falcok
Goto Top

Prüfen wer im LAN nicht in Domäne ist

Hallo Leute,

ich habe derzeit die Aufgabe herauszufinden, wer im gesamten LAN-Netzwerk nicht in der Domäne ist.

Unser Netz ist so aufgebaut.

Wir haben in unserer Zentrale ungefähr 400 Mitarbeiter, jeder mit einem eigenen Rechner, jeder am LAN angeschlossen. Viele wurden jedoch noch nicht in unsere Domäne gehoben, welches ich jetzt nachträglich machen soll.

Gibt es eine Möglichkeit das schnell zu regeln ohne von Raum zu Raum laufen zu müssen und am PC zu checken ob der jeweilige PC in der Domäne ist oder nicht?

Also Tools o.ä.?

Gruß und gesundes Neues ;)

FalcoK

Content-ID: 292241

Url: https://administrator.de/contentid/292241

Ausgedruckt am: 08.11.2024 um 09:11 Uhr

LordGurke
LordGurke 05.01.2016 um 12:22:58 Uhr
Goto Top
Guck doch einfach im DC nach, welcher Rechner Domänenmitglied ist? Was dort nicht aufgeführt ist, ist es ganz offenbar nicht face-wink
FalcoK
FalcoK 05.01.2016 um 12:24:22 Uhr
Goto Top
Bei uns sind die Computernamen mit NB-xxxx oder WS-xxxx nummeriert, verteilt auf 1000 Mitarbeiter in ganz Deutschland :D
LordGurke
LordGurke 05.01.2016 aktualisiert um 12:37:12 Uhr
Goto Top
Ich hatte jetzt vorausgesetzt, dass es dazu eine Doku gibt face-wink
Du könntest per GPO in der Domäne ein Startscript verteilen, welches dir auf eine gemeinsame, bei jedem eingebundene Netzwerkfreigabe Details zu einem Computer (z.B. IP-Adresse oder angemeldeter Benutzer) schreibt. Wie das am Besten in Bash geht müsste dir aber wer anders zeigen :-P

Oder du rennst mit nmap über das gesamte Netzwerk, scanst dort auf Port 445/TCP und kannst dir damit die Arbeitsgruppe oder Domäne anzeigen lassen. Am Besten läuft nmap auf einem Linux, unter Windows funktioniert das aber auch (ist aber etwas langsamer):

nmap -A -p 445 -P 0 --open 192.168.0.0/24

Damit wird das komplette 192.168.0.0/24 durchlaufen und dir dabei ausgegeben um was für ein System es sich handelt, z.B.:

Nmap scan report for 192.168.0.10
Host is up (0.00024s latency).
PORT    STATE SERVICE      VERSION
445/tcp open  microsoft-ds Microsoft Windows 10 microsoft-ds
MAC Address: AC:22:x:x:x:x(Asustek Computer)
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
Device type: general purpose|media device
Network Distance: 1 hop
Service Info: OS: Windows 10; CPE: cpe:/o:microsoft:windows_10

Host script results:
| smb-os-discovery:
|   OS: Windows 7 Professional 7601 Service Pack 1 (Windows 7 Professional 6.1)
|   OS CPE: cpe:/o:microsoft:windows_7::sp1:professional
|   NetBIOS computer name: WS-GURKE
|   Workgroup: TESTHEIMER
|_  System time: 2016-01-05T12:28:02+01:00
| smb-security-mode:
|   account_used: guest
|   authentication_level: user
|   challenge_response: supported
|_  message_signing: disabled (dangerous, but default)
|_smbv2-enabled: Server supports SMBv2 protocol

Das ist jetzt natürlich deutlich mehr Info als du jetzt brauchst face-wink
Du kannst dir mit dem Parameter " -oN 'dateiname.txt' " die Scan-Ausgabe in eine Datei schreiben lassen, um sie später durchsuchen zu können.
FalcoK
FalcoK 05.01.2016 um 12:40:56 Uhr
Goto Top
Erstmal großes Danke :D

Kann ich das von meinem eigenen PC laufen lassen oder muss ich das Theater aufm DC veranstalten? :D
LordGurke
LordGurke 05.01.2016 um 12:45:22 Uhr
Goto Top
Das geht von übrall, wo du an die Netze der entfernten Workstations dran kommst. Wenn du da von deiner Workstation aus Zugriff hast, kannst du das von da aus machen face-wink

Auf dem DC würde ich das nicht unbedingt machen - denn wenn da jemand auf seiner Workstation irgendein großes Security-Firewall-Ding aktiviert hat ist die Wahrscheinlichkeit nicht sehr gering, dass diese Firewall dann die Verbindungen kappt...
117643
117643 05.01.2016 aktualisiert um 13:07:21 Uhr
Goto Top
*EDIT* Zu spät alles schon geklärt face-smile
FalcoK
FalcoK 05.01.2016 um 13:15:21 Uhr
Goto Top
Wie lange Zeit denkst du nimmt das in Anspruch? Ich hab das jetzt angefangen, also vor circa 10 Minuten, bin aber nur bis 16 Uhr im Hause..
LordGurke
LordGurke 05.01.2016 aktualisiert um 13:22:11 Uhr
Goto Top
Wie viele Rechner scannst du denn? Normalerweise pro erreichbarem System ca. 20-25 Sekunden. Bei nicht erreichbaren Hosts (Ping-Prüfung wurde mit -P0 deaktiviert um auch bei Windows-Firewalls die ICMP-Echo filtern was zu sehen) kann es etwa 15 Sekunden dauern.
Eventuell bietet es sich bei dir auch an, wenn du in Etappen einzelne /24-Subnetze durchscannst, damit die Leute nicht nach Hause gehen während der Scan noch läuft face-wink
FalcoK
FalcoK 05.01.2016 um 14:51:40 Uhr
Goto Top
Hab das gerade gemacht mit Zenmap, hat 256 Hosts gefunden.. wo sehe ich jetzt informationen zu diesen?
LordGurke
LordGurke 05.01.2016 um 14:56:59 Uhr
Goto Top
Habe gerade kein Zenmap vor mir - im Zweifel kannst du entweder die angezeigte Tabelle um die interessanten Spalten erweitern, im Zweifel allerdings (wenn du die Ausgabe mit dem o.g. Befehl in eine Datei hast schreiben lassen) musst du einfach in die Datei gucken.
FalcoK
FalcoK 05.01.2016 um 15:03:51 Uhr
Goto Top
Hab mir die Suche gespeichert, war dann eine .xml. einziger text der drin steht ist

Starting Nmap 7.01 ( https://nmap.org ) at 2016-01-05 13:51 Mitteleuropäische Zeit OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ . Nmap done: 256 IP addresses (256 hosts up) scanned in 2569.91 seconds
LordGurke
LordGurke 05.01.2016 um 15:10:47 Uhr
Goto Top
Hast du die Datei mal mit einem regulären Texteditor (Notepad) geöffnet?
Ansonsten: Könnte es theoretisch sein, dass da eine Firewall vor dem Netz oder auf den einzelnen Rechnern ist, die verhindert dass man da auf die Netzwerkfreigaben zugreifen kann?