Supergunman 10 Geschrieben 29. August 2016 Melden Teilen Geschrieben 29. August 2016 (bearbeitet) Tach zusammen, ich habe bei uns im Netzwerk ein Phänomen und bisher keine Lösung gefunden. Ziel: Ein externen Mitarbieter soll über ein VPN auf einen bestimmten Server (Bsp: srvxyz) Zugriff erlangen, sich an diesem Server mit einem AD Benutzer anmelden, dann aber von dort aus auf keinerlei Netzwerkfreigaben zugreifen. Erstelle Konfiguration: 1. Benutzer xyz im AD angelegt. Jede Gruppenmitgliedschaft (auch Domänenbenutzer) entfernt. 2. Gruppe VPNxyz angelegt (global / Sicherheit), einziges Mitglied in der Gruppe ist xyz 3. Firewallregel erstellt, damit Gruppe VPNxyz auf den Server zugreifen kann 4. xyz in die Gruppe der lokalen Administratoren gepackt soweit so gut, jetzt aber mein Problem: Der Benutzer kann sich an dem gewünschten Server anmelden. Wenn er im Win-Explorer irgendeine Freigabe Bsp: \\srvblablabla\ angiebt und auf diesem Server tatsächlich freigaben existieren, kann er auf diese mindestens lesend zugreifen, obwohl weder der Benutzer xyz noch die Gruppe VPNxyz oder die Gruppe "Jeder" an dieser Freigabe eine Berechtigung hat. Nehme ich mir nun irgendeine Datei aus unserem Netzwerk und schaue mir die effektiven Berechtigungen an, dann hat er sogar Schreibrechte an der Datei und ich kann mir nicht erklären, woran das liegt. Normalerweise dürfte der Benutzer nur auf dem ihm zugewiesenen Server etwas ändern dürfen und sonst nicht. Hat jemand eine Idee, warum dem so ist? Meine Suche im Netz brachte bisher nur Mist zutage. bearbeitet 30. August 2016 von Supergunman Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 29. August 2016 Melden Teilen Geschrieben 29. August 2016 Moin, 4. xyz in die Gruppe der lokalen Administratoren gepackt du weißt, dass das die Antwort ist und willst uns nur testen, oder? Gruß, Nils Zitieren Link zu diesem Kommentar
Supergunman 10 Geschrieben 29. August 2016 Autor Melden Teilen Geschrieben 29. August 2016 Nicht ganz... lokaler Admin bedeutet für mich, dass er nur und nur auf diesem einen Server (srvxyz) Administratorberechtigung hat und nicht auf allen anderen Servern und im Netzwerk! Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 29. August 2016 Melden Teilen Geschrieben 29. August 2016 Moin, ach so, OK. Dass der Zugriff auf einen anderen Server erfolgt, hatte ich aus der Beschreibung nicht ersehen. Dann fragen wir doch mal so: Welche Berechtigungen sind denn genau am Ziel erteilt, also etwa in dem Beispiel, das du anführst? Gruß, Nils PS. Warum genau machst du einen VPN-User zum lokalen Admin eines Servers? Und warum entfernst du einen Domänenuser aus der Gruppe "Domänen-Benutzer"? Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 29. August 2016 Melden Teilen Geschrieben 29. August 2016 Aus der Hüfte geschossen: Wurden die Server vielleicht geklont ohne Sysprep mit einer neuen SID laufen zu lassen? Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 30. August 2016 Melden Teilen Geschrieben 30. August 2016 Moin, Aus der Hüfte geschossen: Wurden die Server vielleicht geklont ohne Sysprep mit einer neuen SID laufen zu lassen? ach ja, in der Tat, das ist einer der wenigen Fälle, in denen das tatsächlich sein könnte. Gruß, Nils Zitieren Link zu diesem Kommentar
