websurfer83 0 Geschrieben 6. Juli 2015 Melden Teilen Geschrieben 6. Juli 2015 (bearbeitet) Hallo zusammen, bei Windows Netzen gibt es folgendes Problem (oder ist es ein Feature?): In einer Windows-Domäne gibt es einige Freigaben und User, die per Active Directory verwaltet werden. Wenn jetzt von einem Rechner, der nicht Mitglied der Domäne ist, versucht wird, auf eine Freigabe zuzugreifen, ist der Zugriff ohne zusätzliche Authentifizierung automatisch gestattet, falls Username und Passwort identisch sind (also sowohl im AD als auch auf dem Nicht-Domänenrechner). Eine weitere Abfrage nach Benutzername und Passwort findet nicht statt. Lässt sich bei Windows irgendwie erzwingen, dass in jedem Fall noch einmal eine zusätzliche Abfrage nach Username und Passwort erfolgt, ehe der Zugriff auf die Freigabe gestattet wird? (also in der Form Username = DOMÄNE\Username und eben dem dazugehörigen Passwort) Viele Grüße und danke websurfer83. bearbeitet 6. Juli 2015 von websurfer83 Zitieren Link zu diesem Kommentar
Daniel -MSFT- 129 Geschrieben 6. Juli 2015 Melden Teilen Geschrieben 6. Juli 2015 Such mal nach Domain- und Serverisolation: https://technet.microsoft.com/en-us/network/bb545651.aspx https://technet.microsoft.com/en-us/library/cc725770.aspx https://technet.microsoft.com/en-us/library/jj721511.aspx Have fun! Daniel Zitieren Link zu diesem Kommentar
websurfer83 0 Geschrieben 6. Juli 2015 Autor Melden Teilen Geschrieben 6. Juli 2015 Danke. Gibt es keine einfachere und schneller Lösung als das ganze via IPSec zu realisieren? Für sehr kleine Netze scheint die Lösung doch etwas zu umfangreich zu sein. Zitieren Link zu diesem Kommentar
daabm 1.184 Geschrieben 6. Juli 2015 Melden Teilen Geschrieben 6. Juli 2015 Ja, gibt es - deaktiviere NTLM. Zitieren Link zu diesem Kommentar
Daniel -MSFT- 129 Geschrieben 6. Juli 2015 Melden Teilen Geschrieben 6. Juli 2015 Naja, dann gibt der Anwender halt in das Dialogfenster für die Freigabe die Daten ein zweites mal ein. Auch nix wirklich gewonnen. @wegsurfer83: Was ist denn der Hintergrund für die Anfrage? Welche Aufgabe willst Du mit Deiner Frage erfüllen? Zitieren Link zu diesem Kommentar
testperson 1.528 Geschrieben 7. Juli 2015 Melden Teilen Geschrieben 7. Juli 2015 Hi, warum sind die Rechner nicht in der Domäne bzw. warum haben die Rechner die gleichen Credentials wie Userkonten aus der Domäne? Gruß Jan Zitieren Link zu diesem Kommentar
websurfer83 0 Geschrieben 7. Juli 2015 Autor Melden Teilen Geschrieben 7. Juli 2015 (bearbeitet) @ Daniel: Es geht darum, dass ein User nicht automatisch auf der Freigabe landet, sondern zur Sicherheit sich noch einmal authentifiziert. Z.B. Wenn jemand kurz weg vom Rechner ist und er noch nicht automatisch gesperrt wurde hätte ein Unbefugter automatisch Zugriff. Außerdem geht es auch darum, dass die Freigabe möglicherweise mit anderen Zugangsdaten (mit anderen Rechten) verbunden werden soll. @ Testperson: Das sind die mobilen Geräte unser Mitarbeiter. Die sind nicht Teil der Domäne, da sie überwiegend per Remote genutzt werden. Die gleichen Userdaten haben sie aus "Bequemlichkeit". Würde man nur den gleichen Usernamen verwenden und sich versuchen auf die Freigabe zu verbinden, würde das Konto ja per Default im AD sofort gesperrt - das wäre nicht zielführend. bearbeitet 7. Juli 2015 von websurfer83 Zitieren Link zu diesem Kommentar
