10
Zugriff auf Server(Shares) nur für Domänenmitglieder
Hallo zusammen,
ich komme grad nicht weiter..
Ich möchte sicherstellen, dass in unserer Domäne nur Personen Zugriff auf netzwerkshares haben, die auch Domainuser sind.
Gleichzeitig soll das auch für die Computer gelten - also Zugriff nur für Geräte, die in der AD bekannt sind.
Es soll also auch nicht möglich sein, sich mit einem x-beliebigen Computer (der kein Domänencomputer ist) und der Kenntnis der Domain und des Benutzernamens anzumelden.
Ich meine mich zu erinnern, dass es mal so eine recht einfache Einstellung gab, weiß nur nicht mehr wo.
Grobe Konfiguration :
Windows Server 2019, AD
Daten auf Synology NAS (Rechte nur für Domainuser), gemappt als Laufwerk(e) via GPO
Daten auf lokalem Serverdatenträger, Share gemappt als Laufwerk(e) via GPO
Hoffe, Ihr könnt mir helfen.
Danke schon mal
Miscmike
ich komme grad nicht weiter..
Ich möchte sicherstellen, dass in unserer Domäne nur Personen Zugriff auf netzwerkshares haben, die auch Domainuser sind.
Gleichzeitig soll das auch für die Computer gelten - also Zugriff nur für Geräte, die in der AD bekannt sind.
Es soll also auch nicht möglich sein, sich mit einem x-beliebigen Computer (der kein Domänencomputer ist) und der Kenntnis der Domain und des Benutzernamens anzumelden.
Ich meine mich zu erinnern, dass es mal so eine recht einfache Einstellung gab, weiß nur nicht mehr wo.
Grobe Konfiguration :
Windows Server 2019, AD
Daten auf Synology NAS (Rechte nur für Domainuser), gemappt als Laufwerk(e) via GPO
Daten auf lokalem Serverdatenträger, Share gemappt als Laufwerk(e) via GPO
Hoffe, Ihr könnt mir helfen.
Danke schon mal
Miscmike
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-ID: 663257
Url: https://administrator.de/contentid/663257
Printed on: August 31, 2024 at 22:08 o'clock
10 Comments
Latest comment
Hallo Miscmike,
du erstellst im AD die entsprechenden Zugriffsgruppe zu den Shares, auf denen du Rechte vergeben willst und fügst die entsprechenden Benutzer in diese Gruppen ein.
Dann joinst du das NAS in die Domäne und vergibst auf den Shares die angelegten gruppen als Zugriffsgruppen.
Fertig!
VG
Tope
du erstellst im AD die entsprechenden Zugriffsgruppe zu den Shares, auf denen du Rechte vergeben willst und fügst die entsprechenden Benutzer in diese Gruppen ein.
Dann joinst du das NAS in die Domäne und vergibst auf den Shares die angelegten gruppen als Zugriffsgruppen.
Fertig!
VG
Tope
So haben wir das schon immer gemacht. Aber verhindert das auch, dass sich ein der Domäne nicht bekannter Computer mit einem Netzwerkshare verbinden kann, indem er bei der Authentifizierung dann als Name %domain\Username% und das zugehörige Passwort eingibt ?
Gruß Miscmike
Gruß Miscmike
Hallo,
für Freigaben auf einem Windows-Domänenmitglied genügt es im Grunde, die NTFS-Berechtigungen des freizugebenden Verzeichnisses entsprechend anzupassen.
Ansonsten kann man den Gastzugriff auf den Server deaktivieren. Dann haben nur noch authentifizierte Benutzer Zugriff.
https://docs.microsoft.com/en-us/windows/security/threat-protection/secu ...
Grüße
lcer
für Freigaben auf einem Windows-Domänenmitglied genügt es im Grunde, die NTFS-Berechtigungen des freizugebenden Verzeichnisses entsprechend anzupassen.
Ansonsten kann man den Gastzugriff auf den Server deaktivieren. Dann haben nur noch authentifizierte Benutzer Zugriff.
https://docs.microsoft.com/en-us/windows/security/threat-protection/secu ...
