Zugiff als Domainbenutzer auf NICHT Domain-PC
Hallo
Folgendes soll erreicht werden:
bestimmte Domainbenutzer, welche sich an einen Domainserver anmelden, sollen auf einem PC zugreifen können, der nicht Domainmitglied ist.
Zudem bekommt der nicht-AD-Client ein anderen IP-Bereich, damit andere AD-Benutzer den PC nicht "sehen".
Damit jedoch die paar Domainbenutzer, auf dem nicht-AD-Client zugreifen können, bekommen die eine zweite IP für Ihre NIC, damit die
Verbindung funktioniert.
WOZU ?????
Falls der AD-Server ausfällt, können die paar Clients noch auf den "nicht AD-Client" zugreifen .. wo sich "wichtige" Daten befinden...
Das OS wäre Windows 7 Pro
Meine Frage nun: geht das überhaupt, mit den Rechten?
Der "nicht AD-Client" müsste Freigaben erhalten, wo NUR die paar "besonderen AD-Benutzer" Vollzugriff erhalten.
Die "besonderen Benutzer" erhalten ja Ihre Autorisierung vom AD-Server, wie kann ich den "nicht AD-Client" nun konfigurieren, dass
die "besonderen AD-Benutzer" Vollzugriff bekommen.
Über "Freigabe" und "Sicherheit" geht das ja wohl nicht, da der "nicht AD-Client" die Domainbenutzer nicht kennt...
HELP !!!
Danke
Loeneberger
Folgendes soll erreicht werden:
bestimmte Domainbenutzer, welche sich an einen Domainserver anmelden, sollen auf einem PC zugreifen können, der nicht Domainmitglied ist.
Zudem bekommt der nicht-AD-Client ein anderen IP-Bereich, damit andere AD-Benutzer den PC nicht "sehen".
Damit jedoch die paar Domainbenutzer, auf dem nicht-AD-Client zugreifen können, bekommen die eine zweite IP für Ihre NIC, damit die
Verbindung funktioniert.
WOZU ?????
Falls der AD-Server ausfällt, können die paar Clients noch auf den "nicht AD-Client" zugreifen .. wo sich "wichtige" Daten befinden...
Das OS wäre Windows 7 Pro
Meine Frage nun: geht das überhaupt, mit den Rechten?
Der "nicht AD-Client" müsste Freigaben erhalten, wo NUR die paar "besonderen AD-Benutzer" Vollzugriff erhalten.
Die "besonderen Benutzer" erhalten ja Ihre Autorisierung vom AD-Server, wie kann ich den "nicht AD-Client" nun konfigurieren, dass
die "besonderen AD-Benutzer" Vollzugriff bekommen.
Über "Freigabe" und "Sicherheit" geht das ja wohl nicht, da der "nicht AD-Client" die Domainbenutzer nicht kennt...
HELP !!!
Danke
Loeneberger
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 154512
Url: https://administrator.de/contentid/154512
Ausgedruckt am: 25.11.2024 um 15:11 Uhr
5 Kommentare
Neuester Kommentar
Hi,
ich bin mir nicht ganz sicher, aber wenn's auf dem nicht-AD-PC einen lokalen Benutzer gibt, der den gleichen Benutzernamen und Passwort hat, wie ein AD Benutzer, sollte der AD Benutzer ohne erneute Login-Eingabe Zugriff haben.
(Windows versucht's bei Zugriff auf eine Freigabe immer mit den Login Daten, des gerade angemeldeten Benutzers.)
Andernfalls müsste der AD User halt die Login Informationen, für ein lokales Benutzerkonto auf dem nicht-AD-PC eingeben, sollte ja auch nicht weiter schlimm sein ... ;)
Gruß
Bernd
ich bin mir nicht ganz sicher, aber wenn's auf dem nicht-AD-PC einen lokalen Benutzer gibt, der den gleichen Benutzernamen und Passwort hat, wie ein AD Benutzer, sollte der AD Benutzer ohne erneute Login-Eingabe Zugriff haben.
