3
Windows Server 2019 - Erweiterte Sicherheitseinstellungen mit Bedingungen
Guten Morgen zusammen,
ich versuche aktuell folgende Konstellation zu lösen:
1) Eine AD-Gruppe X hat Zugriff auf einen freigegebenen Ordner A
-> funktioniert
2) Nun möchte ich innerhalb des Ordners A eine Anwendungsdatei B so beschränkt werden, dass diese von den Gruppenmitgliedern aus X nur von bestimmten Rechnern (auch in AD) geöffnet werden dürfen.
-> Das wollte ich über die erweiterten Sicherheitseinstellungen und darunter den Bedingungen lösen.
Ich habe die ausgewählten Rechner als Prinzipal hinzugefügt und unter Bedingung folgende Einstellung hinterlegt und als Element die Gruppe X ausgewählt:
Leider wird mir von dem hinzugefügten Rechner aus dennoch der Zugriff verweigert.
Da meine Recherchen bisher leider nichts brauchbares ergeben haben, hoffe ich, dass von euch evtl. noch jemand einen Tipp hat.
Gruß
Volchy
ich versuche aktuell folgende Konstellation zu lösen:
1) Eine AD-Gruppe X hat Zugriff auf einen freigegebenen Ordner A
-> funktioniert
2) Nun möchte ich innerhalb des Ordners A eine Anwendungsdatei B so beschränkt werden, dass diese von den Gruppenmitgliedern aus X nur von bestimmten Rechnern (auch in AD) geöffnet werden dürfen.
-> Das wollte ich über die erweiterten Sicherheitseinstellungen und darunter den Bedingungen lösen.
Ich habe die ausgewählten Rechner als Prinzipal hinzugefügt und unter Bedingung folgende Einstellung hinterlegt und als Element die Gruppe X ausgewählt:
Leider wird mir von dem hinzugefügten Rechner aus dennoch der Zugriff verweigert.
Da meine Recherchen bisher leider nichts brauchbares ergeben haben, hoffe ich, dass von euch evtl. noch jemand einen Tipp hat.
Gruß
Volchy
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 462199
Url: https://administrator.de/contentid/462199
Ausgedruckt am: 23.11.2024 um 01:11 Uhr
3 Kommentare
Neuester Kommentar
Moin.
Du kannst einen Rechner innerhalb der ACL nur beschränken über "Gerät" und einen Nutzer in der ACL nur über "Benutzer".
Kann es sein, dass dein abgebildeter Eintrag auf einen Rechnerprinzipal angewendet wird? Das geht nicht.
(ob da was mit "Authentication Silos" möglich ist, weiß ich nicht - keine Erfahrung)
Du kannst einen Rechner innerhalb der ACL nur beschränken über "Gerät" und einen Nutzer in der ACL nur über "Benutzer".
Kann es sein, dass dein abgebildeter Eintrag auf einen Rechnerprinzipal angewendet wird? Das geht nicht.
(ob da was mit "Authentication Silos" möglich ist, weiß ich nicht - keine Erfahrung)
Moin,
mein abgebildeter Eintrag hatte sich auf einen Rechnerprinzipal bezogen.
Ich habe als Ausweichvarianten dennoch versucht:
Benutzerprinzipal mit Einschränkung: Gerät - Gruppe - Mitglied eines beliebigen Elements/Mitglied von allen Elementen - Wert - AD-Gruppe in den ich den Rechner aufgenommen habe.
Gleiches Spielt mit AD-Gruppe als Prinzipal
Die Anwendungsdatei erbt keine Berechtigungen des übergeordneten Elements.
Aber habe ich dich richtig verstanden, dass ich nicht einschränken kann das ein Benutzerprinzipal / BenutzergruppenPrinzipal nur mit Kombination "Gerät" (also der User sich auf einem der festgelegten Rechnern angemeldet haben muss) einsetzen kann?
Danke
Gruß
Volchy
mein abgebildeter Eintrag hatte sich auf einen Rechnerprinzipal bezogen.
Ich habe als Ausweichvarianten dennoch versucht:
Benutzerprinzipal mit Einschränkung: Gerät - Gruppe - Mitglied eines beliebigen Elements/Mitglied von allen Elementen - Wert - AD-Gruppe in den ich den Rechner aufgenommen habe.
Gleiches Spielt mit AD-Gruppe als Prinzipal
Die Anwendungsdatei erbt keine Berechtigungen des übergeordneten Elements.
Aber habe ich dich richtig verstanden, dass ich nicht einschränken kann das ein Benutzerprinzipal / BenutzergruppenPrinzipal nur mit Kombination "Gerät" (also der User sich auf einem der festgelegten Rechnern angemeldet haben muss) einsetzen kann?
Danke
Gruß
Volchy
Da hast Du mich richtig verstanden, ja. Was mit der Verwendung von Authentication Silos ggf. doch möglich gemacht wird, solltestr Du prüfen, siehe z.B. https://www.ultimatewindowssecurity.com/blog/default.aspx?p=3bbee708-557 ...
Du hast vielleicht bemerkt, dass Du in dem Dialog im 2. Dropdownmenü von Links die Auswahl "authentication silo" hast.
Du hast vielleicht bemerkt, dass Du in dem Dialog im 2. Dropdownmenü von Links die Auswahl "authentication silo" hast.
