Anmana 10 Geschrieben 19. März 2009 Melden Teilen Geschrieben 19. März 2009 Guten Abend, ich befinde mich derzeit in einer Umschulung zum IT-SE und derzeit arbeiten wir einen fiktiven Kundenauftrag ab. Umschulungsintern sind wir damit auch schon soweit fertig, privat hingegen stelle ich die Situation mit VirtualBox nach und versuche differenzierter an die Sache ran zugehen als sie in der Umschulung gewünscht wurde. Situation Ein Kunde möchte ein internes Netzwerk ohne WAN/GAN Zugang. Dafür sollen 4 Clients bereitgestellt werden sowie ein Server. Verwaltet werden die Clients in einer Active Domain Umgebung, dabei soll eine permanente Stromversorgung des Servers vor dem Verlust von relevanten Daten der Servergespeicherten Clientprofile mit Außnahme eines Lokal gespeicherten Laptopclients gewährleistet sein. Die eingesetzte Betriebssystem Software soll Microsoftbasierend sein, daher werden die Clients mit WindowsXP und der Server mit Microsoft Server 2003 ausgestattet. Ein Gruppenlaufwerk mit differenzierten Nutzungsrechten über die NTFS-Sicherheitsrichtlinien soll eingerichtet werden. Sowohl der DHCP-Server, der DNS-Server und der Domänencontroller sind erfolgreich eingerichtet worden von mir, alle Profile sind eingerichtet worden. Lediglich das überführen der Clients in die Domäne fehlt noch. Die Clients sollen aber unterschiedliche Zugriffsberechtigungen auf ein Gruppenlaufwerk haben und da fehlt mir besonders bei einem Client eine klare Vorstellung davon, wie dies zu bewerkstelligen sein könnte. Hier erstmal das generelle dazu: Client1 dient der Empfangsdame zur schnellen Einischt in Unternehmenswichtigen Unterlagen, dazu gehört auch die Einsicht in die Unterlagen von Client2 und Client3. Eine Schreibberechtigung in einem seperatem Ordner auf dem jeweiligem Clientrechner wird empfohlen. Dies ist einfach über eine NTFS-Berechtigung zu erledigen und stellt für mich (mittlerweile :rolleyes:) kein Problem mehr dar. ClientPC2 und ClientPC3 Client dient zum Erarbeiten und Dokumentieren unternehmensrelevanter Informationen sowie laufenden Vorgängen. Einsicht anderer Clients (Client3 zu Client2/ Client2 zu Client3) ist nur mit authentifiziertem Login erwünscht, Ausnahme bildet dabei Client1. Empfohlen: Netzwerkfreigabe für Client1 der Servergespeicherten Daten des Client2 und Client3 Profils ohne Schreibberechtigung Das sollte ich auch noch über den "einfachen" Weg der NTFS-Berechtigung hinbekommen, leichtes Kopfzerbrechen habe ich allerdings mit der Authentifizierungsgeschichte. Allerdings bin ich ein "learning by doing" Mensch und das weitaus größte Problem kommt jetzt. ClientPC4 (LAPTOP) Client dient zu Veranschaulichung von Betriebsrelevanten Unterlagen und Vorgängen bei Kunden und Unternehmenspartnern. Einsicht in servergespeicherten Clientprofilen muss gewährleistet sein, darf aber nur mit authentifiziertem Login erfolgen. Besonderheit: Es muss gewährleistet sein, das der lokal angemeldete Client4 sich mittels einer authentifizierung als Client2 oder Client3 Servergespeicherte Profildaten runterladen kann um diese gegenüber Kunden und Partnern in fremden Räumlichkeiten vorführen zu können. Da Clientnutzer 2+3 sich ja in der Domäne anmelden können wäre es kein Problem die jeweiligen Servergespeicherten Profile in einen lokalen Ordner runter zuladen aber das haben wir in der Umschulung gemacht und kam mir nicht sehr elegant vor. Da wir leider keinen Serverkurs im Sinne einer folgenden Microsoftprüfung erhalten werden, wende ich mich mit dem Gedankenspiel nun an euch und bitte euch um Anregungen. Ich muss auch keine Lösung dafür präsentiert bekommen aber ein paar Denkanstöße wären schon super :) Falls jemand Interesse hat wie ich das ganze generell bisher aufgebaut habe um einen besseren Einblick zu erhalten, der möge mir eine PN schreiben. Dann schicke ich die Projektdokumentation die ich nebenbei parallel in "Nicht 08/15 Umschulungskriterien" angefertig habe zu. Zitieren Link zu diesem Kommentar
