Jump to content

Domänen-Benutzer ohne Rechte?


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo Leute,

 

Ab Januar 2009 verbinden wir unsere 13 Filialen mit dem Hauptsitz, nebst einer Internetanwendung, muss jede Filiale auf Ihr eigenes Verzeichnis auf unserem Datenserver zugreifen können (nur Lese-Berechtigung).

 

Ich frage mich wie ich dies am einfachsten und sichersten einrichten könnte. Eine Variante wäre einen Domänen-Benutzer einzurichten und auf ein bestimmtes Verzeichnis die Berechtigungen zu setzen und alle anderen Freigaben/Drucker zu verweigern. Ich möchte aber am liebsten dass Sie gar keine Freigaben nebst der eigenen einsehen können. Noch lieber wäre mir gar keinen Domänen-Benutzer für diese einzurichten, bsp. FTP-Zugang auf den Datenserver mit entsprechenden FTP-Benutzerberechtigung.

 

Hat jemand eine bessere Idee wie man das am einfachsten umsetzen könnte?

 

Gruss SBK

Link zu diesem Kommentar

Leider werden die Filialen nicht in das ADS integriert, jede Filiale ist unabhängig/selbständig und möchte das auch nicht. Dennoch erfolgt für bestimmte Daten der Zugriff zentral.

 

Ich denke auch das der FTP-Zugriff (ftp://server/verzeichnis) nicht sehr Benutzerfreundlich ist, aber was besseres kommt mir im Moment nicht in den Sinn....

 

SBK

Link zu diesem Kommentar
Leider werden die Filialen nicht in das ADS integriert, jede Filiale ist unabhängig/selbständig und möchte das auch nicht. Dennoch erfolgt für bestimmte Daten der Zugriff zentral. ....
Das Konzept ist für mich nicht nachvollziehbar.

 

Ich habe die Clients mehrerer Aussenstellen (keine Standorte im Sinne von Sites) unserer Niederlassung in eine Domäne integriert; die User waren glücklich, endlich ohne Umstände auf die Ressourcen zugreifen zu können, die Verantwortung der lokalen Datensicherung los zu sein. Beim Wechsel eines User von Rechner zu Rechner, Aussenstelle, Besuch in der Niederlassung, der Zugriff auf Verzeichnisse, Daten und die Gültigkeit des Passwortes ist gewährleistet.

 

Noch rechtzeitig war der Datenbestand eines Rechners des Nachts auf die Fileserver tranferiert worden, als am Morgen die Besatzung kam, war der eine Rechner weg und auch die Daten darauf, der Rechner war einfach verschwunden, keine Einbruchsspuren. Die Kollegin setzte sich an die alte Möhre am Katzentisch für die Praktikantin, griff auf die Daten der Niederlassung zu und konnte arbeiten. Sie hatte Outlook zur Verfügung mit ihrem und den anderen Kalendern.

 

Das Unabhängig sein wollen von einer übergeordneten Instanz, die eigene Spielwiese, das kenne ich natürlich. Wir wehren uns schon lange erfolgreich gegen eine Übernahme. :)

Link zu diesem Kommentar

Ich verstehe dass das Konzept nicht nachvollziehbar ist, aber die IT muss sich leider der Firma anpassen und nicht umgekehrt. Es geht um ein Verband mit unterschiedlichen Standorten (im Sinne von Filialen) und jeder Standort will unabhängig von der IT am Hauptstandort bleiben. Dabei geht es mehr um einen politischen als um einen technischen Entscheid. Von mir aus gesehen wäre es tausendmal einfacher und effizienter alles vom Hauptstandort aus zu managen, aber leider geht das nicht. Jeder Standort ist rechtlich auch unabähngig.

 

Einzige Ausnahme ist eine zentrale Internetanwendung und gewisse Dateien die Sie voraussichtlich über FTP im Lesezugriff holen können. Mir ging es darum den Zugriff auf die Dateien, so einfach wie möglich und sicher zu gestalten.

 

Danke dennoch für Deine Hilfe.

 

SBK

Link zu diesem Kommentar

Für mich würde sich hier primär mal die Frage stellen, wie die Fillialen untereinander "verbunden" werden sollen...VPN oder doch einfach nur ne Portfreigabe in der Firewall des Hauptsitzes :O

 

Wenn VPN, dann wüsste ich nicht was gegen eine Freigabe spricht. Wenn du dann die Netzwerke nicht zusammen in ein AD stecken willst musst die halt leider überall einen Benutzer einrichten der die enstprechenden Rechte hat - wobei das ziemlich nervig werden kann ;) So alle "Netzlaufwerk unter anderem Benutzer verbinden" - schauder...

 

NFS evt. noch - naja - sag ich mal nix weiter dazu...

 

Ohne VPN bleiben ja dann wohl nur die halbwegs Internet sicheren Sachen: FTP oder die z.T. schon genannten...

 

Grüße

Link zu diesem Kommentar

Wie regelst du das denn, dass die Leute nicht einfach mal \\Server in die Adressleiste eingeben? Per Firewall alle IPs ausschließen, die nicht direkt in eurem lokalen Adressbereich liegen?

Ein schlüssiges Rechtekonzept auf Basis von Freigaben wäre da meiner Meinung nach sinnvoller - naja - ihr werdet schon eure Gründe haben die Drucker und Freigaben "verstecken" zu wollen - kann ich die wissen, ich bin schon die ganze Zeit am grübeln wieso man das machen mag ^^ ;)

 

Grüße Johannes

Link zu diesem Kommentar

Ich werde es nicht regeln, wenn Sie \\Server eingeben, werden Sie auch alle Freigaben sehen. Das macht aber niemand, wenn in der Anleitung steht das man über ftp://server auf die gewünschten Dateien kommt.

 

Es geht nicht darum etwas zu verstecken, sondern darum dass Sie nur das zu gesicht bekommen, dass Sie zu verwenden haben. Schon mal etwas von verwirrten Usern gehört, die anrufen weil ein Zeichen nicht am gleichen Ort steht :rolleyes:.

 

Abgesehen davon mag ich mich schwach daran erinnern, dass es sogar ein Tool von Microsoft gibt (nur Server 2003 R2?), mit denen man Freigaben auf denen der Benutzer keinen Zugriff hat, ausblenden kann (damit sind nicht administrative Freigaben gemeint). Wie auch immer, es ging mir darum den Zugriff so einfach und sicher wie nur irgendwie möglich einzurichten.

 

SBK

Link zu diesem Kommentar

achso...ok...

 

Ich wusste nicht dass du die Mitarbeiter überhaupt alleine den Pfad eingeben lässt. Dachte, dass du das per Script mit net use erledigen lässt und du nur ausschließen möchtest dass die "Profis" nichts von den Freigaben sehen ^^

 

Also bei sowas würde ich grundsätzlich ein kleines Scriptchen empfehlen dass dann ein Netzlaufwerk o.ä. bereitstellt...Wenns net per Logon geht dann halt als Verknüpfung auf dem Desktop oder sonst wie ;)

 

Dann kannst du sagen die Huaptsitzdaten befinden sich auf Z: wenns das net gibt mach einen Doppelklick auf "Verbindung Haupsitz" und schau nochmal ^^

 

Grüße Johannes

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...