Jump to content

Dateizugriff ohne Berechtigung


Go to solution Solved by NilsK,
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Tach zusammen,

 

ich habe bei uns im Netzwerk ein Phänomen und bisher keine Lösung gefunden.

Ziel:

Ein externen Mitarbieter soll über ein VPN auf einen bestimmten Server (Bsp: srvxyz) Zugriff erlangen, sich an diesem Server mit einem AD Benutzer anmelden, dann aber von dort aus auf keinerlei Netzwerkfreigaben zugreifen.

Erstelle Konfiguration:

1. Benutzer xyz im AD angelegt. Jede Gruppenmitgliedschaft (auch Domänenbenutzer) entfernt.

2. Gruppe VPNxyz angelegt (global / Sicherheit), einziges Mitglied in der Gruppe ist xyz

post-50671-0-75648600-1472545478_thumb.jpg

3. Firewallregel erstellt, damit Gruppe VPNxyz auf den Server zugreifen kann

4. xyz in die Gruppe der lokalen Administratoren gepackt

soweit so gut, jetzt aber mein Problem:

Der Benutzer kann sich an dem gewünschten Server anmelden. Wenn er im Win-Explorer irgendeine Freigabe Bsp: \\srvblablabla\ angiebt und auf diesem Server tatsächlich freigaben existieren, kann er auf diese mindestens lesend zugreifen, obwohl weder der Benutzer xyz noch die Gruppe VPNxyz oder die Gruppe "Jeder" an dieser Freigabe eine Berechtigung hat.

 

Nehme ich mir nun irgendeine Datei aus unserem Netzwerk und schaue mir die effektiven Berechtigungen an, dann hat er sogar Schreibrechte an der Datei und ich kann mir nicht erklären, woran das liegt.

post-50671-0-58248000-1472479559_thumb.jpg

Normalerweise dürfte der Benutzer nur auf dem ihm zugewiesenen Server etwas ändern dürfen und sonst nicht.

 

Hat jemand eine Idee, warum dem so ist?

Meine Suche im Netz brachte bisher nur Mist zutage.

Edited by Supergunman
Link to comment

Moin,

 

ach so, OK. Dass der Zugriff auf einen anderen Server erfolgt, hatte ich aus der Beschreibung nicht ersehen.

 

Dann fragen wir doch mal so: Welche Berechtigungen sind denn genau am Ziel erteilt, also etwa in dem Beispiel, das du anführst?

 

Gruß, Nils

PS. Warum genau machst du einen VPN-User zum lokalen Admin eines Servers? Und warum entfernst du einen Domänenuser aus der Gruppe "Domänen-Benutzer"?

Link to comment

Moin,

 

das mit  der SID hab ich heute als erstes geprüft, da es sich tatsächlich um VM's aus Vorlagen handelt. Die SID ist definitiv nicht identisch.

 

@Nils:

1. Welches Ziel möchtest Du genau wissen? Das, wo er hin darf, also der srvxyz aus dem Beispiel oder das der Netzwerkfreigabe, auf die er nicht soll.

2. Der VPN-Benutzer soll Adminrechte auf dem Server bekommen, weil er dort für uns Programmierungen machen soll, er soll aber eben KEINEN Zugriff auf irgendwelche anderen Firmendaten im Netzwerk erlangen.

Link to comment

Moin,

 

da wir wissen möchten, warum der User an Daten kommt, wo er nicht ransoll, möchte ich, dass du die Berechtigungen dieser Daten auflistest.

 

Zu 2.: Das ist eine ausgesprochen schlechte Idee. Adminrechte sind Adminrechte, und wenn der Server in der Domäne ist, ist es fast* immer möglich, auf die Domäne überzugreifen - meist sehr schnell mit Domänen-Admin-Rechten. Von den direkten Einflussmöglichkeiten auf dem Server selbst fange ich gar nicht erst an.

 

Gruß, Nils

* bevor wir uns an dem "fast" aufhalten: Meiner Erfahrung nach bezeichnet dieses "fast" einen Wert, der von 100 Prozent ohne Spezialwerkzeug nicht zu unterscheiden ist.

Link to comment

Dann will ich das mal versuchen, darzustellen:

So sehen die Gruppen und Benutzernamen aus, die an dem Zielverzeichnis, wo er nicht hin soll, angegeben sind:

post-50671-0-88983000-1472543761_thumb.png

 

Natürlich sind im geschwärzten Bereich Unternehmensdaten, die ich nicht veröffentlichen darf. Im Bereich Administratoren steht srvblafasel, um beim Beispiel zu bleiben, nicht srvxyz.

Link to comment
  • Solution

Moin,

 

die Gruppe "Benutzer" erlaubt den Zugriff. Dort sind regelmäßig die "Authentifizierten Benutzer" Mitglied, was effektiv dasselbe ist wie "Jeder".

 

Du wirst also nicht umhinkommen, ein passendes Berechtigungskonzept aufzubauen und auszurollen, um deine Anforderung umzusetzen.

 

Gruß, Nils

PS. den Namen deiner Domäne kennen wir ja schon ...

Edited by NilsK
Link to comment
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...