Zum Inhalt wechseln


Foto

Dateizugriff ohne Berechtigung

Windows Server 2012 R2 Windows 7 Active Directory

  • Bitte melde dich an um zu Antworten
13 Antworten in diesem Thema

#1 Supergunman

Supergunman

    Newbie

  • 27 Beiträge

 

Geschrieben 29. August 2016 - 14:07

Tach zusammen,

 

ich habe bei uns im Netzwerk ein Phänomen und bisher keine Lösung gefunden.

Ziel:

Ein externen Mitarbieter soll über ein VPN auf einen bestimmten Server (Bsp: srvxyz) Zugriff erlangen, sich an diesem Server mit einem AD Benutzer anmelden, dann aber von dort aus auf keinerlei Netzwerkfreigaben zugreifen.

Erstelle Konfiguration:

1. Benutzer xyz im AD angelegt. Jede Gruppenmitgliedschaft (auch Domänenbenutzer) entfernt.

2. Gruppe VPNxyz angelegt (global / Sicherheit), einziges Mitglied in der Gruppe ist xyz

Angehängte Datei  Benutzer.jpg   57,73K   0 Mal heruntergeladen

3. Firewallregel erstellt, damit Gruppe VPNxyz auf den Server zugreifen kann

4. xyz in die Gruppe der lokalen Administratoren gepackt

soweit so gut, jetzt aber mein Problem:

Der Benutzer kann sich an dem gewünschten Server anmelden. Wenn er im Win-Explorer irgendeine Freigabe Bsp: \\srvblablabla\ angiebt und auf diesem Server tatsächlich freigaben existieren, kann er auf diese mindestens lesend zugreifen, obwohl weder der Benutzer xyz noch die Gruppe VPNxyz oder die Gruppe "Jeder" an dieser Freigabe eine Berechtigung hat.

 

Nehme ich mir nun irgendeine Datei aus unserem Netzwerk und schaue mir die effektiven Berechtigungen an, dann hat er sogar Schreibrechte an der Datei und ich kann mir nicht erklären, woran das liegt.

Angehängte Datei  Effektiver_Zugriff.jpg   63,05K   0 Mal heruntergeladen

Normalerweise dürfte der Benutzer nur auf dem ihm zugewiesenen Server etwas ändern dürfen und sonst nicht.

 

Hat jemand eine Idee, warum dem so ist?

Meine Suche im Netz brachte bisher nur Mist zutage.


Bearbeitet von Supergunman, 30. August 2016 - 08:27.

IT-Systemkaufmann / Systemadministrator; Krieg ist Gottes Art, den Amerikanern Geographie zu lehren.
Done: 70-210, 70-215, 70-216, 70-217, 70-218


#2 NilsK

NilsK

    Expert Member

  • 12.457 Beiträge

 

Geschrieben 29. August 2016 - 14:24

Moin,

 

4. xyz in die Gruppe der lokalen Administratoren gepackt

 

du weißt, dass das die Antwort ist und willst uns nur testen, oder?

 

Gruß, Nils


Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#3 Supergunman

Supergunman

    Newbie

  • 27 Beiträge

 

Geschrieben 29. August 2016 - 14:38

Nicht ganz...

lokaler Admin bedeutet für mich, dass er nur  und nur auf diesem einen Server (srvxyz) Administratorberechtigung hat und nicht auf allen anderen Servern und im Netzwerk!


IT-Systemkaufmann / Systemadministrator; Krieg ist Gottes Art, den Amerikanern Geographie zu lehren.
Done: 70-210, 70-215, 70-216, 70-217, 70-218


#4 NilsK

NilsK

    Expert Member

  • 12.457 Beiträge

 

Geschrieben 29. August 2016 - 14:45

Moin,

 

ach so, OK. Dass der Zugriff auf einen anderen Server erfolgt, hatte ich aus der Beschreibung nicht ersehen.

 

Dann fragen wir doch mal so: Welche Berechtigungen sind denn genau am Ziel erteilt, also etwa in dem Beispiel, das du anführst?

 

Gruß, Nils

PS. Warum genau machst du einen VPN-User zum lokalen Admin eines Servers? Und warum entfernst du einen Domänenuser aus der Gruppe "Domänen-Benutzer"?


Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#5 zahni

zahni

    Expert Member

  • 16.497 Beiträge

 

Geschrieben 29. August 2016 - 14:47

Aus  der Hüfte geschossen:  Wurden die Server vielleicht  geklont ohne Sysprep mit einer neuen SID laufen  zu lassen?


Wen du nicht mit Können beeindrucken kannst, den verwirre mit Schwachsinn!


#6 NilsK

NilsK

    Expert Member

  • 12.457 Beiträge

 

Geschrieben 30. August 2016 - 06:28

Moin,

 

Aus  der Hüfte geschossen:  Wurden die Server vielleicht  geklont ohne Sysprep mit einer neuen SID laufen  zu lassen?

 

ach ja, in der Tat, das ist einer der wenigen Fälle, in denen das tatsächlich sein könnte.

 

Gruß, Nils


Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#7 Supergunman

Supergunman

    Newbie

  • 27 Beiträge

 

Geschrieben 30. August 2016 - 06:40

Moin,

 

das mit  der SID hab ich heute als erstes geprüft, da es sich tatsächlich um VM's aus Vorlagen handelt. Die SID ist definitiv nicht identisch.

