LimpBizkit

ja, okay, das mit der OU Lehrer ist sinnvoller - aber das ist nicht so mein Problem.... Problem: Wie bekomme ich das Startmenü angepasst an die Fachgruppen? Also ich möchte Startmenüeinträge NUR sehen, wenn die Benutzer Mitglieder bestimmter Gruppen sind...

das IST vorher :D läuft bisher ja nur zum Probieren....

Hallo liebes Forum ! ich bräuchte da mal ein paar Tipps.... wir haben in unserer Schule einen neuen 2K8R2 Server, den ich nun einrichten darf. Ich habe Lehrer als User angelegt ADS und DNS sind auch da (noch nicht viel drin, ich bin bzgl. der Struktur noch unsicher). Alle haben servergespeicherte Profile. Pro Fach eine Gruppe angelegt, da ja jeder User mehreren Gruppen angehört. Beim Anmelden bekommt man im Startmenü die Programme verknüpft, die der jeweiligen Gruppe angehörig sind. Also im Prinzip ein Startmenü, das nach Benutzergruppen sortiert wird. Wie plane ich das am besten? OUs habe ich wieder verworfen, da ja jedes Kto nur einer OU angehört....

also wenn mir jemand nen Tipp geben kann, WIE es mit Zertifikaten geht ... das interessiert mich schon und halte ich auch für machbar. Problem: Es gibt wohl auch WLAN-Geräte, die das nicht können. Mein PDA z.B. kann das sicherlich nicht. Ich dachte, dass die NPS nicht nur die IP prüft, sondern auch, ob Sie vom DHCP vergeben wurde. Da gibt es in der NPS ja schon die Option "Profil", also das IP fälschen dürfte nicht gehen. MAC fälschen natürlich schon. ich will das Schummeln nicht prinzipiell unterbinden, aber ich habe anonyme Briefe bekommen, in denen steht "ich finde es ungerecht, dass einige mit Ihren Handys auf Toilette gehen und im Internet die Lösungen suchen". Da haben die irgendwie schon Recht....

ja, genau. Nicht authorisierte Hardware soll außen vor bleibe. Das muss doch irgendwie gehen - und das Problem müsste es doch eigentlich auch recht häufig geben, oder? Kann man denn per NPS irgendwie einstellen, dass der Zugriff gewährt wird, wenn die vom DHCP vergebene IP in einem bestimmten Beriech liegt? also "wenn IP nach dem Muster 172.16.20.x dann Zugriff gestatten". Wichtig dabei, dass die IP vom DHCP vergeben wurde (und kein Schlingel die IP fest eingestellt hat) Ich habe die möglichkeiten der Clientzertifikate auch noch nicht verstanden. Und wenn ich ehrlich bin, die des Serverzertifikats, dass da bei den NPS Vorgaben eingebunden wird, auch nicht :mad: Wenn ich jetzt einen PC, der nicht in der Domäne ist, per WP einbinden möchte, kommt immer die Fehlermeldung auf dem Client, dass das Serverzertifikat nicht überprüft werden konnte. Tatsächlich ist in den WLAN-Eigenschaften mein Zertifikatserver auch nicht vorhanden, doch wie kriege ich den da überhaupt rein?

