rakli 13 Geschrieben 4. Januar 2019 Melden Geschrieben 4. Januar 2019 Hi, wir haben ein paar externe Mitarbeiter, die im AD als Domainuser eingerichtet sind. Sie sollen auf einen Server nicht zugreifen dürfen. Wie kann kann man das generell verhindern, ausser über Rechte in Dateisystem. Gibt es da eine globale Einstellung? Gruss Rakli Server 2008 Zitieren
Dukel 461 Geschrieben 4. Januar 2019 Melden Geschrieben 4. Januar 2019 Was ist das für ein Server? Wie sollen die Nutzer nicht zugreifen dürfen? RDP, SMB, ??? Zitieren
rakli 13 Geschrieben 4. Januar 2019 Autor Melden Geschrieben 4. Januar 2019 Es ist ein Server 2008, der als File Server arbeitet. Die externen Mitarbeiter sollen auf die Dateien keinen Zugriff haben. Zitieren
testperson 1.761 Geschrieben 4. Januar 2019 Melden Geschrieben 4. Januar 2019 Hi, dafür sind doch NTFS (und Freigabeberechtigungen) da. Oder sind die Freigaben / NTFS Rechte auf Jeder, Authenticated Users und / oder Domain Users? Gruß Jan Zitieren
Jim di Griz 13 Geschrieben 4. Januar 2019 Melden Geschrieben 4. Januar 2019 (bearbeitet) Moin, vielleicht passt das ja: https://www.windowspro.de/wolfgang-sommergut/anmelden-bestimmten-pcs-fuer-benutzer-gruppen-verweigern habe damit vor 10+ Jahren mal rumgemacht und meine, das es da mal beide Versionen gab, eine Liste für Computer erlauben und eine Liste für Computer verbieten, evtl. an anderer Stelle (VPN etc.). Ob das auch für Freigaben wirkt kann ich leider auch nicht mehr sicher sagen, sollte wohl, aber man weiss ja nie ob man genau so denkt wie die Microsoftler. bearbeitet 4. Januar 2019 von Jim di Griz Ergänzung Zitieren
rakli 13 Geschrieben 5. Januar 2019 Autor Melden Geschrieben 5. Januar 2019 vor 17 Stunden schrieb testperson: Hi, dafür sind doch NTFS (und Freigabeberechtigungen) da. Oder sind die Freigaben / NTFS Rechte auf Jeder, Authenticated Users und / oder Domain Users? Gruß Jan Standardmässig haben die Domainuser Rechte auf neu erstellte Verzeichnisse. Man müsste also jedesmal den "Externen" user das recht entziehen. Wer denkt aber daran in zwei Jahren vor 13 Stunden schrieb Jim di Griz: Moin, vielleicht passt das ja: https://www.windowspro.de/wolfgang-sommergut/anmelden-bestimmten-pcs-fuer-benutzer-gruppen-verweigern habe damit vor 10+ Jahren mal rumgemacht und meine, das es da mal beide Versionen gab, eine Liste für Computer erlauben und eine Liste für Computer verbieten, evtl. an anderer Stelle (VPN etc.). Ob das auch für Freigaben wirkt kann ich leider auch nicht mehr sicher sagen, sollte wohl, aber man weiss ja nie ob man genau so denkt wie die Microsoftler. Die externen User werden scih auf verschidene Computer einloggen :-( Zitieren
jreckzigel 10 Geschrieben 5. Januar 2019 Melden Geschrieben 5. Januar 2019 Berechtigungen: einmal Verweigern ist stärker als Zulassen Gruppe: externe-User erstellen externe User in Gruppe dieser Gruppe den Zugriff via NTFS und/oder Share verweigern es ist nurmehr diese Gruppe zu administrieren, solange sich am Berechtigungsschema nichts ändert. Zitieren
Jim di Griz 13 Geschrieben 5. Januar 2019 Melden Geschrieben 5. Januar 2019 vor 10 Minuten schrieb rakli: Die externen User werden scih auf verschidene Computer einloggen :-( Moin, es koennen mehrere Computer benannt werden und es sollte einer gesperrt werden. Das Sperren des lokalen Login geht über GPOs. Das ist hier wie mit Kanonen auf Spatzen zu schiessen. Die erste angebotene Lösung mit NTFS-Gruppenberechtigungen ist wohl die bessere Wahl. Wobei verweigern so eine Sache ist, einfach die externen nicht berechtigen und gut ists. Und die Freigabeberechtigungen nicht auf everyone/all lassen, das ist eine ausnutzbare Lücke. Zitieren
testperson 1.761 Geschrieben 5. Januar 2019 Melden Geschrieben 5. Januar 2019 vor 25 Minuten schrieb rakli: Standardmässig haben die Domainuser Rechte auf neu erstellte Verzeichnisse. Man müsste also jedesmal den "Externen" user das recht entziehen. Wer denkt aber daran in zwei Jahren Man müsste einfach nur von Anfang an passend berechtigt haben und die "Benutzer" bzw. "Domain Users" aus den NTFS Rechten entfernt haben. ;) Zitieren
NorbertFe 2.175 Geschrieben 5. Januar 2019 Melden Geschrieben 5. Januar 2019 vor 3 Stunden schrieb jreckzigel: Berechtigungen: einmal Verweigern ist stärker als Zulassen Kommt drauf an. ;) explizites allow ist stärker als vererbtes deny. Zitieren
rakli 13 Geschrieben 5. Januar 2019 Autor Melden Geschrieben 5. Januar 2019 Die ideale Lösung wäre, wenn der Server sagen würde "...Du kummst hier nit rein..." Berechtigungen erfordern Wissen und neigen dazu komplex zu werden. Zitieren
daabm 1.391 Geschrieben 5. Januar 2019 Melden Geschrieben 5. Januar 2019 Sicherheitseinstellungen, "Deny access to this computer from the network" - oder was war jetzt die Frage? Zitieren
NorbertFe 2.175 Geschrieben 5. Januar 2019 Melden Geschrieben 5. Januar 2019 vor 2 Stunden schrieb rakli: Berechtigungen erfordern Wissen und neigen dazu komplex zu werden. Und deine Lösung ist keine Berechtigungen sondern zugriffsverweigerung? Oder wie soll das verstanden werden? Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.