DerTeufel 10 Geschrieben 18. Februar 2004 Melden Teilen Geschrieben 18. Februar 2004 Hi Leute! Ich hab da grad meine Probleme mit einer Frage: Sabine ist der Administrator einer Windows 2000-Domäne. In dieser Domäne führt ein Windows 2000-Mitgliedserver (MVSROUTE) den Routing und RAS -Dienst aus. MVSROUTE ist für Remotezugriff konfiguriert. Die Domäne wird im einheitlichen Modus ausgeführt. Die Einwählberechtigung ist für alle Benutzerkonten so festgelegt, dass der Zugriff über RAS-Richtlinien gesteuert wird. Sabine möchte während der Arbeitszeit allen Benutzer die Einwahl erlauben, zwischen 18:00 Uhr und 08:00 Uhr soll die Einwahl nur Mitgliedern der globalen Sicherheitsgruppe Supportpersonal gestattet sein. Diese Gruppe und die darin enthaltenen Benutzer dürfen sich jedoch nicht während der Arbeitszeit (08:00 bis 18:00 Uhr) einwählen. Sie erstellen auf MVSROUTE vier RAS-Richtlinien, wie nachfolgend dargestellt. Name Bedingung Berechtigung Profil 1.) Domänenbenutzer Alle Richtlinie Windows-Gruppe = Domänenbenutzer Zugriff (Standard) 2.) Supportpersonal Alle Richtlinie Windows-Gruppe = Supportpersonal Zugriff (Standard) 3.) Domänenbenutzer 18-08 Richtlinie Windows-Gruppe = Domänenbenutzer Datum- und Uhrzeit = 18:00-08.00Uhr Verweigern (Standard) 4.) Supportpersonal 08-18 Richtlinie Windows-Gruppe = Supportpersonal Datum- und Uhrzeit = 08.00-18.00 Verweigern (Standard) So ... meiner Meinung nach gehört das jetzt nach folgender Reihenfolge: 4,2,3,1 Spirit meint aber es gehört: 4,3,2,1 Jetzt weiss ich nicht wer falsch liegt, und was ich bei sowas bei der Prüfung antworten soll. Meine Meinung dazu ist das das SupportPersonal ja ebenso DomänenBenutzer sind und daher Richtlinie 2 vor Richtlinie 3 gehört. lg Stefan Zitieren Link zu diesem Kommentar
AndiW 10 Geschrieben 18. Februar 2004 Melden Teilen Geschrieben 18. Februar 2004 @Teuferl In dem Fall bin ich deiner Meinung. So gesehen können sich bei 4,3,2,1 die Supportbenutzer gar nicht mehr anmelden, da sie von 8-18 und von 18-8 verweigert werden. Es könnten sich nur mehr die Domänenbenutzer von 8-18 anmelden. Müsste ein Fehler von Spirit sein - ich würde auch 4,2,3,1 nehmen. Gruß Andi Zitieren Link zu diesem Kommentar
DerTeufel 10 Geschrieben 18. Februar 2004 Autor Melden Teilen Geschrieben 18. Februar 2004 Und das MS meint die sind ja nur Supportbenutzer und keine Domänenbenutzer glaubst nicht? (wär unlogisch ... aber wer weiss das bei MS schon :) ) lg Stefan Zitieren Link zu diesem Kommentar
AndiW 10 Geschrieben 18. Februar 2004 Melden Teilen Geschrieben 18. Februar 2004 Sobald die Supportbenutzer Domänenkonten haben sind sie auch Domänenbenutzer, das kann auch MS nicht ändern bzw. die Tatsache geht ja von MS aus. :) Meiner Meinung nach ist das einfach ein Fehler bei Spirit, soll ja vorkommen ... :D Gruß Andi Zitieren Link zu diesem Kommentar
DerTeufel 10 Geschrieben 18. Februar 2004 Autor Melden Teilen Geschrieben 18. Februar 2004 Man könnte sie ja aus der Gruppe Domänbenutzer rausnehmen, in der Hinsicht könnten sie schon auch nicht Domänbenutzer sein. Aber ich verlass mich da auf meine Lösung. Thx :) lg Stefan Zitieren Link zu diesem Kommentar
AndiW 10 Geschrieben 18. Februar 2004 Melden Teilen Geschrieben 18. Februar 2004 Original geschrieben von DerTeufel Man könnte sie ja aus der Gruppe Domänbenutzer rausnehmen, in der Hinsicht könnten sie schon auch nicht Domänbenutzer sein. Das ist meiner Meinung nach nicht möglich, da Domänenbenutzer eine fixe Gruppe ist, die automatisch alle Domänenbenutzer enthält, zumindest hatte ich den Fall noch nicht und nehme diesen Umstand mal an, ähnlich bzw. gleich wie bei der Gruppe "Jeder". Kann jemand was gegenteiliges berichten? Kann mich in der Hinsicht auch täuschen. Was zumindest ziemlich sicher ist betreffend der Spirit Frage -> hier wird davon ausgegangen dass die Supportbenutzer Mitglieder der Gruppe Domänenbenutzer sind. Gruß Andi Zitieren Link zu diesem Kommentar
