Jump to content

70-216 Unklarheit


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hi Leute!

 

Ich hab da grad meine Probleme mit einer Frage:

 

Sabine ist der Administrator einer Windows 2000-Domäne. In dieser Domäne führt ein Windows 2000-Mitgliedserver (MVSROUTE) den Routing und RAS -Dienst aus. MVSROUTE ist für Remotezugriff konfiguriert. Die Domäne wird im einheitlichen Modus ausgeführt. Die Einwählberechtigung ist für alle Benutzerkonten so festgelegt, dass der Zugriff über RAS-Richtlinien gesteuert wird.

Sabine möchte während der Arbeitszeit allen Benutzer die Einwahl erlauben, zwischen 18:00 Uhr und 08:00 Uhr soll die Einwahl nur Mitgliedern der globalen Sicherheitsgruppe Supportpersonal gestattet sein. Diese Gruppe und die darin enthaltenen Benutzer dürfen sich jedoch nicht während der Arbeitszeit (08:00 bis 18:00 Uhr) einwählen.

Sie erstellen auf MVSROUTE vier RAS-Richtlinien, wie nachfolgend dargestellt.

 

Name

Bedingung

Berechtigung

Profil

 

 

1.)

Domänenbenutzer Alle Richtlinie

Windows-Gruppe = Domänenbenutzer

Zugriff

(Standard)

2.)

Supportpersonal Alle Richtlinie

Windows-Gruppe = Supportpersonal

Zugriff

(Standard)

3.)

Domänenbenutzer 18-08 Richtlinie

Windows-Gruppe = Domänenbenutzer

Datum- und Uhrzeit = 18:00-08.00Uhr

Verweigern

(Standard)

4.)

Supportpersonal 08-18 Richtlinie

Windows-Gruppe = Supportpersonal

Datum- und Uhrzeit = 08.00-18.00

Verweigern

(Standard)

 

So ... meiner Meinung nach gehört das jetzt nach folgender Reihenfolge:

 

4,2,3,1

 

Spirit meint aber es gehört:

 

4,3,2,1

 

 

Jetzt weiss ich nicht wer falsch liegt, und was ich bei sowas bei der Prüfung antworten soll.

Meine Meinung dazu ist das das SupportPersonal ja ebenso DomänenBenutzer sind und daher Richtlinie 2 vor Richtlinie 3 gehört.

 

lg Stefan

Link zu diesem Kommentar
Original geschrieben von DerTeufel

Man könnte sie ja aus der Gruppe Domänbenutzer rausnehmen, in der Hinsicht könnten sie schon auch nicht Domänbenutzer sein.

 

Das ist meiner Meinung nach nicht möglich, da Domänenbenutzer eine fixe Gruppe ist, die automatisch alle Domänenbenutzer enthält, zumindest hatte ich den Fall noch nicht und nehme diesen Umstand mal an, ähnlich bzw. gleich wie bei der Gruppe "Jeder".

 

Kann jemand was gegenteiliges berichten? Kann mich in der Hinsicht auch täuschen.

 

Was zumindest ziemlich sicher ist betreffend der Spirit Frage -> hier wird davon ausgegangen dass die Supportbenutzer Mitglieder der Gruppe Domänenbenutzer sind.

 

Gruß

Andi

Link zu diesem Kommentar

Hast recht Teufel, man kann die Gruppe editieren und Benutzer auch raus nehmen.

 

Gleiches gilt auch für alle anderen Gruppen die man in AD "sieht" und bearbeiten kann, egal ob Built-In oder nicht, ist bei jeder Gruppe möglich.

 

Authentifizierte Benutzer sowie Jeder oder auch SELBST usw. sind Gruppen/Benutzer die man nicht in AD sieht, deswegen können sie auch nicht im AD bearbeitet werden, zumindest nicht im herkömmlichen Sinne, sie können natürlich aber benutzt werden. :)

 

Tja, war ein Irrtum meinerseits, hab Domänen-Benutzer mit Authentifizierte Benutzer verwechselt. :)

 

Gruß

Andi

Link zu diesem Kommentar

Hallo zusammen,

 

man braucht überhaupt keine User aus irgendwelchen Gruppen herausnehmen, daß brächte garantiert an anderer Stelle wieder Probleme.

 

Der Sachverhalt stellt sich vielmehr so dar:

 

Ist eine der Richtlinien erfüllt (kann also dies Richtlinie mit "zulassen" oder "verweigern" beantwortet werden) ist die Überprüfung der Richtlinien beendet! Die weiteren Richtlinien werden nicht mehr berücksichtigt!

 

In diesem Fall müssen die Richtlinien also in folgender Reihenfolge gesetzt werden:

 

Richtlinie 1: Supportpersonal, 08-18 Uhr, verweigern (4)

Richtlinie 2: Supportpersonal, 18-08 Uhr, zulassen (2)

Richtlinie 3: Domänenbenutzer, 18-08 Uhr, verweigern (1)

Richtlinie 4: Domänenbenutzer, 08-18 Uhr, zulassen (3)

 

Es spielt sich also folgendes ab:

 

Szenario: Domänenbenutzer, 20 Uhr:

 

Richtlinie 1: User aus Supportpersonal: Nein -> weiter mit Richtlinie 2

Richtlinie 2: User aus Supportpersonal: Nein -> weiter mit Richtlinie 3

Richtlinie 3: User aus Domänenbenutzer: Ja -> ist es zwischen 18 und 08 Uhr: Ja -> Zugriff verweigern -> Überürfung beendet

 

Szenario: Supportpersonal, 21 Uhr:

 

Richtlinie 1: User aus Supportpersonal: Ja -> ist es zwischen 08 und 18 Uhr: Nein -> weiter mit Richtlinie 2

Richtlinie 2: User aus Supportpersonal: Ja -> ist es zwischen 18 und 08 Uhr: Ja -> Zugriff zulassen -> Überprüfung beendet!

 

Zusammengefaßt: Zunächst wird geprüft, ob die Bedingungen erfüllt sind. Sind alle Bedingungen erfüllt, wird das ausgeführt, was definiert ist: zulassen oder verweigern. Danach wird die Überprüfung beendet. Sind die Bedingungen nicht erfüllt, wir die nächste Richtlinie überprüft.

 

Ja und wie ist es nun damit, dass Supportmitarbeiter auch Domänenbenutzer sind?

Die Supportmitarbeiter werden ja schon in Richtlinie 1 und 2 behandelt, d.h. eine Supportmitarbeiter kommt über die Richtlinien 1 und 2 gar nicht hinaus. während die Überprüfung der Domänenbenutzer erst ab Richtline 3 beginnt. Da sind die Supportmitarbeiter aber bereits überprüft!

 

Anmerkung: Zu beachten ist auch die Standard-RAS-Richtlinie: Der Gruppe Jeder wird der Zugang verweigert!

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...