DHCP-Benutzer für bestimmten Bereich

[sd2019 0]

Hi Leute!

 

Folgende Anforderung:

 

Mittels den DHCP RSAT Tools sollen Benutzer auf ihren Arbeits-PC's auf die Server DHCP Leases (in diesem Fall auf dem DC)  eines bestimmten Scopes, also ein bestimmter Subnet Bereich zugreifen dürfen (nur LESE Rechte).

 

 

Problem:

 

1. Wenn ich die DHCP RSAT bei mir auf dem lokalen Rechner installiert habe, und dann unter DHCP > Server hinzufügen > Dieser autorisierte DHCP-Server den entsprechenden Server auswähle, kann ich bereits auf alle DHCP Bereiche zugreifen (nur Lese Rechte). Jedoch frage ich mich warum, das geht, da ich mich nicht in die vordefinierte DHCP-Benutzer Sicherheitsgruppe eingetragen habe
2. Man kann ja die betreffenden User in die bereits vorhandene, lokale Sicherheitsgruppe, wie oben erwähnt, DHCP-Benutzer Sicherheitsgruppe eintragen, aber wie kann ich es umsetzen, dass dedizierte Benutzer von unseren ca. 20 DHCP Bereichen nur auf einen bestimmten DHCP Bereich Lesezugriff haben? Alles andere soll erst gar nicht zu sehen sein.

 

 

bearbeitet 4. Mai 2020 von sd2019

[magheinz 110]

Was ist der Sinn der Sache? 

 

Könnte man auch die Einträge per Webseite darstellen?

[sd2019 0]

Sinn der Sache ist, dass bestimmte Nutzer in der Produktion Zugriff auf einen dedizierten DHCP Bereich haben, da ein stetiger Zugriff auf die sich ständig ändernden MAC-Adressen und IP-Adressen 

erforderlich ist, um Komponenten ansteuern zu können.

 

Wenn man das irgendwie problemlos wer Website darstellen kann, ist das natürlich auch eine Alternative (ist aber wahrscheinlich komplizierter oder?)

bearbeitet 4. Mai 2020 von sd2019

[Nobbyaushb 1.484]

Ein IP-Scanner z.B. Netscan reicht da nicht?

Ich vewende den Netscan z.B. um den Hersteller der LAN-Karte zu identifizieren.

Die kostenlose, neuere Version kann leider nur noch 10 Adressen....

https://www.softperfect.com/products/networkscanner/

 

Es gibt aber viele kostenlose dieser Tools

 

Wenn die nur lesen können, kann ja auch im Problemfall keiner was ändern, oder?

 

[Dukel 457]

Wozu braucht man IP Adressen? Geht es nicht via DNS?

[Nobbyaushb 1.484]

vor 8 Minuten schrieb sd2019:

Sinn der Sache ist, dass bestimmte Nutzer in der Produktion Zugriff auf einen dedizierten DHCP Bereich haben, da ein stetiger Zugriff auf die sich ständig ändernden MAC-Adressen und IP-Adressen 

Was verstehst du unter ständiger Änderung?

Wie sehen denn die Lease-Zeiten in dem Scope aus?

[NorbertFe 2.089]

vor 39 Minuten schrieb sd2019:

aber wie kann ich es umsetzen, dass dedizierte Benutzer von unseren ca. 20 DHCP Bereichen nur auf einen bestimmten DHCP Bereich Lesezugriff haben? Alles andere soll erst gar nicht zu sehen sein.

Mit Bordmitteln afaik gar nicht. Du kannst natürlich IPAM (keine Ahnung, ob da so eine granulare Berechtigungsdelegation möglich ist) oder ein 3rd Party Produkt mit ähnlicher Funktion ausprobieren. 

[magheinz 110]

vor 19 Minuten schrieb sd2019:

Sinn der Sache ist, dass bestimmte Nutzer in der Produktion Zugriff auf einen dedizierten DHCP Bereich haben, da ein stetiger Zugriff auf die sich ständig ändernden MAC-Adressen und IP-Adressen 

erforderlich ist, um Komponenten ansteuern zu können.

 

Wenn man das irgendwie problemlos wer Website darstellen kann, ist das natürlich auch eine Alternative (ist aber wahrscheinlich komplizierter oder?)

So ganz verstehe ich die Aufgabe nicht.

Um Komponenten anzusteuern braucht man einen lesenden Zugriff auf DHCP?

