Jump to content

Dateizugriff ohne Berechtigung


Direkt zur Lösung Gelöst von NilsK,
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Tach zusammen,

 

ich habe bei uns im Netzwerk ein Phänomen und bisher keine Lösung gefunden.

Ziel:

Ein externen Mitarbieter soll über ein VPN auf einen bestimmten Server (Bsp: srvxyz) Zugriff erlangen, sich an diesem Server mit einem AD Benutzer anmelden, dann aber von dort aus auf keinerlei Netzwerkfreigaben zugreifen.

Erstelle Konfiguration:

1. Benutzer xyz im AD angelegt. Jede Gruppenmitgliedschaft (auch Domänenbenutzer) entfernt.

2. Gruppe VPNxyz angelegt (global / Sicherheit), einziges Mitglied in der Gruppe ist xyz

post-50671-0-75648600-1472545478_thumb.jpg

3. Firewallregel erstellt, damit Gruppe VPNxyz auf den Server zugreifen kann

4. xyz in die Gruppe der lokalen Administratoren gepackt

soweit so gut, jetzt aber mein Problem:

Der Benutzer kann sich an dem gewünschten Server anmelden. Wenn er im Win-Explorer irgendeine Freigabe Bsp: \\srvblablabla\ angiebt und auf diesem Server tatsächlich freigaben existieren, kann er auf diese mindestens lesend zugreifen, obwohl weder der Benutzer xyz noch die Gruppe VPNxyz oder die Gruppe "Jeder" an dieser Freigabe eine Berechtigung hat.

 

Nehme ich mir nun irgendeine Datei aus unserem Netzwerk und schaue mir die effektiven Berechtigungen an, dann hat er sogar Schreibrechte an der Datei und ich kann mir nicht erklären, woran das liegt.

post-50671-0-58248000-1472479559_thumb.jpg

Normalerweise dürfte der Benutzer nur auf dem ihm zugewiesenen Server etwas ändern dürfen und sonst nicht.

 

Hat jemand eine Idee, warum dem so ist?

Meine Suche im Netz brachte bisher nur Mist zutage.

bearbeitet von Supergunman
Link zu diesem Kommentar

Moin,

 

ach so, OK. Dass der Zugriff auf einen anderen Server erfolgt, hatte ich aus der Beschreibung nicht ersehen.

 

Dann fragen wir doch mal so: Welche Berechtigungen sind denn genau am Ziel erteilt, also etwa in dem Beispiel, das du anführst?

 

Gruß, Nils

PS. Warum genau machst du einen VPN-User zum lokalen Admin eines Servers? Und warum entfernst du einen Domänenuser aus der Gruppe "Domänen-Benutzer"?

Link zu diesem Kommentar

Moin,

 

das mit  der SID hab ich heute als erstes geprüft, da es sich tatsächlich um VM's aus Vorlagen handelt. Die SID ist definitiv nicht identisch.

 

@Nils:

1. Welches Ziel möchtest Du genau wissen? Das, wo er hin darf, also der srvxyz aus dem Beispiel oder das der Netzwerkfreigabe, auf die er nicht soll.

2. Der VPN-Benutzer soll Adminrechte auf dem Server bekommen, weil er dort für uns Programmierungen machen soll, er soll aber eben KEINEN Zugriff auf irgendwelche anderen Firmendaten im Netzwerk erlangen.

Link zu diesem Kommentar

Moin,

 

da wir wissen möchten, warum der User an Daten kommt, wo er nicht ransoll, möchte ich, dass du die Berechtigungen dieser Daten auflistest.

 

Zu 2.: Das ist eine ausgesprochen schlechte Idee. Adminrechte sind Adminrechte, und wenn der Server in der Domäne ist, ist es fast* immer möglich, auf die Domäne überzugreifen - meist sehr schnell mit Domänen-Admin-Rechten. Von den direkten Einflussmöglichkeiten auf dem Server selbst fange ich gar nicht erst an.

 

Gruß, Nils

* bevor wir uns an dem "fast" aufhalten: Meiner Erfahrung nach bezeichnet dieses "fast" einen Wert, der von 100 Prozent ohne Spezialwerkzeug nicht zu unterscheiden ist.

Link zu diesem Kommentar

Dann will ich das mal versuchen, darzustellen:

So sehen die Gruppen und Benutzernamen aus, die an dem Zielverzeichnis, wo er nicht hin soll, angegeben sind:

post-50671-0-88983000-1472543761_thumb.png

 

Natürlich sind im geschwärzten Bereich Unternehmensdaten, die ich nicht veröffentlichen darf. Im Bereich Administratoren steht srvblafasel, um beim Beispiel zu bleiben, nicht srvxyz.

Link zu diesem Kommentar
  • Beste Lösung

Moin,

 

die Gruppe "Benutzer" erlaubt den Zugriff. Dort sind regelmäßig die "Authentifizierten Benutzer" Mitglied, was effektiv dasselbe ist wie "Jeder".

 

Du wirst also nicht umhinkommen, ein passendes Berechtigungskonzept aufzubauen und auszurollen, um deine Anforderung umzusetzen.

 

Gruß, Nils

PS. den Namen deiner Domäne kennen wir ja schon ...

bearbeitet von NilsK
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...