DerTeufel 10 Geschrieben 18. Februar 2004 Autor Melden Teilen Geschrieben 18. Februar 2004 Ich bin sicher man kann ihn aus der Gruppe der DomänenBenutzer raushaun, probiers mal aus. Du verwechselst das mit der Gruppe der "authentifizierten Benutzer". Doch automatisch ist jeder neue User auch User in DomänenBenutzer, und daher gehen wir mal solang nicht explizit was anderes gesagt wird davon aus :) lg Stefan Zitieren Link zu diesem Kommentar
AndiW 10 Geschrieben 18. Februar 2004 Melden Teilen Geschrieben 18. Februar 2004 Ich werd mal kurz VMWare anwerfen und mir das anschaun. :) Andi Zitieren Link zu diesem Kommentar
AndiW 10 Geschrieben 18. Februar 2004 Melden Teilen Geschrieben 18. Februar 2004 Hast recht Teufel, man kann die Gruppe editieren und Benutzer auch raus nehmen. Gleiches gilt auch für alle anderen Gruppen die man in AD "sieht" und bearbeiten kann, egal ob Built-In oder nicht, ist bei jeder Gruppe möglich. Authentifizierte Benutzer sowie Jeder oder auch SELBST usw. sind Gruppen/Benutzer die man nicht in AD sieht, deswegen können sie auch nicht im AD bearbeitet werden, zumindest nicht im herkömmlichen Sinne, sie können natürlich aber benutzt werden. :) Tja, war ein Irrtum meinerseits, hab Domänen-Benutzer mit Authentifizierte Benutzer verwechselt. :) Gruß Andi Zitieren Link zu diesem Kommentar
DerTeufel 10 Geschrieben 18. Februar 2004 Autor Melden Teilen Geschrieben 18. Februar 2004 Hab ichs nicht gesagt :) Das kostet dich ein Bier am nächsten ITTGA Stammtisch. :) lg Stefan Zitieren Link zu diesem Kommentar
hk2003 10 Geschrieben 18. Februar 2004 Melden Teilen Geschrieben 18. Februar 2004 Hallo zusammen, man braucht überhaupt keine User aus irgendwelchen Gruppen herausnehmen, daß brächte garantiert an anderer Stelle wieder Probleme. Der Sachverhalt stellt sich vielmehr so dar: Ist eine der Richtlinien erfüllt (kann also dies Richtlinie mit "zulassen" oder "verweigern" beantwortet werden) ist die Überprüfung der Richtlinien beendet! Die weiteren Richtlinien werden nicht mehr berücksichtigt! In diesem Fall müssen die Richtlinien also in folgender Reihenfolge gesetzt werden: Richtlinie 1: Supportpersonal, 08-18 Uhr, verweigern (4) Richtlinie 2: Supportpersonal, 18-08 Uhr, zulassen (2) Richtlinie 3: Domänenbenutzer, 18-08 Uhr, verweigern (1) Richtlinie 4: Domänenbenutzer, 08-18 Uhr, zulassen (3) Es spielt sich also folgendes ab: Szenario: Domänenbenutzer, 20 Uhr: Richtlinie 1: User aus Supportpersonal: Nein -> weiter mit Richtlinie 2 Richtlinie 2: User aus Supportpersonal: Nein -> weiter mit Richtlinie 3 Richtlinie 3: User aus Domänenbenutzer: Ja -> ist es zwischen 18 und 08 Uhr: Ja -> Zugriff verweigern -> Überürfung beendet Szenario: Supportpersonal, 21 Uhr: Richtlinie 1: User aus Supportpersonal: Ja -> ist es zwischen 08 und 18 Uhr: Nein -> weiter mit Richtlinie 2 Richtlinie 2: User aus Supportpersonal: Ja -> ist es zwischen 18 und 08 Uhr: Ja -> Zugriff zulassen -> Überprüfung beendet! Zusammengefaßt: Zunächst wird geprüft, ob die Bedingungen erfüllt sind. Sind alle Bedingungen erfüllt, wird das ausgeführt, was definiert ist: zulassen oder verweigern. Danach wird die Überprüfung beendet. Sind die Bedingungen nicht erfüllt, wir die nächste Richtlinie überprüft. Ja und wie ist es nun damit, dass Supportmitarbeiter auch Domänenbenutzer sind? Die Supportmitarbeiter werden ja schon in Richtlinie 1 und 2 behandelt, d.h. eine Supportmitarbeiter kommt über die Richtlinien 1 und 2 gar nicht hinaus. während die Überprüfung der Domänenbenutzer erst ab Richtline 3 beginnt. Da sind die Supportmitarbeiter aber bereits überprüft! Anmerkung: Zu beachten ist auch die Standard-RAS-Richtlinie: Der Gruppe Jeder wird der Zugang verweigert! Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.