NilsK 2.918 Geschrieben 20. März 2009 Melden Teilen Geschrieben 20. März 2009 Moin, leider sind die Begriffe, die du verwendest, nicht eindeutig. Ein "Client" bezeichnet üblicherweise einen Rechner, du meinst aber anscheinend meistens einen "User". Dadurch ist mir auch nicht ganz klar, was du mit "Profil" meinst. Geht es wirklich darum, dass ein anderer User Zugriff auf das Profil bekommen soll, oder geht es um einen anderen Ordner auf dem Dateiserver? Das Profil ist normalerweise ein rein persönlicher Bereich, den man nicht für andere Benutzer freigibt. Daraus folgend ist leider deine Aufgabenstellung nicht ganz klar. Man könnte sie so verstehen: An den Rechner "Client4" sollen sich auch User2 und User3 mit ihren jeweiligen servergespeicherten Profilen anmelden können. Das ist allerdings trivial und funktioniert von selbst, sobald "Client4" (der Rechner) Mitglied der Domäne ist. Also bitte noch mal genauer beschreiben, was du erreichen willst. Gruß, Nils Zitieren Link zu diesem Kommentar
Anmana 10 Geschrieben 20. März 2009 Autor Melden Teilen Geschrieben 20. März 2009 Hallo und vielen Dank erstmal für die Antwort. Was die Begriffe angeht...das fließt erst so nach und nach in meine Sprache mit ein, sry für unverständlichkeiten. Client1, Client2 und Client3 sind jeweils nur einem Benutzer zugeordnet und reine Domänenrechner. Der Client4 ist ein Laptop und soll Inhalte der Clientnutzer 2 und 3 auf einem lokalem Profil speichern können, das Login soll allerdings über die Domäne mit dem jeweiligem Benutzerkonto erfolgen (also Nutzer2 und Nutzer 3 der Clientrechner 2 und 3). Das lokal gespeicherte Profil auf dem Laptop soll ebenfalls Mitglied der Domäne sein aber mit einem weiterem Profil -> Nutzer 4. Meine Frage zielte letztendlich darauf ob es möglich ist eine Authentifizierung einzubauen, die es dem Laptopnutzer ermöglicht sich vom Laptop aus als Nutzer 4 Daten von Nutzer 3 oder 2 lokal auf dem Laptop zu ziehen wenn dieser für eine Präsentation außer Haus mitgenommen werden soll. Darüber hinaus denke ich noch darüber nach, ob der Laptopclient über 2 verschiedene Ordner verfügen soll, die über den Windowseigenen Verschlüsselungsmodus verfügen damit Nutzer 2 und Nutzer 3 nicht auf die Laptop gespeicherten Daten sehen können. Die jeweilige authentifizierung würde dann über ein Zertifikat erfolgen, dass seperat auf einem Stick liegen würde. Aber das ist eine andere Geschichte. Vielleicht ist es ja auch vollkommender Quatsch den ich da Versuche oder schlicht nicht möglich mit einem Microsoftssystem oder viel zu kompliziert gedacht aber ich möchte halt soviel wie möglich lernen, vorallem in dem Bereich und da wir ja wie gesagt keinen expliziten Serverkurs bekommen werden wende ich eben die Trial and Error Methode daheim an. Ich hoffe, dass ich es jetzt ein wenig durchschaubarer formuliert habe und der Sachverhalt nun deutlich geworden ist. Etwas zu beschreiben wovon man noch nicht wirklich einen Plan von hat fällt manchmal doch recht schwer :rolleyes: Grüße Zitieren Link zu diesem Kommentar
NilsK 2.918 Geschrieben 20. März 2009 Melden Teilen Geschrieben 20. März 2009 Moin, Der Client4 ist ein Laptop und soll Inhalte der Clientnutzer 2 und 3 auf einem lokalem Profil speichern können, das Login soll allerdings über die Domäne mit dem jeweiligem Benutzerkonto erfolgen (also Nutzer2 und Nutzer 3 der Clientrechner 2 und 3). gut, das ist Standard. Das lokal gespeicherte Profil auf dem Laptop soll ebenfalls Mitglied der Domäne sein aber mit einem weiterem Profil -> Nutzer 4. Jetzt geht es noch weiter durcheinander. Ein Profil ist ein Dateiordner und eine gespeicherte Registry-Datei (für Desktop-Einstellungen usw.), die einem bestimmten Benutzerkonto zugeordnet sind und nur für diesen Berechtigungen haben. Du meinst mit "Profil" aber offenbar noch was anderes. Hier musst du also bitte noch mal erklären, was du meinst. Meine Frage zielte letztendlich darauf ob es möglich ist eine Authentifizierung einzubauen, die es dem Laptopnutzer ermöglicht sich vom Laptop aus als Nutzer 4 Daten von Nutzer 3 oder 2 lokal auf dem Laptop zu ziehen wenn dieser für eine Präsentation außer Haus mitgenommen werden soll. Das ist keine Frage der Authentifizierung, sondern der Berechtigungen. Wenn Nutzer 2 und 3 Daten irgendwo ablegen, wo Nutzer 4 Zugriffsrechte hat, kann dieser die Daten auch kopieren. Darüber hinaus denke ich noch darüber nach, ob der Laptopclient über 2 verschiedene Ordner verfügen soll, die über den Windowseigenen Verschlüsselungsmodus verfügen damit Nutzer 2 und Nutzer 3 nicht auf die Laptop gespeicherten Daten sehen können. Das geht. Wenn man es professionell nutzen will, ist das aber nicht trivial, es gehört einiges an Planung dazu. Die jeweilige authentifizierung würde dann über ein Zertifikat erfolgen, dass seperat auf einem Stick liegen würde. Das wiederum wirst du mit Bordmitteln nicht hinbekommen. Gruß, Nils Zitieren Link zu diesem Kommentar