NorbertFe 1.799 Geschrieben 7. Juli 2015 Melden Teilen Geschrieben 7. Juli 2015 So ein "bl..." Argument. Wenn ich die Verbindung hergestellt habe und mich dann vom Rechner entferne hat auch jeder sofort Zugriff. Also wozu sollte mir die "zweite" Authentifizierung irgendwas nutzen? Wärs nicht sinnvoller den Leuten zu erklären, wenn ihr den Raum verlasst ist Computersperren _Pflicht_? Und eine automatische Sperre tritt nach 2-5 Minuten ein. Warum sind "remote" genutzte GEräte nicht in der Domäne? Hat das Vorteile die ich nicht erkennen kann? Denn offensichtlich greifen sie ja auf Ressourcen der Domäne zu und müssen demzufolge Kontakt zur Domäne besitzen. Bye Norbert Zitieren Link zu diesem Kommentar
Sunny61 773 Geschrieben 7. Juli 2015 Melden Teilen Geschrieben 7. Juli 2015 Warum sind "remote" genutzte GEräte nicht in der Domäne? Hat das Vorteile die ich nicht erkennen kann? Denn offensichtlich greifen sie ja auf Ressourcen der Domäne zu und müssen demzufolge Kontakt zur Domäne besitzen. Ich vermute es sind private mobile Geräte der Benutzer und man ist sich der Risiken nicht bewußt: https://de.wikipedia.org/wiki/Bring_your_own_device Zitieren Link zu diesem Kommentar
NorbertFe 1.799 Geschrieben 7. Juli 2015 Melden Teilen Geschrieben 7. Juli 2015 Glaub ich nicht. Entgegen der Behauptung "BYOD" wäre toll, hab ich sowas maximal für Tablets und/oder Handys gesehen in meinem Kundenkreis. Zitieren Link zu diesem Kommentar
Dukel 436 Geschrieben 7. Juli 2015 Melden Teilen Geschrieben 7. Juli 2015 Auch wenn du eine Lösung findest hilft das nur halb. Wenn sich der User dann einmal extra authentifiziert hat und den Rechner verlässt bleibt der Zugriff trotzdem bestehen. Lösungen dazu wurden schon genannt (Rechner in die Domäne, Pflicht zum Sperren des Rechners). Zitieren Link zu diesem Kommentar
websurfer83 0 Geschrieben 7. Juli 2015 Autor Melden Teilen Geschrieben 7. Juli 2015 Es sind keine privaten Geräte, sondern dienstlich genutzte Laptops. Gemäß unseres IT-Sicherheitsbeauftragen dürfen sie aber nicht in die Domäne. Die Regelung habe ich nicht aufgestellt und kann sie auch nicht außer Kraft setzen. So ist das nun einmal in Institutionen ab einer gewissen Größenordnung - da kann nicht jeder machen wie er denkt. Zitieren Link zu diesem Kommentar
NorbertFe 1.799 Geschrieben 7. Juli 2015 Melden Teilen Geschrieben 7. Juli 2015 Ja vor allem nicht der IT-Sicherheitsbeauftrage. :rolleyes: Gibt's dafür ausser seiner Vorliebe für sinnlose Konfigurationen auch vernünftige Gründe, die wir hier nur nicht verstehen, weil wir sie nicht kennen? Zitieren Link zu diesem Kommentar
Sunny61 773 Geschrieben 7. Juli 2015 Melden Teilen Geschrieben 7. Juli 2015 Es sind keine privaten Geräte, sondern dienstlich genutzte Laptops. Gemäß unseres IT-Sicherheitsbeauftragen dürfen sie aber nicht in die Domäne. Die Regelung habe ich nicht aufgestellt und kann sie auch nicht außer Kraft setzen. So ist das nun einmal in Institutionen ab einer gewissen Größenordnung - da kann nicht jeder machen wie er denkt. Die Gründe gegen eine Aufnahme würden mich auch interessieren. Ich glaube es ahnen zu können, die Benutzer haben auf den mobilen Geräte lokale Adminrechte, deshalb nur lokale Konten. Das hat mit Sicherheit aber nichts zu tun. Zitieren Link zu diesem Kommentar
websurfer83 0 Geschrieben 7. Juli 2015 Autor Melden Teilen Geschrieben 7. Juli 2015 Die Gründe gegen eine Aufnahme würden mich auch interessieren. Ich glaube es ahnen zu können, die Benutzer haben auf den mobilen Geräte lokale Adminrechte, deshalb nur lokale Konten. Das hat mit Sicherheit aber nichts zu tun. ... haben sie NICHT! Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.