Grüße
lcer
Zitat von @miscmike:
So haben wir das schon immer gemacht. Aber verhindert das auch, dass sich ein der Domäne nicht bekannter Computer mit einem Netzwerkshare verbinden kann, indem er bei der Authentifizierung dann als Name %domain\Username% und das zugehörige Passwort eingibt ?
So haben wir das schon immer gemacht. Aber verhindert das auch, dass sich ein der Domäne nicht bekannter Computer mit einem Netzwerkshare verbinden kann, indem er bei der Authentifizierung dann als Name %domain\Username% und das zugehörige Passwort eingibt ?
"Domänenfremde" Geräte haben in einem Domänennetzwerk aus Sicherheitsgründen nichts zu suchen. Dafür gibt es NAC (Network Access Control). Wir nutzen Macmon. Da hast du dann a keine fremden Geräte in deinem Netzwerk die dir was einschleppen und b auch nicht das Problem, dass du Netzwerkfreigaben vor Domänenfremden Zugriff schützen musst.
MacMon überlistet man dann indem man auf seinem, von zuhause mitgebrachten Aldi Laptop, die Mac Adresse des Domänen Firmenrechners klont. Dann aufs NAS und dort ein rm -rf * und schnell Feierabend machen... 😉
Sicherer wäre eine .1x Domänen Authentisierung am Switch über den NPS im AD.
Sicherer wäre eine .1x Domänen Authentisierung am Switch über den NPS im AD.
Hallo,
Grüße
lcer
Zitat von @miscmike:
So haben wir das schon immer gemacht. Aber verhindert das auch, dass sich ein der Domäne nicht bekannter Computer mit einem Netzwerkshare verbinden kann, indem er bei der Authentifizierung dann als Name %domain\Username% und das zugehörige Passwort eingibt ?
Gruß Miscmike
Das kannst Du über die Windows-Firewall mit Verbindungssicherheitsregeln machen: Analog zu Windows RDP mit Verbindungssicherheitsregeln absichern kannst Du das auch für smb einstellen.So haben wir das schon immer gemacht. Aber verhindert das auch, dass sich ein der Domäne nicht bekannter Computer mit einem Netzwerkshare verbinden kann, indem er bei der Authentifizierung dann als Name %domain\Username% und das zugehörige Passwort eingibt ?
Gruß Miscmike
Grüße
lcer
Zitat von @aqui:
MacMon überlistet man dann indem man auf seinem, von zuhause mitgebrachten Aldi Laptop, die Mac Adresse des Domänen Firmenrechners klont. Dann aufs NAS und dort ein rm -rf * und schnell Feierabend machen... 😉
Sicherer wäre eine .1x Domänen Authentisierung am Switch über den NPS im AD.
MacMon überlistet man dann indem man auf seinem, von zuhause mitgebrachten Aldi Laptop, die Mac Adresse des Domänen Firmenrechners klont. Dann aufs NAS und dort ein rm -rf * und schnell Feierabend machen... 😉
Sicherer wäre eine .1x Domänen Authentisierung am Switch über den NPS im AD.
Klar kannst du alles überlisten. Aber darum geht es ja nicht. Es geht darum, dass nicht jeder Handwerker und gast sein möglicherweise Verseuchtes Gerät einfach ins Netz steckt. Wenn die Handwerker bei uns Arbeiten durchführen sitzt nicht immer einer daneben um zu schauen was sie machen. Und es ist schon öfters vorgekommen, dass sie in der Mittagspause einfach ihre Notebook ins Netz gehangen haben. Da hilft es auch nichts, wenn du nur die benötigten Dosen patchst, wenn einfach das Kabel von dem MA der grade im Urlaub ist rausgezogen und in den fremden Laptop gesteckt wird.
Wenn du die Mac-Adresse des Firmenrechners klonst, dann musst du ja schon erstmal Zugang zum Netzwerk haben. Und wir haben keine NAS an dem man Blödsinn machen kann.