Hallo liebes Forum, ich verwalte ein Schulnetz und versuche gerade, es ein wenig abzusichern. Derzeitiger Stand: Windows 2008 Server. Aufgesetzt mit AD und RADIUS. Einige Dutzend AP mit WPA-Extenden (EAP2). In der Domäne befinden sich derzeit ca. 10 Mitglieder (Domänencomputer) sowie ca. 100 Nicht-Domänenmitglieder (diverse private Lehrer- und Schüler-PCs, I-Phones, etc.). Alle PCs bekommen ihre IPs entweder dynamisch oder statisch von einem B-Netz 172.16.x.x, ich habe Reservierungen vorgenommen, um anhand der MAC-IDs ein wenig zu gruppieren. Ich habe RADIUS erfolgreich so konfiguriert, dass er NUR die Domänencomputer in das Netzwerk lässt. Problem: Täglich kommen einige hundert I-Phones etc. in das WLAN und legen unser Netz fast lahm. Der IP-Bereich für dynamische Vergaben ist ruckzuck so voll, dass keine IPs mehr zur Verfügung stehen. Die dynamische Vergabe soll nicht unterbunden werden, sondern nur bestimmten PCs / I-Phones / etc. zur Verfügungstehen. Die Reglementierung per Domänencomputer greift gut und sinnvoll, reicht aber nicht aus, da ich nicht alle zugelassenen Clients in die Domäne aufnehmen kann (es sind auch diverse Win7/XP Home Clients vorhanden). Bei Prüfungssituationen möchte ich auch die Möglichkeit haben, bestimmte Clients, die sonst Zugang haben, zu sperren. Benutzerauthentifizierung geht nicht, da so etwas wirklich binnen weniger Tage ausgetauscht wird. Wie gehe ich da am besten vor? Derzeit arbeite ich probehalber mit einer NPS pro MAC-ID, aber das werde ich einfach nicht handeln können. Mein erster Ansatz führte über DHCP-Bereiche, die ich in NPS ja verknüpfen kann. Eigentlich eine gute Idee, aber ich kann leider pro Netzwerk nur einen Bereich anlegen. Hilfe wäre toll, Tom

okay, trotzdem vielen Dank! Ich versuche das jetzt mal mit nem neuen Thread...

Ja, aber ihr habt das WLAN ja im Prinzip für Studenten frei, oder? Wenn ich einem Schüler für sein privates Notebook das WLAN freigebe, dann sind binnen weniger Tage hunderte I-Phones drin und legen das Netz fast lahm. Also ich kann nicht mit irgendeinem Key arbeiten, der nicht an das Gerät gebunden ist. Zudem würde ich gerne während der Prüfung alle Schüler-Geräte für Netzwerkzugriffe einfach sperren können (indem ich z.B. irgendeine Richtlinie temporär deaktiviere) Das geht so bei euch ja nicht, oder habe ich es mit CLAN usw. falsch verstanden?

Hm. Naja, du schriebst, ich kann einen oder mehrere Lease-Bereiche einrichten - daher hatte ich das nun versucht. Eigentlich will ich das nicht, aber wenn ich es könnte, wurde ich auf Bereich 1 per NPS das WLAN freigeben und auf Bereich 2 eben nicht. Eine Aufteilung in echte Subnetze (ich meine nicht VLAN) brauche ich eigentlich nicht. Wie VLANs eingerichtet werden, muss ich nun wohl mal schauen.... Ich dachte immer VLANs sind alle im gleichen Netz, nur per IP-Bereiche getrennt - damit man einem Switch sagen kann, was über welchen Port soll. Dann wäre es ja gut, wenn man mit DHCP die IPs in die richtigen Bereiche verteilt - das krieg ich nicht hin. Derzeit greift meine NPS über die MAC-ID, aber ich brauche wirklich für jeden WLAN-Client (der kein Computerkonto in der Domäne hat) eine eigene Richtlinie. Das möchte ich vermeiden. Die einzige Verknüpfung zwischen DHCP und NPS sehe ich in den Bereichsnamen. Ich versuche mal anders zu fragen: Wie würde man 100 PCs mit z.B. Windows Home per NPS vernünftig im Netzwerkzugriff beschränken? Bzw. 30-40 Iphones, von denen nur bestimmte ins WLAN sollen? Ich kann derzeit nur NPS mit einer Richtlinie pro MAC-ID, das ist extrem viel Aufwand.

