Mag 11 Geschrieben 4. November 2016 Melden Teilen Geschrieben 4. November 2016 Hallo Leute, ich habe derzeit keine Idee mehr und hoffe auf Eure Unterstützung. Es gab hier schon einmal die Frage, aber leider ohne Lösung. Ich (verantwortlich für die AD) habe die Anfrage erhalten, dass bei bestimmten PCs keine Netzlaufwerke verbunden werden sollen. Ich finde allerdings keine Lösung für den Basisordner (der soll grundsätzlich vorhanden bleiben). Netzlaufwerke generell (mittels GPO) schalte ich über das Loopback Verfahren aus. Das funktioniert. Da der Basisordner auch ein Domänenbasierter DFS Pfad ist, kann ich auch nicht einfach mit einem Host-Eintrag "fummeln" Hintergrund: Es gibt hier einen "gesicherten Bereich", der kein SMB in Richtung Fileserver machen darf (auf Netzwerkseite eingegrenzt). Und das Problem ist nun, dass die Anmeldung ewig dauert. Ich hoffe ich habe an alle Randbedingungen die zum Überlegen notwendig sind, gedacht habe. Danke schonmal! Grüße Mag Zitieren Link zu diesem Kommentar
magheinz 110 Geschrieben 4. November 2016 Melden Teilen Geschrieben 4. November 2016 Gesicherten Bereich in eigenes vlan und dann ACLs dazwischen. Wenn die nicht dürfen genügt es ja auch nicht das automatische mappen zu unterbinden. Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 4. November 2016 Melden Teilen Geschrieben 4. November 2016 (bearbeitet) Es gibt hier einen "gesicherten Bereich", der kein SMB in Richtung Fileserver machen darf Moin, Du weisst, kein Netylaufwerk, das ist keine wirkliche Sicherheitsmassnahme, jeman kønnte sich selbst ein netylaufwerk bauen, åber den UNC-Pfad mit dem Explorer zugreifen? Netylaufwerk ist Benutyerkontext, es wære also dem Benutzer die Berechtigung yum Zyugriff auf die Freigabe, dem Ordner zu verweigern, ihm keine Berechtigung darauf erteilen. bearbeitet 4. November 2016 von lefg Zitieren Link zu diesem Kommentar
Mag 11 Geschrieben 4. November 2016 Autor Melden Teilen Geschrieben 4. November 2016 Ich habe mich vielleicht mißverständlich ausgedrückt. Der gesicherte Bereich ist vlan technisch abgeschottet und SMB ist verboten! Funktioniert also nicht. Und daher kommen dann die langen Wartezeiten, wenn die normalen Netz- und Homelaufwerke verbunden werden bzw. wenn der Rechner versucht, das Laufwerk zu verbinden. Es handelt es sich dabei um die normalen AD User, die an allen Rechner ihr Basisordner haben sollen, nicht aber an diesen speziellen Rechner. Zitieren Link zu diesem Kommentar
matze-it 10 Geschrieben 4. November 2016 Melden Teilen Geschrieben 4. November 2016 Dein Problem ist also, dass die Anmeldung am System verzögert ist ? Zitieren Link zu diesem Kommentar
Beste Lösung daabm 1.366 Geschrieben 4. November 2016 Beste Lösung Melden Teilen Geschrieben 4. November 2016 Probier mal lokal auf dem PC ne Firewall-Regel "Outbound block 445, remote-IP Fileserver". Das müßte Windows recht schnell schnallen, daß es da nicht hinkommt... Alternativ werden die SMB-Pakete vermutlich an einer HW-Firewall gedroppt. Ich bin da kein Spezialist, aber wenn diese FW nicht droppen würde, sondern Destination Unreachable oder so was zurückschickt, dann geht's auch schneller. Zitieren Link zu diesem Kommentar
magheinz 110 Geschrieben 4. November 2016 Melden Teilen Geschrieben 4. November 2016 Klare, eindeutige Problembeschreibungen sind schon was feines... Mal um die Ecke gedacht. Müsste man nicht eine Gruppe von Computern bauen können welche die LaufwerksGPO nicht lesen darf? Die Computer müssen doch seit kurzem auch die UserGPOs lesen können... Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 5. November 2016 Melden Teilen Geschrieben 5. November 2016 Nutzt nix, er redet ja vom Homelaufwerk aus dem AD-Account, da sind GPOs außen vor 1 Zitieren Link zu diesem Kommentar
Mag 11 Geschrieben 7. November 2016 Autor Melden Teilen Geschrieben 7. November 2016 (bearbeitet) Guten Morgen, danke für die Tipps. Ich werde sie heute noch Testen und rückmeldung geben. Die Idee mit der lokalen FW klingt vielversprechend. Ich war bemüht eine komplette, aber nicht zu lange Fehlerbeschreibung abzuliefern. Versteht sich ja von selbst ... Grüße Mag UPDATE: In der lokalen Firewall die beiden DFS Server gesperrt funktioniert tadellos!! Danke. bearbeitet 7. November 2016 von Mag Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.