Supergunman 10 Geschrieben 30. August 2016 Autor Melden Teilen Geschrieben 30. August 2016 Moin, das mit der SID hab ich heute als erstes geprüft, da es sich tatsächlich um VM's aus Vorlagen handelt. Die SID ist definitiv nicht identisch. @Nils: 1. Welches Ziel möchtest Du genau wissen? Das, wo er hin darf, also der srvxyz aus dem Beispiel oder das der Netzwerkfreigabe, auf die er nicht soll. 2. Der VPN-Benutzer soll Adminrechte auf dem Server bekommen, weil er dort für uns Programmierungen machen soll, er soll aber eben KEINEN Zugriff auf irgendwelche anderen Firmendaten im Netzwerk erlangen. Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 30. August 2016 Melden Teilen Geschrieben 30. August 2016 Moin, da wir wissen möchten, warum der User an Daten kommt, wo er nicht ransoll, möchte ich, dass du die Berechtigungen dieser Daten auflistest. Zu 2.: Das ist eine ausgesprochen schlechte Idee. Adminrechte sind Adminrechte, und wenn der Server in der Domäne ist, ist es fast* immer möglich, auf die Domäne überzugreifen - meist sehr schnell mit Domänen-Admin-Rechten. Von den direkten Einflussmöglichkeiten auf dem Server selbst fange ich gar nicht erst an. Gruß, Nils * bevor wir uns an dem "fast" aufhalten: Meiner Erfahrung nach bezeichnet dieses "fast" einen Wert, der von 100 Prozent ohne Spezialwerkzeug nicht zu unterscheiden ist. Zitieren Link zu diesem Kommentar
Supergunman 10 Geschrieben 30. August 2016 Autor Melden Teilen Geschrieben 30. August 2016 Dann will ich das mal versuchen, darzustellen: So sehen die Gruppen und Benutzernamen aus, die an dem Zielverzeichnis, wo er nicht hin soll, angegeben sind: Natürlich sind im geschwärzten Bereich Unternehmensdaten, die ich nicht veröffentlichen darf. Im Bereich Administratoren steht srvblafasel, um beim Beispiel zu bleiben, nicht srvxyz. Zitieren Link zu diesem Kommentar
Beste Lösung NilsK 2.957 Geschrieben 30. August 2016 Beste Lösung Melden Teilen Geschrieben 30. August 2016 (bearbeitet) Moin, die Gruppe "Benutzer" erlaubt den Zugriff. Dort sind regelmäßig die "Authentifizierten Benutzer" Mitglied, was effektiv dasselbe ist wie "Jeder". Du wirst also nicht umhinkommen, ein passendes Berechtigungskonzept aufzubauen und auszurollen, um deine Anforderung umzusetzen. Gruß, Nils PS. den Namen deiner Domäne kennen wir ja schon ... bearbeitet 30. August 2016 von NilsK Zitieren Link zu diesem Kommentar
Supergunman 10 Geschrieben 30. August 2016 Autor Melden Teilen Geschrieben 30. August 2016 (bearbeitet) Die Gruppe "Benutzer" ist nur eine lokale Gruppe, auf dem srvblafasel. Auf dem srvxyz sollte diese Gruppe eine andere SID haben und somit nicht netzwerkübergreifen funktionieren. Verdammte Tat, wo ist mir denn da ein kleiner Schnitzer mit der Domäne passiert? Egal. bearbeitet 30. August 2016 von Supergunman Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 30. August 2016 Melden Teilen Geschrieben 30. August 2016 Moin, dann schau dir doch mal die Mitglieder der Gruppe an ... kleiner Tipp: Es ist ein Domänenrechner. net localgroup Benutzer Gruß, Nils Zitieren Link zu diesem Kommentar
Supergunman 10 Geschrieben 30. August 2016 Autor Melden Teilen Geschrieben 30. August 2016 Dann werd ich mir wohl irgend einen anderen Weg überlegen müssen, wie ich den Benutzer aus meinem Netzwerk raus halte. Danke für die Hilfe. Zitieren Link zu diesem Kommentar
djmaker 95 Geschrieben 31. August 2016 Melden Teilen Geschrieben 31. August 2016 Du kannst Verweigerungen setzen, die haben Vorrang. Nicht schön, aber schneller als das (sinnvolle) Berechtigungskonzept. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.