edaseins
Goto Top

User in AD beschränken aber nicht Handlungsunfähig machen

Hallo Leuts,

Es geht um Domäne in der 12 Server verschiedene Aufgaben erledigen, einige der Server sind explizit für Fremdfirmen und ihre Programme. Alle dieser 12 Server greifen aber auf einen SQL Server zu und holen sich da mit verschiedensten Schnittstellen Daten...

Soweit sogut, nun ist einer der Server von einer Fremdfirma betreut die eigentlich nur die SQL Verbindung aufbaut und dort ihre Abfragen generiert, bei einer Stichprobenkontrolle haben wir nun aber festgestellt dass der User den die Firma benutzt sich Netzlaufwerkfreigaben von anderen Servern eingebunden hat.

Das Konstrukt dort ist ziemlich komplex... deswegen direkt zu meiner frage

Kann man den User irgendwie so einschränken dass er weder Netzlaufwerke einbinden noch sich an den anderen Servern anmelden kann? Er muss jedoch voll funktionsfähig bleiben was seinen eigenen Server angeht.

Content-ID: 392914

Url: https://administrator.de/forum/user-in-ad-beschraenken-aber-nicht-handlungsunfaehig-machen-392914.html

Ausgedruckt am: 26.12.2024 um 23:12 Uhr

Lochkartenstanzer
Lochkartenstanzer 15.11.2018 aktualisiert um 12:31:11 Uhr
Goto Top
Zitat von @Edaseins:

Das Konstrukt dort ist ziemlich komplex... deswegen direkt zu meiner frage

Kann man den User irgendwie so einschränken dass er weder Netzlaufwerke einbinden noch sich an den anderen Servern anmelden kann? Er muss jedoch voll funktionsfähig bleiben was seinen eigenen Server angeht.

Steckt den in ein eigenes VLAN und regelt das über eine Firewall, daß der nur SQL machen darf.

lks

PS: Und mit CAT9 Nachdruck verleihen!
137846
137846 15.11.2018 aktualisiert um 12:39:06 Uhr
Goto Top
dass er weder Netzlaufwerke einbinden noch sich an den anderen Servern anmelden kann?
Rechte entziehen und Workstations im AD Profil beschränken, nicht zu einem globalen Admin machen sondern granular nur die Rechte per Delegation vergeben die ihm auch zustehen. Oder das ganze Ding besser gleich in separat geregeltes Subnetz stecken.
Edaseins
Edaseins 15.11.2018 um 13:10:14 Uhr
Goto Top
Also mein aktuelles vorhaben ist dass er lokale Adminrechte bekommt, auf dem 2ten Server wo seine Exe liegt die er anzapft, bekommt er userrechte und ich Sperre ihm die Möglichkeit Netzlaufwerke zu verbinden...

So jetz muss ich ihn nur noch von den anderen Servern ausschliessen. Dies würde doch rein theoretisch über eine GPO gehen dass ich sage der Benutzer kann sich an dem Server nicht anmelden oder?
Lochkartenstanzer
Lochkartenstanzer 15.11.2018 um 13:11:07 Uhr
Goto Top
Zitat von @Edaseins:

Also mein aktuelles vorhaben ist dass er lokale Adminrechte bekommt, auf dem 2ten Server wo seine Exe liegt die er anzapft, bekommt er userrechte und ich Sperre ihm die Möglichkeit Netzlaufwerke zu verbinden...

So jetz muss ich ihn nur noch von den anderen Servern ausschliessen. Dies würde doch rein theoretisch über eine GPO gehen dass ich sage der Benutzer kann sich an dem Server nicht anmelden oder?

Nein. Steck ihn in ein separates VLAN!

lks
erikro
erikro 15.11.2018 um 16:56:13 Uhr
Goto Top
Moin,

Zitat von @Edaseins:
Es geht um Domäne in der 12 Server verschiedene Aufgaben erledigen,

Es ist also EINE(!) Domain, in der alle Server sind.

einige der Server sind explizit für Fremdfirmen und ihre Programme.

Ihr habt also Server von anderen Firmen in EURER(!) Domain?

Alle dieser 12 Server greifen aber auf einen SQL Server zu und holen sich da mit verschiedensten Schnittstellen Daten...
Soweit sogut, nun ist einer der Server von einer Fremdfirma betreut die eigentlich nur die SQL Verbindung aufbaut und dort ihre Abfragen generiert,

Eine Fremdfirma hat also einen Server in Eurer Domain, den sie selbständig betreut, nur um vom DB-Server Daten abzufragen? Warum? Warum greifen die nicht mit einem Client zu?

bei einer Stichprobenkontrolle haben wir nun aber festgestellt dass der User den die Firma benutzt sich Netzlaufwerkfreigaben von anderen Servern eingebunden hat.

Also haben diese User Rechte an den Freigaben. Sonst könnten sie sie ja nicht nutzen. Warum haben die Rechte an diesen Freigaben?

Kann man den User irgendwie so einschränken dass er weder Netzlaufwerke einbinden

Ja. Man gibt ihnen einfach keine Rechte an diesen Freigaben. Ohne Rechte auch kein Zugriff. Dann noch ein $ ans Ende des Freigabenamens, damit sie nicht so einfach zu finden ist.

noch sich an den anderen Servern anmelden kann?

In der Domain meldet sich der User nicht an einem Server an, sondern an der Domain. Alles andere regelt die Rechtevergabe an den Ressourcen.

Er muss jedoch voll funktionsfähig bleiben was seinen eigenen Server angeht.

Heißt was? Wenn sie da Domainadminrechte brauchen, um das zu machen, was sie machen wollen, dann kannst Du sie nicht aus dem Rest der Domain aussperren. Ein Admin ist ein Admin ist ein Admin ist der Gott des Netzwerkes. face-wink

Ich würde, wenn das denn geht, alle Fremdfirmen in ein jeweils eigenes Netz packen, dort eine, wenn denn notwendig, eigene Domain einrichten und die Zugriffe auf die eigene Domain auf das Notwendige beschränken.

Liebe Grüße

Erik
Daemmerung
Lösung Daemmerung 15.11.2018 um 18:57:12 Uhr
Goto Top
Im AD selbst kann man die Benutzerkonten so einschränken, dass sie sich nur an bestimmten Computer-Objekten anmelden können. Wenn euer Server Mitglied in der Domäne ist, kannst du diesen dann entsprechend einschränken. Schau dir in der ADUC mal die Eigenschaften des Benutzerkontos an und dort den Reiter "Konto".