Computeranmeldung nur mit Zertifikat

[MrHacke 10]

gibt es eine Möglichkeit das man innerhalb einer Domäne sich nur an CLients Anmelden kann die auch in der Domäne sind?

 

ALso ein Computerzertifikat was alle Clients in der Domäne erhalten und man sich nur mit diesem Zertifikat an dem PC anmelden kann.

[Dukel 451]

Du kannst verbieten (GPO), dass sich jemand Lokal an einem Rechner anmeldet.

 

Was ist das Ziel des ganzen? So hat man auch gerne einen Lokalen Admin ausgesperrt, der ein System reparieren möchte, wenn es mal Probleme gibt und der Rechner sich nicht an der Domäne anmelden kann.

[wiri 10]

gibt es eine Möglichkeit das man innerhalb einer Domäne sich nur an CLients Anmelden kann die auch in der Domäne sind?

 

ALso ein Computerzertifikat was alle Clients in der Domäne erhalten und man sich nur mit diesem Zertifikat an dem PC anmelden kann.

 

Hi

wenn du einen PC hast, dann musst du ja den User und die Domäne und das daszugehörige Kennwort angeben, denn der PC ist ja schon als Maschinenkonto in der Domäne beheimatet und damit AD-integriert, genauso wie der User. Wenn eins fehlt, erfolgt auch keine Anmeldung, somit auch kein Überwinden der Anmeldemaske.

 

Wenn der Computeraccount in einer anderen Domäne beheimatet ist, als die wo du dich anmelden möchtest, geht das ja auch nicht.

[Sunny61 806]

gibt es eine Möglichkeit das man innerhalb einer Domäne sich nur an CLients Anmelden kann die auch in der Domäne sind?

 

Du kannst dich jederzeit an einem Client anmelden, der nicht in der Domain ist. Natürlich darf das verwendete Benutzerkonto nicht aus der Domain sein. Ich bringe meinen privaten Laptop mit, schliesse ein LAN-Kabel an, melde mich mit meinem lokalen Account an und kann arbeiten. Willst Du das verhindern?

 

ALso ein Computerzertifikat was alle Clients in der Domäne erhalten und man sich nur mit diesem Zertifikat an dem PC anmelden kann.

 

Wie genau lautet denn die Anforderung? Kommen Leute mit ihren privaten Laptop in die Firma?

[MrHacke 10]

Also,

 

mein Ziel ich hab ein Client der über Radius auf die Mac geprüft wird. Da ich in NPS(RADIUS Microsoft) 0 durchsteige will ich nicht noch auf ein zertifikat per RADIUS prüfen... weis auch net ob das geht...

 

 

Jetzt hab ich ja schon mal die sicherheit das nur die clienst mit richtiger mac eine IP bekommen.

 

Jetzt kennt aber eine ne MAc und spooft die dann würde er ja auch eine ip bekommen.

 

somit will ich nur computern mit einem Zertifikta, das sie bei der Anmeldung an die Domäne bekommen, die Anmeldung ermöglichen.

 

Andere computer die dieses Zertifikat nicht bekommen können sich eben nicht anmelden.

 

Ich weis halt nicht ob das geht weil das ja ein fremder Pc und ob man dann den dann einfach manipulieren kann..

 

 

Oder gibt es sonst noch eine Möglichkeit das man über Zertifikate (die cs ist installiert) so ähnlich etwas verhindern könnte?

[MrHacke 10]

Gibt es da keine GPO die das prüft oder halt egal welcher pc direkt auf den Client pusht

 

"Anmeldung nur mit zertifikat"

 

Und auch egal welches computerkonto, der Pc läuft ja die Dienste auch dann kann man das zertifikat ja jeder zeit wieder auf den client senden.

[Dukel 451]

Was hast du denn vor?

Die Anmeldung an deine Domäne kommt doch sowieso nur für Rechner, die in der Domäne sind.

 

Fremde Rechner bekommen nur eine Lokale Anmeldung.

[MrHacke 10]

JA genau aber sie erhalten mit der rihtigen MAc eine IP da wir kein DHCP mit MAc filter benutzen es gibt einfach nur einen dynmaischen bereich des weitern selbst wenn wir en mac filter würde der rechner die ip bekommen da eh ja Spooft.

 

es soll einfach verhintder werden das sich ein rechner der nicht in der domäne ist nicht arbeiten kann sobald er mit dem Kabel inner buchse steckt.

 

 

ich weis es gibt auch portsecurity. Ich möchte aber, wenn es sie gibt, eine portbasierende Lösung.

[Dukel 451]

Wo ist das Problem, dass ein Rechner eine IP bekommt?

[NorbertFe 2.027]

Abgesehen davon, das was dann als Buzzword kommt ist NAC (Network Access Controll) oder Port Security. Das hat nur bedingt mit Windows Server zu tun, sondern ist eher Sache des Switchherstellers in Zusammenarbeit mit Windows. ;)

 

Bye

Norbert

 

PS: Das ist aber auch nichts, was man mal eben anschaltet und dann nach Hause geht.

[MrHacke 10]

Also ich ich hab hier ein Cisco 3750 mir den für die RADIUS NAP/NPS konfiguriert habe.

Das spielt aber ja auch alles keine Rolle.

 

Ich möchte wissen ob es eine auf WIndows basierende Möglichkeit gibt oder überhaupt eine Möglichkeit gibt eine Anmeldung über Zertifikate zu verhindern.

 

 

 

 

Der PC hat ja auf jedenfall die Ip deshalb möchte ich das er an der Kiste nicht arbeiten kann.

 

Und net Ip bringt so einiges. Man is im Netz kommt auf Freigaben, Konf zum Gateway....

[NorbertFe 2.027]

Der PC hätte aber keine IP, wenn er am Port bereits abgelehnt würde.

 

Bye

Norbert

[Dukel 451]

Wenn man nur mit einer IP auf Freigaben kommt ist etwas anderes falsch.

[MrHacke 10]

Oder weis jemand wie ich den NPs konfigurieren muss damit er auf Zertifikate prüft?

[zip 10]

wie soll das funktionieren? Dann melde ich mich halt erst an und steck anschließend das Kabel an. Du wirst da schon auf netzwerkebene den Zugriff unterbinden müssen, das schlagwort dazu wurde ja schon genannt.