Anmana 10 Geschrieben 21. März 2009 Autor Melden Teilen Geschrieben 21. März 2009 Meine Frage zielte letztendlich darauf ob es möglich ist eine Authentifizierung einzubauen, die es dem Laptopnutzer ermöglicht sich vom Laptop aus als Nutzer 4 Daten von Nutzer 3 oder 2 lokal auf dem Laptop zu ziehen wenn dieser für eine Präsentation außer Haus mitgenommen werden soll. Das ist keine Frage der Authentifizierung, sondern der Berechtigungen. Wenn Nutzer 2 und 3 Daten irgendwo ablegen, wo Nutzer 4 Zugriffsrechte hat, kann dieser die Daten auch kopieren. Genau das möchte ich mittels einer Authentifizierung lösen. Nutzer 4 soll nicht wahrlos die Daten von Nutzer 2 und 3 einsehen und kopieren können (denn ich denke, dass damit die Regelung über NTFS-Berechtigungen gemeint ist) sondern genau da möchte ich, dass der Nutzer 4 (das Laptopprofil eben) nur entsprechend des gerade am Laptop sitzenden Nutzers die Daten einsehen und kopieren darf. Nutzer 3 der gerade am Laptop sitzt darf also nicht die Daten von Nutzer 2 einsehen können und umgekehrt. Genau DA möchte ich eine Authentifizierung einbauen wenn das geht. Zitieren Link zu diesem Kommentar
NilsK 2.918 Geschrieben 22. März 2009 Melden Teilen Geschrieben 22. März 2009 Moin, wie schon gesagt: Da gehen bei dir die Begriffe sehr durcheinander und daher auch die Vorstellung von den Szenarien und Möglichkeiten. Was du beschreibst, ist nun mal keine Authentifizierungsfrage. Authentifizierung ist - vereinfacht gesagt - die Anmeldung an einem Rechner. Du sprichst hier aber eher von Autorisierung: Worauf darf der jeweilige User zugreifen. Deine Idee, dass - ich gebe es mal so wieder, wie ich es verstehe - an dem Laptop User 2 oder 3 angemeldet ist und dann User 4 von einem anderen Rechner aus nur auf die Daten des gerade auf dem Laptop angemeldeten Users zugreifen darf, lässt sich nicht umsetzen. Mir fiele auch kein Praxisszenario ein, in dem das Sinn ergeben könnte. Gruß, Nils Zitieren Link zu diesem Kommentar
Anmana 10 Geschrieben 22. März 2009 Autor Melden Teilen Geschrieben 22. März 2009 Hm, also ich meine es genau umgekehrt, wie Dein letzter Absatz es formuliert hat. User 4 der am Laptop sitzt muss gleich außer Haus wegen einer Präsentation und hat als User 3 Daten auf dem Server liegen. Damit User 4 vom Laptop aus Zugriff auf seine Daten hat die auf dem Server liegen müßte er sich ja als User 3 in der domäne anmelden und da wollte ich wissen, ob man dort eine autorisation einfügen könnte damit User 4 sich gar nicht erst abmelden und als user 3 autorisieren müsste. An dieser Stelle möchte ich Dir aber erstmal ganz herzlich Dankeshön sagen, dass Du Dir so außdauernd Zeit nimmst dafür, auch wenn es unter Umständen nicht realisierbar ist :) Grüße Zitieren Link zu diesem Kommentar
NilsK 2.918 Geschrieben 24. März 2009 Melden Teilen Geschrieben 24. März 2009 Moin, User 4 der am Laptop sitzt muss gleich außer Haus wegen einer Präsentation und hat als User 3 Daten auf dem Server liegen. mir ist völlig unklar, was du damit meinen könntest. Ist das nun User4 oder User3? Eine multiple Persönlichkeit? :confused: Damit User 4 vom Laptop aus Zugriff auf seine Daten hat die auf dem Server liegen müßte er sich ja als User 3 in der domäne anmelden und da wollte ich wissen, ob man dort eine autorisation einfügen könnte damit User 4 sich gar nicht erst abmelden und als user 3 autorisieren müsste. Ich habe das Gefühl, dass dir das ganze Benutzer- und Rechtesystem von Windows immer noch nicht vertraut ist. Damit solltest du dich in Ruhe noch mal beschäftigen. Wie gesagt: Wenn Benutzer Daten gemeinsam nutzen wollen, müssen diese an einer Stelle liegen, an der alle Benutzer Zugriff haben. Dass eine Person mit mehreren Benutzerkonten arbeitet, ist ein nicht erwünschtes Szenario. An dieser Stelle möchte ich Dir aber erstmal ganz herzlich Dankeshön sagen, dass Du Dir so außdauernd Zeit nimmst dafür, auch wenn es unter Umständen nicht realisierbar ist :) Gern. Trotzdem solltest du dir in Ruhe die Grundlagen aneignen und erst mal die üblichen Szenarien verstehen, bevor du dich an die Ausnahmen wagst. Gruß, Nils Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.