miscmike
Goto Top

Zugriff auf Server(Shares) nur für Domänenmitglieder

Hallo zusammen,

ich komme grad nicht weiter..

Ich möchte sicherstellen, dass in unserer Domäne nur Personen Zugriff auf netzwerkshares haben, die auch Domainuser sind.
Gleichzeitig soll das auch für die Computer gelten - also Zugriff nur für Geräte, die in der AD bekannt sind.

Es soll also auch nicht möglich sein, sich mit einem x-beliebigen Computer (der kein Domänencomputer ist) und der Kenntnis der Domain und des Benutzernamens anzumelden.

Ich meine mich zu erinnern, dass es mal so eine recht einfache Einstellung gab, weiß nur nicht mehr wo.

Grobe Konfiguration :

Windows Server 2019, AD
Daten auf Synology NAS (Rechte nur für Domainuser), gemappt als Laufwerk(e) via GPO
Daten auf lokalem Serverdatenträger, Share gemappt als Laufwerk(e) via GPO

Hoffe, Ihr könnt mir helfen.

Danke schon mal face-smile

Miscmike

Content-ID: 663257

Url: https://administrator.de/forum/zugriff-auf-servershares-nur-fuer-domaenenmitglieder-663257.html

Ausgedruckt am: 22.12.2024 um 03:12 Uhr

kingtope
kingtope 16.03.2021 um 11:57:11 Uhr
Goto Top
Hallo Miscmike,
du erstellst im AD die entsprechenden Zugriffsgruppe zu den Shares, auf denen du Rechte vergeben willst und fügst die entsprechenden Benutzer in diese Gruppen ein.
Dann joinst du das NAS in die Domäne und vergibst auf den Shares die angelegten gruppen als Zugriffsgruppen.
Fertig!
VG
Tope
miscmike
miscmike 16.03.2021 um 12:06:29 Uhr
Goto Top
So haben wir das schon immer gemacht. Aber verhindert das auch, dass sich ein der Domäne nicht bekannter Computer mit einem Netzwerkshare verbinden kann, indem er bei der Authentifizierung dann als Name %domain\Username% und das zugehörige Passwort eingibt ?
Gruß Miscmike
lcer00
lcer00 16.03.2021 um 12:08:51 Uhr
Goto Top
Hallo,

für Freigaben auf einem Windows-Domänenmitglied genügt es im Grunde, die NTFS-Berechtigungen des freizugebenden Verzeichnisses entsprechend anzupassen.

Ansonsten kann man den Gastzugriff auf den Server deaktivieren. Dann haben nur noch authentifizierte Benutzer Zugriff.

https://docs.microsoft.com/en-us/windows/security/threat-protection/secu ...

Grüße

lcer
Doskias
Doskias 16.03.2021 um 12:14:10 Uhr
Goto Top
Zitat von @miscmike:

So haben wir das schon immer gemacht. Aber verhindert das auch, dass sich ein der Domäne nicht bekannter Computer mit einem Netzwerkshare verbinden kann, indem er bei der Authentifizierung dann als Name %domain\Username% und das zugehörige Passwort eingibt ?

"Domänenfremde" Geräte haben in einem Domänennetzwerk aus Sicherheitsgründen nichts zu suchen. Dafür gibt es NAC (Network Access Control). Wir nutzen Macmon. Da hast du dann a keine fremden Geräte in deinem Netzwerk die dir was einschleppen und b auch nicht das Problem, dass du Netzwerkfreigaben vor Domänenfremden Zugriff schützen musst.
aqui
aqui 16.03.2021 aktualisiert um 12:25:07 Uhr
Goto Top
MacMon überlistet man dann indem man auf seinem, von zuhause mitgebrachten Aldi Laptop, die Mac Adresse des Domänen Firmenrechners klont. Dann aufs NAS und dort ein rm -rf * und schnell Feierabend machen... 😉
Sicherer wäre eine .1x Domänen Authentisierung am Switch über den NPS im AD.
lcer00
lcer00 16.03.2021 um 12:36:12 Uhr
Goto Top
Hallo,
Zitat von @miscmike:

So haben wir das schon immer gemacht. Aber verhindert das auch, dass sich ein der Domäne nicht bekannter Computer mit einem Netzwerkshare verbinden kann, indem er bei der Authentifizierung dann als Name %domain\Username% und das zugehörige Passwort eingibt ?
Gruß Miscmike
Das kannst Du über die Windows-Firewall mit Verbindungssicherheitsregeln machen: Analog zu Windows RDP mit Verbindungssicherheitsregeln absichern kannst Du das auch für smb einstellen.