 

Es gibt die notwendigen Powershell-commandlets. Aus der Ausgabe musst du halt HTML bauen. Sollte in ein paar Stunden erledigt und getestet sein.

 

[sd2019 0]

vor 3 Minuten schrieb magheinz:

So ganz verstehe ich die Aufgabe nicht.

Um Komponenten anzusteuern braucht man einen lesenden Zugriff auf DHCP?

 

Es gibt die notwendigen Powershell-commandlets. Aus der Ausgabe musst du halt HTML bauen. Sollte in ein paar Stunden erledigt und getestet sein.

 

Ja gut die Zeit habe ich leider nicht.

 

Und es geht hier um elektronische Steuerteile. Die Diskussion hinsichtlich dem Warum man das braucht ist unwichtig und auch nicht zielführend.

Ich bin da eher an Lösungsvorschlägen interessiert. :)

[BOfH_666 577]

vor 4 Minuten schrieb sd2019:

Ja gut die Zeit habe ich leider nicht.

Ich glaube "ein paar Stunden" braucht man dafür bestimmt nicht. ... kriegst Du denn eine andere Lösung schneller hin?   

[magheinz 110]

vor 6 Minuten schrieb sd2019:

Ja gut die Zeit habe ich leider nicht.

 

Und es geht hier um elektronische Steuerteile. Die Diskussion hinsichtlich dem Warum man das braucht ist unwichtig und auch nicht zielführend.

Ich bin da eher an Lösungsvorschlägen interessiert. :)

Dann beauftrage jemanden...

[sd2019 0]

Gibt es keine Möglichkeit, evtl. eine neue, eigene Sicherheitsgruppe für DHCP-Benutzer zu erstellen und diese dann zu konfigurieren (wüsste nicht wo man dieses Berechtigungskonzept verwaltet)

[Nobbyaushb 1.484]

vor 38 Minuten schrieb sd2019:

Ja gut die Zeit habe ich leider nicht.

 

Und es geht hier um elektronische Steuerteile. Die Diskussion hinsichtlich dem Warum man das braucht ist unwichtig und auch nicht zielführend.

Ich bin da eher an Lösungsvorschlägen interessiert. :)

Wie NorbertFe das so passend geschrieben hat, mit Boardmitteln nicht.

Ob das mit IPAM geht kann ich dir nicht sagen, das ist ein Dienst der sich ins AD einträgt - das probiert man nicht mal eben aus, da eine Schema-Änderung sich nicht zurücknehmen lässt.

vor 21 Minuten schrieb sd2019:

Gibt es keine Möglichkeit, evtl. eine neue, eigene Sicherheitsgruppe für DHCP-Benutzer zu erstellen und diese dann zu konfigurieren (wüsste nicht wo man dieses Berechtigungskonzept verwaltet)

Nein, nicht das mir das bekannt wäre

 

Und wie angemerkt - wenn dir die Zeit fehlt, beauftrage einen Dienstleister.

 

Mit der heißen Nadel gestrickte Lösungen können dir ganz schnell große Sicherheitslöcher in dein AD bauen

 

Wenn die von mir genannte Lösung mit einem IP-Scanner nicht klappt, kann cih dir an der Stelle leider nicht mehr weiterhelfen, sorry

[Dukel 457]

Nochmal zum Vorschlag von mir? Geht da kein DNS? Dann brauchst du den ganzen Aufwand nicht treiben. Dann ist die IP egal!

[daabm 1.366]

vor 6 Stunden schrieb sd2019:

Gibt es keine Möglichkeit, evtl. eine neue, eigene Sicherheitsgruppe für DHCP-Benutzer zu erstellen und diese dann zu konfigurieren (wüsste nicht wo man dieses Berechtigungskonzept verwaltet)

Nein. DHCP ist nicht AD-integriert und nicht auf Delegation vorbereitet. Skripten oder damit leben... Zum Thema "skripten": Man kann auch ein primitives Txt-File im Browser prima darstellen, und das ist aus den DHCP-Daten in wenigen Minuten erstellt. Liegen kann das auch auf file:// - damit brauchst dann nicht mal mit IIS-Rechten rum machen, sondern kannst bei NTFS-ACLs bleiben, mit denen Du Dich hoffenltich auskennst.

Und die Frage nach dem "Warum" ist IMMER gerechtfertigt - zu häufig stellt sich heraus, daß die hier gestellte Frage bereits zu einem vorgedachten Lösungsweg gehört, der auf's Holz führt.