freigaben.
Aber ansonsten eine gute Idee. Ist notiert für ein eventuelles Upgrade.

Danke dir