Grüße

lcer
Doskias
Doskias 16.03.2021 um 13:04:46 Uhr
Goto Top
Zitat von @aqui:
MacMon überlistet man dann indem man auf seinem, von zuhause mitgebrachten Aldi Laptop, die Mac Adresse des Domänen Firmenrechners klont. Dann aufs NAS und dort ein rm -rf * und schnell Feierabend machen... 😉
Sicherer wäre eine .1x Domänen Authentisierung am Switch über den NPS im AD.

Klar kannst du alles überlisten. Aber darum geht es ja nicht. Es geht darum, dass nicht jeder Handwerker und gast sein möglicherweise Verseuchtes Gerät einfach ins Netz steckt. Wenn die Handwerker bei uns Arbeiten durchführen sitzt nicht immer einer daneben um zu schauen was sie machen. Und es ist schon öfters vorgekommen, dass sie in der Mittagspause einfach ihre Notebook ins Netz gehangen haben. Da hilft es auch nichts, wenn du nur die benötigten Dosen patchst, wenn einfach das Kabel von dem MA der grade im Urlaub ist rausgezogen und in den fremden Laptop gesteckt wird.
Wenn du die Mac-Adresse des Firmenrechners klonst, dann musst du ja schon erstmal Zugang zum Netzwerk haben. Und wir haben keine NAS an dem man Blödsinn machen kann. face-smile Wir haben nur Shares, wo man sich mit Domänen-Accounts authentifizieren muss. Und ob ich jetzt vom Arbeitsplatzrechner aus mit dem Domänenaccount Blödsinn anstelle oder mit meinem privaten Laptop mit geklonter MAC-Adresse mit dem Domänenaccount kommt dann auch aufs gleich drauf hinaus.

Werde mir deine Anmerkung trotzdem mal durch den Kopf gehen lassen.
miscmike
miscmike 16.03.2021 um 16:35:49 Uhr
Goto Top
@Doskias Wir haben immer mal firmenfremde Geräte im Netz, sei es für Baubesprechungen oder Konferenzen, wo die Leute Ihre Geräte ins Netz hängen und z.B. Zugriff auf Drucker haben wollen etc.
Sonst könnte man das mit einem Gastnetz bewerkstelligen.

@icer00 Auch mit domänenfremden Geräten kommt man mit der Kenntis eines Domänenaccounts an die Shares.

Ich meine, schonmal gesehen zu haben, dass man irgendwo einstellen kann "nur Zugriff für Domänencomputer" oder so ähnlich.
Dann wären ja nicht in der Domäne befindliche Computer trotz korrekter Nutzeranmeldung raus.
lcer00
lcer00 16.03.2021 um 16:51:48 Uhr
Goto Top
Hallo,
Zitat von @miscmike:

@icer00 Auch mit domänenfremden Geräten kommt man mit der Kenntis eines Domänenaccounts an die Shares.

Nein! Verbindungssicherheitsregeln verhindern das. Client und Server authentifizieren sich dabei über IPSec. Erst wenn das erfolgreich war, läßt die Firewall die Verbindung durch. Der Client zeigt dabei dem Server ein Zertifikat und am Server kann man zulässige Benutzer oder / und Computer eintragen.
Ich meine, schonmal gesehen zu haben, dass man irgendwo einstellen kann "nur Zugriff für Domänencomputer" oder so ähnlich.
Genau da in der Windows Firewall z.B.

Grüße

lcer
Doskias
Doskias 17.03.2021 um 07:57:15 Uhr
Goto Top
Moin

Zitat von @miscmike:
@Doskias Wir haben immer mal firmenfremde Geräte im Netz, sei es für Baubesprechungen oder Konferenzen, wo die Leute Ihre Geräte ins Netz hängen und z.B. Zugriff auf Drucker haben wollen etc.
Sonst könnte man das mit einem Gastnetz bewerkstelligen.

Ich habe liebe einen zusätzlichen Drucker im Gast-Netz als fremde Geräte in meiner Domäne. Vielleicht wäre ein zusätzlicher Drucker (kosten ja heute auch nicht mehr die Welt, eine Option für dich.

Gruß
Doskias