(Windows versucht's bei Zugriff auf eine Freigabe immer mit den Login Daten, des gerade angemeldeten Benutzers.)
Andernfalls müsste der AD User halt die Login Informationen, für ein lokales Benutzerkonto auf dem nicht-AD-PC eingeben, sollte ja auch nicht weiter schlimm sein ... ;)
Gruß
Bernd
Moin,
Genauso schaut es aus!
in einem früheren Unternehmen was es so, dass eine bestimmte Abteilung als einziges Zugriff auf senisble Daten etc erhalten. Also auch wir Admins kamen nur mit der Abteilungsleiterin zusammen auf den Server.. Oft mist, weil Azubis gerne mal die Abteilung wechselten und einen Ordner auf diesem Nicht-AD Server hatten...
Naja, wie o.g wichtig:
User Name und Kennwort müssen sowohl in der ADS als auf dem Stand-Alone Server identisch sein. Ist also zu berücksichtigen, wenn die Kennwörter geändert wurden ;)
Gruß
meistro
Zitat von @Berrnd:
Hi,
ich bin mir nicht ganz sicher, aber wenn's auf dem nicht-AD-PC einen lokalen Benutzer gibt, der den gleichen Benutzernamen
und Passwort hat, wie ein AD Benutzer, sollte der AD Benutzer ohne erneute Login-Eingabe Zugriff haben.
(Windows versucht's bei Zugriff auf eine Freigabe immer mit den Login Daten, des gerade angemeldeten Benutzers.)
[...]
Hi,
ich bin mir nicht ganz sicher, aber wenn's auf dem nicht-AD-PC einen lokalen Benutzer gibt, der den gleichen Benutzernamen
und Passwort hat, wie ein AD Benutzer, sollte der AD Benutzer ohne erneute Login-Eingabe Zugriff haben.
(Windows versucht's bei Zugriff auf eine Freigabe immer mit den Login Daten, des gerade angemeldeten Benutzers.)
[...]
Genauso schaut es aus!
in einem früheren Unternehmen was es so, dass eine bestimmte Abteilung als einziges Zugriff auf senisble Daten etc erhalten. Also auch wir Admins kamen nur mit der Abteilungsleiterin zusammen auf den Server.. Oft mist, weil Azubis gerne mal die Abteilung wechselten und einen Ordner auf diesem Nicht-AD Server hatten...
Naja, wie o.g wichtig:
User Name und Kennwort müssen sowohl in der ADS als auf dem Stand-Alone Server identisch sein. Ist also zu berücksichtigen, wenn die Kennwörter geändert wurden ;)
Gruß
meistro
Moin,
ich würde das so nicht bauen wollen...
An deiner Stelle würde ich einen zweiten DC installieren, eine preiswerte NAS Büchse von Thecus oder ähnlichem besorgen und mit Robocopyjobs arbeiten.
Die Freigaben vom NAS bekommen ein nettes $ als letztes zeichen im Namen und schon sieht die keiner mehr.
Bei Windows hast du ganz schnell ganz interessante Probleme - speziell das Office schreibt jedes Netzwerklaufwerk in seinen echten UNC Pfad um -du hast dann zwar die daten auf Büchse xyz, aber die User kommen erstmal nicht drauf.
Von daher auch das NAS ist kein echtes Worstcase konzept, nur ein Tropfen auf den heissen Stein.
Wir haben div. Backupstrategien, u.a habe ich einen Server abgestempelt, der ein Datengrab (18 TB) beherbergt und der unsere div. echtblechseverfreigaben per Robocopy abläuft. Im Fall der Fälle (dazu habe ich auch schon fertige Scripts auf der Kiste) kann ich so gepflegt den Server umbenennen, die Shares \"freigeben\" und den als der ausgefallene Server neustarten.
Auch das ist aber kein echtes Szenario, denn im Fall der Fälle ist man sich am Schluß eh unsicher, ob man "das" anstößt, oder die 4 Stunden wartet, die der Server Supportvertrags Dienstleister hat, um das Blech zu tauschen.
