Jump to content
Melde dich an, um diesen Inhalt zu abonnieren  
Supergunman

Dateizugriff ohne Berechtigung

Empfohlene Beiträge

Tach zusammen,

 

ich habe bei uns im Netzwerk ein Phänomen und bisher keine Lösung gefunden.

Ziel:

Ein externen Mitarbieter soll über ein VPN auf einen bestimmten Server (Bsp: srvxyz) Zugriff erlangen, sich an diesem Server mit einem AD Benutzer anmelden, dann aber von dort aus auf keinerlei Netzwerkfreigaben zugreifen.

Erstelle Konfiguration:

1. Benutzer xyz im AD angelegt. Jede Gruppenmitgliedschaft (auch Domänenbenutzer) entfernt.

2. Gruppe VPNxyz angelegt (global / Sicherheit), einziges Mitglied in der Gruppe ist xyz

post-50671-0-75648600-1472545478_thumb.jpg

3. Firewallregel erstellt, damit Gruppe VPNxyz auf den Server zugreifen kann

4. xyz in die Gruppe der lokalen Administratoren gepackt

soweit so gut, jetzt aber mein Problem:

Der Benutzer kann sich an dem gewünschten Server anmelden. Wenn er im Win-Explorer irgendeine Freigabe Bsp: \\srvblablabla\ angiebt und auf diesem Server tatsächlich freigaben existieren, kann er auf diese mindestens lesend zugreifen, obwohl weder der Benutzer xyz noch die Gruppe VPNxyz oder die Gruppe "Jeder" an dieser Freigabe eine Berechtigung hat.

 

Nehme ich mir nun irgendeine Datei aus unserem Netzwerk und schaue mir die effektiven Berechtigungen an, dann hat er sogar Schreibrechte an der Datei und ich kann mir nicht erklären, woran das liegt.

post-50671-0-58248000-1472479559_thumb.jpg

Normalerweise dürfte der Benutzer nur auf dem ihm zugewiesenen Server etwas ändern dürfen und sonst nicht.

 

Hat jemand eine Idee, warum dem so ist?

Meine Suche im Netz brachte bisher nur Mist zutage.

bearbeitet von Supergunman

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Moin,

 

4. xyz in die Gruppe der lokalen Administratoren gepackt

 

du weißt, dass das die Antwort ist und willst uns nur testen, oder?

 

Gruß, Nils

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Moin,

 

ach so, OK. Dass der Zugriff auf einen anderen Server erfolgt, hatte ich aus der Beschreibung nicht ersehen.

 

Dann fragen wir doch mal so: Welche Berechtigungen sind denn genau am Ziel erteilt, also etwa in dem Beispiel, das du anführst?

 

Gruß, Nils

PS. Warum genau machst du einen VPN-User zum lokalen Admin eines Servers? Und warum entfernst du einen Domänenuser aus der Gruppe "Domänen-Benutzer"?

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Moin,

 

Aus  der Hüfte geschossen:  Wurden die Server vielleicht  geklont ohne Sysprep mit einer neuen SID laufen  zu lassen?

 

ach ja, in der Tat, das ist einer der wenigen Fälle, in denen das tatsächlich sein könnte.

 

Gruß, Nils

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Moin,

 

das mit  der SID hab ich heute als erstes geprüft, da es sich tatsächlich um VM's aus Vorlagen handelt. Die SID ist definitiv nicht identisch.

 

@Nils:

1. Welches Ziel möchtest Du genau wissen? Das, wo er hin darf, also der srvxyz aus dem Beispiel oder das der Netzwerkfreigabe, auf die er nicht soll.

2. Der VPN-Benutzer soll Adminrechte auf dem Server bekommen, weil er dort für uns Programmierungen machen soll, er soll aber eben KEINEN Zugriff auf irgendwelche anderen Firmendaten im Netzwerk erlangen.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Moin,

 

da wir wissen möchten, warum der User an Daten kommt, wo er nicht ransoll, möchte ich, dass du die Berechtigungen dieser Daten auflistest.

 

Zu 2.: Das ist eine ausgesprochen schlechte Idee. Adminrechte sind Adminrechte, und wenn der Server in der Domäne ist, ist es fast* immer möglich, auf die Domäne überzugreifen - meist sehr schnell mit Domänen-Admin-Rechten. Von den direkten Einflussmöglichkeiten auf dem Server selbst fange ich gar nicht erst an.

 

Gruß, Nils

* bevor wir uns an dem "fast" aufhalten: Meiner Erfahrung nach bezeichnet dieses "fast" einen Wert, der von 100 Prozent ohne Spezialwerkzeug nicht zu unterscheiden ist.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Dann will ich das mal versuchen, darzustellen:

So sehen die Gruppen und Benutzernamen aus, die an dem Zielverzeichnis, wo er nicht hin soll, angegeben sind:

post-50671-0-88983000-1472543761_thumb.png

 

Natürlich sind im geschwärzten Bereich Unternehmensdaten, die ich nicht veröffentlichen darf. Im Bereich Administratoren steht srvblafasel, um beim Beispiel zu bleiben, nicht srvxyz.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Moin,

 

die Gruppe "Benutzer" erlaubt den Zugriff. Dort sind regelmäßig die "Authentifizierten Benutzer" Mitglied, was effektiv dasselbe ist wie "Jeder".

 

Du wirst also nicht umhinkommen, ein passendes Berechtigungskonzept aufzubauen und auszurollen, um deine Anforderung umzusetzen.

 

Gruß, Nils

PS. den Namen deiner Domäne kennen wir ja schon ...

bearbeitet von NilsK

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Die Gruppe "Benutzer" ist nur eine lokale Gruppe, auf dem srvblafasel. Auf dem srvxyz sollte diese Gruppe eine andere SID haben und somit nicht netzwerkübergreifen funktionieren.

 

Verdammte Tat, wo ist mir denn da ein kleiner Schnitzer mit der Domäne passiert?

Egal.

bearbeitet von Supergunman

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Moin,

 

dann schau dir doch mal die Mitglieder der Gruppe an ... kleiner Tipp: Es ist ein Domänenrechner.

net localgroup Benutzer

Gruß, Nils

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden
Melde dich an, um diesen Inhalt zu abonnieren  

×