3
Windows Server 2019 - Erweiterte Sicherheitseinstellungen mit Bedingungen
Guten Morgen zusammen,
ich versuche aktuell folgende Konstellation zu lösen:
1) Eine AD-Gruppe X hat Zugriff auf einen freigegebenen Ordner A
-> funktioniert
2) Nun möchte ich innerhalb des Ordners A eine Anwendungsdatei B so beschränkt werden, dass diese von den Gruppenmitgliedern aus X nur von bestimmten Rechnern (auch in AD) geöffnet werden dürfen.
-> Das wollte ich über die erweiterten Sicherheitseinstellungen und darunter den Bedingungen lösen.
Ich habe die ausgewählten Rechner als Prinzipal hinzugefügt und unter Bedingung folgende Einstellung hinterlegt und als Element die Gruppe X ausgewählt:
Leider wird mir von dem hinzugefügten Rechner aus dennoch der Zugriff verweigert.
Da meine Recherchen bisher leider nichts brauchbares ergeben haben, hoffe ich, dass von euch evtl. noch jemand einen Tipp hat.
Gruß
Volchy
ich versuche aktuell folgende Konstellation zu lösen:
1) Eine AD-Gruppe X hat Zugriff auf einen freigegebenen Ordner A
-> funktioniert
2) Nun möchte ich innerhalb des Ordners A eine Anwendungsdatei B so beschränkt werden, dass diese von den Gruppenmitgliedern aus X nur von bestimmten Rechnern (auch in AD) geöffnet werden dürfen.
-> Das wollte ich über die erweiterten Sicherheitseinstellungen und darunter den Bedingungen lösen.
Ich habe die ausgewählten Rechner als Prinzipal hinzugefügt und unter Bedingung folgende Einstellung hinterlegt und als Element die Gruppe X ausgewählt:
Leider wird mir von dem hinzugefügten Rechner aus dennoch der Zugriff verweigert.
Da meine Recherchen bisher leider nichts brauchbares ergeben haben, hoffe ich, dass von euch evtl. noch jemand einen Tipp hat.
Gruß
Volchy
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 462199
Url: https://administrator.de/contentid/462199
Printed on: April 28, 2024 at 09:04 o'clock
3 Comments
Latest comment
Moin.
Du kannst einen Rechner innerhalb der ACL nur beschränken über "Gerät" und einen Nutzer in der ACL nur über "Benutzer".
Kann es sein, dass dein abgebildeter Eintrag auf einen Rechnerprinzipal angewendet wird? Das geht nicht.
(ob da was mit "Authentication Silos" möglich ist, weiß ich nicht - keine Erfahrung)
Du kannst einen Rechner innerhalb der ACL nur beschränken über "Gerät" und einen Nutzer in der ACL nur über "Benutzer".
Kann es sein, dass dein abgebildeter Eintrag auf einen Rechnerprinzipal angewendet wird? Das geht nicht.
(ob da was mit "Authentication Silos" möglich ist, weiß ich nicht - keine Erfahrung)
Moin,
mein abgebildeter Eintrag hatte sich auf einen Rechnerprinzipal bezogen.
Ich habe als Ausweichvarianten dennoch versucht:
Benutzerprinzipal mit Einschränkung: Gerät - Gruppe - Mitglied eines beliebigen Elements/Mitglied von allen Elementen - Wert - AD-Gruppe in den ich den Rechner aufgenommen habe.
Gleiches Spielt mit AD-Gruppe als Prinzipal
Die Anwendungsdatei erbt keine Berechtigungen des übergeordneten Elements.
Aber habe ich dich richtig verstanden, dass ich nicht einschränken kann das ein Benutzerprinzipal / BenutzergruppenPrinzipal nur mit Kombination "Gerät" (also der User sich auf einem der festgelegten Rechnern angemeldet haben muss) einsetzen kann?
Danke
Gruß
Volchy
mein abgebildeter Eintrag hatte sich auf einen Rechnerprinzipal bezogen.
Ich habe als Ausweichvarianten dennoch versucht:
Benutzerprinzipal mit Einschränkung: Gerät - Gruppe - Mitglied eines beliebigen Elements/Mitglied von allen Elementen - Wert - AD-Gruppe in den ich den Rechner aufgenommen habe.
Gleiches Spielt mit AD-Gruppe als Prinzipal
Die Anwendungsdatei erbt keine Berechtigungen des übergeordneten Elements.
Aber habe ich dich richtig verstanden, dass ich nicht einschränken kann das ein Benutzerprinzipal / BenutzergruppenPrinzipal nur mit Kombination "Gerät" (also der User sich auf einem der festgelegten Rechnern angemeldet haben muss) einsetzen kann?
Danke
Gruß
Volchy
Da hast Du mich richtig verstanden, ja. Was mit der Verwendung von Authentication Silos ggf. doch möglich gemacht wird, solltestr Du prüfen, siehe z.B. https://www.ultimatewindowssecurity.com/blog/default.aspx?p=3bbee708-557 ...
Du hast vielleicht bemerkt, dass Du in dem Dialog im 2. Dropdownmenü von Links die Auswahl "authentication silo" hast.
Du hast vielleicht bemerkt, dass Du in dem Dialog im 2. Dropdownmenü von Links die Auswahl "authentication silo" hast.