(Wenn ihr keinen 24/7 4 Stunden Wartungsvertrag habt, dann wäre das Szenario schon interessanter)
Gruß
ich würde das so nicht bauen wollen...
- fällt der AD Controller wirklich aus - und die Kisten der User haben noch nie mit dem betreffenden Rechner gesprochen - wurde auch nix gecached.
- Doppelte Userverwaltung - zusätzlich die Info wer welches Passwort benutzt usw. usf.
An deiner Stelle würde ich einen zweiten DC installieren, eine preiswerte NAS Büchse von Thecus oder ähnlichem besorgen und mit Robocopyjobs arbeiten.
Die Freigaben vom NAS bekommen ein nettes $ als letztes zeichen im Namen und schon sieht die keiner mehr.
Bei Windows hast du ganz schnell ganz interessante Probleme - speziell das Office schreibt jedes Netzwerklaufwerk in seinen echten UNC Pfad um -du hast dann zwar die daten auf Büchse xyz, aber die User kommen erstmal nicht drauf.
Von daher auch das NAS ist kein echtes Worstcase konzept, nur ein Tropfen auf den heissen Stein.
Wir haben div. Backupstrategien, u.a habe ich einen Server abgestempelt, der ein Datengrab (18 TB) beherbergt und der unsere div. echtblechseverfreigaben per Robocopy abläuft. Im Fall der Fälle (dazu habe ich auch schon fertige Scripts auf der Kiste) kann ich so gepflegt den Server umbenennen, die Shares \"freigeben\" und den als der ausgefallene Server neustarten.
Auch das ist aber kein echtes Szenario, denn im Fall der Fälle ist man sich am Schluß eh unsicher, ob man "das" anstößt, oder die 4 Stunden wartet, die der Server Supportvertrags Dienstleister hat, um das Blech zu tauschen.
(Wenn ihr keinen 24/7 4 Stunden Wartungsvertrag habt, dann wäre das Szenario schon interessanter)
Gruß
Moin,
Oder - siehe mein Tipp mit dem Robocopy, gar keine Freigaben einrichten.
Die "Freigaben" sind lediglich:
btw: Was man mit ab 649€ so alles machen kann, würde ich mir an deiner Steller mal genauer ansehen.
Gruß
Zitat von @Loeneberger:
Danke für deinen Rat!
der erste DC ist "leider" ein SBS2008, also fällt das mit den 2ten flach ....
Quark - das geht wunderbar - der SBS will halt nur "der" DC mit den Masterrollen sein, und es darf kein 2. SBS in der Domaine sein, ein stinknormaler W2kx Server tuts vollkommen.Danke für deinen Rat!
der erste DC ist "leider" ein SBS2008, also fällt das mit den 2ten flach ....
Ich denke, ich binde das Teil einfach Client in die Domaine ein, und setze die Zugriffsrechte entsprechended der "besonderen Benutzer"...
Das mit den Freigabe "$" hab ich total vergessen - stimmt ja na, dass kann ich ja dort auch umsetzen.
Das mit den Freigabe "$" hab ich total vergessen - stimmt ja na, dass kann ich ja dort auch umsetzen.
Oder - siehe mein Tipp mit dem Robocopy, gar keine Freigaben einrichten.
Die "Freigaben" sind lediglich:
- 1 regschlüssel pro Freigabe setzen
- 1 Dienst neustarten
- und siehe "office" wenn, mußt du den Ersatz Server eh umbenamsen und von daher hast du mit $ Shares dann ein "problem" - denn die Kisten der User dürfen keinen Unterschied erkennen. (ok die User werden halt etwas ältere Daten sehen, aber das ist ja bekannt)
Achso, falls die Frage kommt: "und wieso machst das nicht alles einfach auf den DC????"
Weil:
richtig man[n] sowas einfach nicht macht.Weil:
btw: Was man mit ab 649€ so alles machen kann, würde ich mir an deiner Steller mal genauer ansehen.
Gruß