Wir haben nur Shares, wo man sich mit Domänen-Accounts authentifizieren muss. Und ob ich jetzt vom Arbeitsplatzrechner aus mit dem Domänenaccount Blödsinn anstelle oder mit meinem privaten Laptop mit geklonter MAC-Adresse mit dem Domänenaccount kommt dann auch aufs gleich drauf hinaus.Werde mir deine Anmerkung trotzdem mal durch den Kopf gehen lassen.
@Doskias Wir haben immer mal firmenfremde Geräte im Netz, sei es für Baubesprechungen oder Konferenzen, wo die Leute Ihre Geräte ins Netz hängen und z.B. Zugriff auf Drucker haben wollen etc.
Sonst könnte man das mit einem Gastnetz bewerkstelligen.
@icer00 Auch mit domänenfremden Geräten kommt man mit der Kenntis eines Domänenaccounts an die Shares.
Ich meine, schonmal gesehen zu haben, dass man irgendwo einstellen kann "nur Zugriff für Domänencomputer" oder so ähnlich.
Dann wären ja nicht in der Domäne befindliche Computer trotz korrekter Nutzeranmeldung raus.
Sonst könnte man das mit einem Gastnetz bewerkstelligen.
@icer00 Auch mit domänenfremden Geräten kommt man mit der Kenntis eines Domänenaccounts an die Shares.
Ich meine, schonmal gesehen zu haben, dass man irgendwo einstellen kann "nur Zugriff für Domänencomputer" oder so ähnlich.
Dann wären ja nicht in der Domäne befindliche Computer trotz korrekter Nutzeranmeldung raus.
Hallo,
Nein! Verbindungssicherheitsregeln verhindern das. Client und Server authentifizieren sich dabei über IPSec. Erst wenn das erfolgreich war, läßt die Firewall die Verbindung durch. Der Client zeigt dabei dem Server ein Zertifikat und am Server kann man zulässige Benutzer oder / und Computer eintragen.
Grüße
lcer
Zitat von @miscmike:
@icer00 Auch mit domänenfremden Geräten kommt man mit der Kenntis eines Domänenaccounts an die Shares.
@icer00 Auch mit domänenfremden Geräten kommt man mit der Kenntis eines Domänenaccounts an die Shares.
Nein! Verbindungssicherheitsregeln verhindern das. Client und Server authentifizieren sich dabei über IPSec. Erst wenn das erfolgreich war, läßt die Firewall die Verbindung durch. Der Client zeigt dabei dem Server ein Zertifikat und am Server kann man zulässige Benutzer oder / und Computer eintragen.
Ich meine, schonmal gesehen zu haben, dass man irgendwo einstellen kann "nur Zugriff für Domänencomputer" oder so ähnlich.
Genau da in der Windows Firewall z.B.Grüße
lcer
Moin
Ich habe liebe einen zusätzlichen Drucker im Gast-Netz als fremde Geräte in meiner Domäne. Vielleicht wäre ein zusätzlicher Drucker (kosten ja heute auch nicht mehr die Welt, eine Option für dich.
Gruß
Doskias
Zitat von @miscmike:
@Doskias Wir haben immer mal firmenfremde Geräte im Netz, sei es für Baubesprechungen oder Konferenzen, wo die Leute Ihre Geräte ins Netz hängen und z.B. Zugriff auf Drucker haben wollen etc.
Sonst könnte man das mit einem Gastnetz bewerkstelligen.
@Doskias Wir haben immer mal firmenfremde Geräte im Netz, sei es für Baubesprechungen oder Konferenzen, wo die Leute Ihre Geräte ins Netz hängen und z.B. Zugriff auf Drucker haben wollen etc.
Sonst könnte man das mit einem Gastnetz bewerkstelligen.
Ich habe liebe einen zusätzlichen Drucker im Gast-Netz als fremde Geräte in meiner Domäne. Vielleicht wäre ein zusätzlicher Drucker (kosten ja heute auch nicht mehr die Welt, eine Option für dich.
Gruß
Doskias
