Aus der Hauptdomäne WMI-Berechtigung in einer Subdomäne erteilen?

[kaineanung 14]

Hallo Leute,

 

ich habe da mal wieder ein Problemchen bei dem ihr mir eventuell behilflich sein könnt:

 

Wir haben hier eine Hauptdomäne (ganze Firma) und eine Subdomäne davon (Konstruktionsabteilung).

Jetzt haben wir eine neue Firewall welche auch LDAP kann und wir das alles per AD-Gruppen steuern wollen.

Da die Firewall jedoch nach wie vor auf IP-Basis seine Regeln ausführt, muss es ein Mapping geben mit aktuelle IP = angemeldeter User.

Das geschieht indem die FW auf dem DC die Sicherheitslogs ausliest. Da dies bei uns momentan sehr unzuverlässig läuft (runas-Scripte verfälschen diese LOG-Dateien da ein RunAs-Script in dieser LOG-Datei plötzlich jemand anderes, z.B. der Administrator, ist und es gibt noch andere Verfälschungsvorgänge -> RunAs wird bei uns abgeschafft, die anderen nicht).

 

Somit müssen wir eine andere Lösung für das Problem finden. Eine davon wäre dieses User-Mapping per WMI erledigen zu lassen (die Hoffnung ist das dies exakt funktioniert).

Problem ist aber nun die Berechtigung dieser Schnittstelle an den einzelnen Clients. Ich kann an der FW einen User mit entsprechender Berechtigung (Domänen-Admin) hinterlegen.

Daher kann dann entweder nur aus der Hauptdomain oder der Subdomain sein.

 

Das ist ein Problem weil dann nur entweder die eine Domäne oder die Andere befragt werden kann.

 

Daher jetzt meine konkrete Frage:

Kann ich einem User Domänen-Admin-Rechte beider Domänen zuweisen?

 

Was ich probiert habe: ich habe eine universale Gruppe (globale reicht nicht) in der Hauptdomäne erstellt und diese als Mitglied der Administratoren beider Domänen gemacht. Dann habe ich jeweils den 'fuirewall-admin' beider Domänen diese Gruppenzugehörigkeit zugeteilt.

Also sind jeweils die 'firewall-admins' der beiden Domänen Mitglied dieser AD-Gruppe 'fw-admingruppe' in der Hauptdomäne. Diese 'fw-admingruppe' selbst ist Mitglied in beiden Administratoren-Gruppen der jeweiligen Domänen.

Leider hat mir ein Test mit 'Paessler WMI Tester' kein positives Ergebnis gebracht.

Kann natürlich auch sein das ich das Programm nicht bedienen kann und was in wleche Felder eingetragen werden muss?

 

Habt ihr dazu eine Idee oder gar einen anderen Lösungsansatz?

 

Könnte ich auch den WMI-Schnittstellen eine Berechtigung aus der übergeordneten Domäne verpassen? Die Subdomäne vertraut natürlich der Hauptdomäne.

[testperson 1.674]

Hi,

 

suchst du evtl. einfach nur einen Proxy-Server, der verschiedene Profile anhand einer AD-Gruppen-Mitgliedschaft anwendet?

Was machst du z.B. wenn da jemand meint eine IP-Adresse (also ein User) zu sein, die grade etwas mehr darf wie der eigentliche User (also die IP)? ;)

 

Gruß

Jan

[kaineanung 14]

Ich verstehe nicht ganz?

Ich habe jeweils 1x AD-Gruppe 'Surfer' in den beiden Domänen. Die User die dort Mitglieder sind dürfen auch ins Internet (zumindest per Browser).

So, die FW braucht eine IP statt eines Domänenkontos. Und diese besorgt sie sich indem Sie die Security-Logs des DC-Servers ausliest (Kontoanmeldung würde ich meinen).

Das klappt auch tehnisch aus beiden Domänen. Da dies bei uns verfälscht ist (wie ich oben beschrieben habe) möchten wir WMI nutzen. Diese setzt aber die Berechtigung dafür voraus. Da ich auf der FW jedoch nur einen WMI-USer angeben kann, brauche ich jetzt eine Lösung das dieser in beiden Domänen die Clients per WMI befragen darf.

 

 

[Dukel 451]

Nutze einen Proxy!

[kaineanung 14]

Einen normalen Proxyserver?

Und das bringt mir was genau?

Kann die FW dann die User Identifizieren? Auch über alle anderen Verbindungsarten und nicht nur HTTP mit dem Browser?

Würde es nur um den Browser gehen: mit dem Browser wird die Benutzerkennung mitgeschickt unddie FW könnte das auslesen. Alle anderen Protokolle jedoch nicht...

Nutzt mir da dann ein Proxy was?

[Dukel 451]

In einem Proxy kannst du Userabhängig filtern (kein Internet, offenes Internet, bestimmte Seiten,...).

Da brauchst du dann nicht in der FW filtern.

[kaineanung 14]

Proxy geht mit allen Protokollen? Und jeder Proxy kann mehrere Domänen abfragen?

Wenn er LDAP kann dann kann er auch AD-Gruppen Filtern statt den User, richtig?

[Dukel 451]

Um welche Protokolle geht es ausser HTTP und HTTPS noch?

K.a. ob _jeder_ Proxy das kann. Ich kenne nicht jeden.

[kaineanung 14]

Hätte ja sein können das die Definition eines Proxies besagt TCP funktioniert, mir egal was für ein Protokoll im Header steht...

 

FTP, SFTP, diverse Sonderprotokolle diverser Programme die Sonderlösungen sind, Web-Konferenz-Software, dies und jenes. Eben alles was so im Alltag einer Firma anfällt oder anfallen kann...

 

[Dukel 451]

Web Konferenz Software geht meist über HTTP(S) raus.

FTP unterstützt Proxys. SFTP weiß ich jetzt nicht.

Es gibt auch SOCKS. Wenn die Applikation das unterstützt, dann geht das auch über einen Proxy.

[daabm 1.348]

Gab mal ne recht pfiffige Lösung dafür: Per Logonskript einen DNS A-Record für den Usernamen erstellen/aktualisieren... Aber das löst natürlich das konzeptionelle Grundproblem nicht