Hei, vielen Dank, aber das mit den mehreren Bereichen rall ich nicht.. also mein server hat 172.16.0.1 / 255.255.0.0 und ich habe den Bereich 172.16.100.1 bis 172.16.255.254 vergeben. Ausgeschlossen sind 101.1 bis 255.254, dynamisch verteilt werden 100.1 bis 255.254 aber da kann ich keine weiteren Bereiche anlegen. Wenn ich einen neuen Bereich anlege mit 172.16.20.1 bis 172.16.20.254 gibts Mecker wegen Überschneidung. Liegt wohl daran, da gleiches Netz....

ne, mit DHCP abschirmen wollte ich nicht. ich wollte Bereiche in DHCP einrichten, anhand dere sich die NPS orientieren können. Ich habe gesehen, dass ich dort Richtlininen anhand der Bereiche einstellen kann. Ich würde dann anhand der MAC in DHCP eine Reservierung in einem Bereich vergeben, der dynamisch nichtzugänglich ist. kommt ein Client mit unbekannter MAC => dynmaische IP, keine NPS greift und WLAN gesperrt. kommt ein Client mit bekannter MAC => reservierte IP, dann greift eine NPS und gibt evt. WLAN frei. Ich kapier das mit den Bereichen bloß noch nicht. Da wir nur ein Netzwerk haben (172,16.x.x) - wie richte ich dann mehrere Bereiche darin ein? unser Problem ist, dass alle möglichen Leute mit Iphones etc. ins WLAN kommen und so munter Nachrichten austauschen, auch während Klausuren etc... da würde mir der Nummernblock auch nicht helfen, leider. Aber vielleicht gibt es eine bessere Idee...

Hallo liebes Forum, ich verwalte ein Schulnetz und versuche gerade, es ein wenig abzusichern. Derzeitiger Stand: Windows 2008 Server. Aufgesetzt mit AD und RADIUS. Einige Dutzend AP mit WPA-Extenden (EAP2). In der Domäne befinden sich derzeit ca. 10 Mitglieder (Domänencomputer) sowie ca. 100 Gast-PCs sowie diverse private Lehrer- und Schüler-PCs. Alle PCs bekommen ihre IPs entweder dynamisch oder statisch von einem B-Netz 172.16.x.x, ich habe Reservierungen vorgenommen, um anhand der MAC-IDs ein wenig zu gruppieren. Ich habe RADIUS erfolgreich so konfiguriert, dass er NUR die Domänencomputer in das Netzwerk lässt. Problem: Wie manage ich idealerweise den Zugang der Client-PCs ? Die haben teilweise Win7/XP/Home/Prof, also ich kann NICHT alle zu Domänencomputern machen. Ich habe verstanden, dass ich per NAS wieder einzelnen MAC-IDs Zugriff gewähren kann, was mir aber ziemlich unpraktisch erscheint. Daher meine Fragen: - Ich dachte, vielleicht per DHCP-Bereichen so etwas hinzubekommen. Klappt aber nicht, da mein Bereich 172.16.x.x nicht aufgeteilt werden kann. Muss/Soll ich da per subnets die Bereiche splitten? Also z.B. Bereich mit subnet 255.255.240.0 trennen - muss ich dann einen Router betrieben und den Clients auch das Subnet 255.255.0.0 zuweisen oder hat das damit nichts zu tun? - Welche - möglicherweise viel einfachere - Möglichkeit habe ich, nicht-Domänenmitglieder so zu identifizieren, dass ich Sie per RADIUS und NAS im Zugriff einschränken kann? Ich benötige drei "Gruppen" - Schule, Lehrer, Schüler - die dann für WLAN gezielt ein- und ausgeschaltet werden können. Es soll ohne Benutzerauthetifizierung funktionieren, da ich nicht für jeden Hansel ein Benutzerkonto anlegen möchte und außerdem sich sowas natürlich auch ruckzuck rumspricht. Hilfe wäre toll. Bitte um Nachsicht, bin im Thema Windows 2008 Server ziemlich neu, ist eigentlich gar nicht so mein Gebiet (meine letzten Aktionen waren auf NT4.0, da war das ja alles noch ziemlich anders....)

Hallo Sunny, wollte nur kurz bestätigen, dass dein Tip funktioniert hat. Hab vielen Dank für deinen Hinweis.

Hmm - die User welden sich aber an XP und W7 an ...

Hi Sunny, ich teste mal morgen den neuen User und berichte dann. Ist auf jeden Fall eine gute Idee ! Was wäre denn dann angesagt ? Keine servergespeicherten Profile ?