 

@Nils:

1. Welches Ziel möchtest Du genau wissen? Das, wo er hin darf, also der srvxyz aus dem Beispiel oder das der Netzwerkfreigabe, auf die er nicht soll.

2. Der VPN-Benutzer soll Adminrechte auf dem Server bekommen, weil er dort für uns Programmierungen machen soll, er soll aber eben KEINEN Zugriff auf irgendwelche anderen Firmendaten im Netzwerk erlangen.


IT-Systemkaufmann / Systemadministrator; Krieg ist Gottes Art, den Amerikanern Geographie zu lehren.
Done: 70-210, 70-215, 70-216, 70-217, 70-218


#8 NilsK

NilsK

    Expert Member

  • 12.457 Beiträge

 

Geschrieben 30. August 2016 - 06:47

Moin,

 

da wir wissen möchten, warum der User an Daten kommt, wo er nicht ransoll, möchte ich, dass du die Berechtigungen dieser Daten auflistest.

 

Zu 2.: Das ist eine ausgesprochen schlechte Idee. Adminrechte sind Adminrechte, und wenn der Server in der Domäne ist, ist es fast* immer möglich, auf die Domäne überzugreifen - meist sehr schnell mit Domänen-Admin-Rechten. Von den direkten Einflussmöglichkeiten auf dem Server selbst fange ich gar nicht erst an.

 

Gruß, Nils

* bevor wir uns an dem "fast" aufhalten: Meiner Erfahrung nach bezeichnet dieses "fast" einen Wert, der von 100 Prozent ohne Spezialwerkzeug nicht zu unterscheiden ist.


Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#9 Supergunman

Supergunman

    Newbie

  • 27 Beiträge

 

Geschrieben 30. August 2016 - 07:58

Dann will ich das mal versuchen, darzustellen:

So sehen die Gruppen und Benutzernamen aus, die an dem Zielverzeichnis, wo er nicht hin soll, angegeben sind:

Angehängte Datei  ziel.PNG   83,93K   2 Mal heruntergeladen

 

Natürlich sind im geschwärzten Bereich Unternehmensdaten, die ich nicht veröffentlichen darf. Im Bereich Administratoren steht srvblafasel, um beim Beispiel zu bleiben, nicht srvxyz.


IT-Systemkaufmann / Systemadministrator; Krieg ist Gottes Art, den Amerikanern Geographie zu lehren.
Done: 70-210, 70-215, 70-216, 70-217, 70-218


#10 NilsK

NilsK

    Expert Member

  • 12.457 Beiträge

 

Geschrieben 30. August 2016 - 08:10   Lösung

Moin,

 

die Gruppe "Benutzer" erlaubt den Zugriff. Dort sind regelmäßig die "Authentifizierten Benutzer" Mitglied, was effektiv dasselbe ist wie "Jeder".

 

Du wirst also nicht umhinkommen, ein passendes Berechtigungskonzept aufzubauen und auszurollen, um deine Anforderung umzusetzen.

 

Gruß, Nils

PS. den Namen deiner Domäne kennen wir ja schon ...


Bearbeitet von NilsK, 30. August 2016 - 08:10.

Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#11 Supergunman

Supergunman

    Newbie

  • 27 Beiträge

 

Geschrieben 30. August 2016 - 08:41

Die Gruppe "Benutzer" ist nur eine lokale Gruppe, auf dem srvblafasel. Auf dem srvxyz sollte diese Gruppe eine andere SID haben und somit nicht netzwerkübergreifen funktionieren.

 

Verdammte Tat, wo ist mir denn da ein kleiner Schnitzer mit der Domäne passiert?

Egal.


Bearbeitet von Supergunman, 30. August 2016 - 08:42.

IT-Systemkaufmann / Systemadministrator; Krieg ist Gottes Art, den Amerikanern Geographie zu lehren.
Done: 70-210, 70-215, 70-216, 70-217, 70-218


#12 NilsK

NilsK

    Expert Member

  • 12.457 Beiträge

 

Geschrieben 30. August 2016 - 09:00

Moin,

 

dann schau dir doch mal die Mitglieder der Gruppe an ... kleiner Tipp: Es ist ein Domänenrechner.

net localgroup Benutzer

Gruß, Nils


Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#13 Supergunman

Supergunman

    Newbie

  • 27 Beiträge

 

Geschrieben 30. August 2016 - 10:12

Dann werd ich mir wohl irgend einen anderen Weg überlegen müssen, wie ich den Benutzer aus meinem Netzwerk raus halte.

Danke für die Hilfe.


IT-Systemkaufmann / Systemadministrator; Krieg ist Gottes Art, den Amerikanern Geographie zu lehren.
Done: 70-210, 70-215, 70-216, 70-217, 70-218


#14 djmaker

djmaker

    Board Veteran

  • 3.486 Beiträge

 

Geschrieben 31. August 2016 - 09:02

Du kannst Verweigerungen setzen, die haben Vorrang. Nicht schön, aber schneller als das (sinnvolle) Berechtigungskonzept.


Thomas

K.Y.S.S. - Keep Your Signatur Short :)



Auch mit einem oder mehreren der folgenden Tags versehen: Windows Server 2012 R2, Windows 7, Active Directory