Jump to content
Sign in to follow this  
Mag

Basis Ordner nicht verbinden

Recommended Posts

Hallo Leute,

 

ich habe derzeit keine Idee mehr und hoffe auf Eure Unterstützung. Es gab hier schon einmal die Frage, aber leider ohne Lösung.

 

Ich (verantwortlich für die AD) habe die Anfrage erhalten, dass bei bestimmten PCs keine Netzlaufwerke verbunden werden sollen. Ich finde allerdings keine Lösung für den Basisordner (der soll grundsätzlich vorhanden bleiben). Netzlaufwerke generell (mittels GPO) schalte ich über das Loopback Verfahren aus. Das funktioniert.

Da der Basisordner auch ein Domänenbasierter DFS Pfad ist, kann ich auch nicht einfach mit einem Host-Eintrag "fummeln"

 

Hintergrund:

Es gibt hier einen "gesicherten Bereich", der kein SMB in Richtung Fileserver machen darf (auf Netzwerkseite eingegrenzt). Und das Problem ist nun, dass die Anmeldung ewig dauert.

 

Ich hoffe ich habe an alle Randbedingungen die zum Überlegen notwendig sind, gedacht habe.

 

Danke schonmal!

 

Grüße

Mag

Share this post


Link to post
Share on other sites

 

Es gibt hier einen "gesicherten Bereich", der kein SMB in Richtung Fileserver machen darf

 

Moin,

 

Du weisst, kein Netylaufwerk, das ist keine wirkliche Sicherheitsmassnahme, jeman kønnte sich selbst ein netylaufwerk bauen, åber den UNC-Pfad mit dem Explorer zugreifen?

 

Netylaufwerk ist Benutyerkontext, es wære also dem Benutzer die Berechtigung yum Zyugriff auf die Freigabe, dem Ordner zu verweigern, ihm keine Berechtigung darauf erteilen.

Edited by lefg

Share this post


Link to post
Share on other sites

Ich habe mich vielleicht mißverständlich ausgedrückt.

 

Der gesicherte Bereich ist vlan technisch abgeschottet und SMB ist verboten! Funktioniert also nicht. Und daher kommen dann die langen Wartezeiten, wenn die normalen Netz- und Homelaufwerke verbunden werden bzw. wenn der Rechner versucht, das Laufwerk zu verbinden.

 

Es handelt es sich dabei um die normalen AD User, die an allen Rechner ihr Basisordner haben sollen, nicht aber an diesen speziellen Rechner.

Share this post


Link to post
Share on other sites

Probier mal lokal auf dem PC ne Firewall-Regel "Outbound block 445, remote-IP Fileserver". Das müßte Windows recht schnell schnallen, daß es da nicht hinkommt...

 

Alternativ werden die SMB-Pakete vermutlich an einer HW-Firewall gedroppt. Ich bin da kein Spezialist, aber wenn diese FW nicht droppen würde, sondern Destination Unreachable oder so was zurückschickt, dann geht's auch schneller.

Share this post


Link to post
Share on other sites

Klare, eindeutige Problembeschreibungen sind schon was feines...

 

Mal um die Ecke gedacht. Müsste man nicht eine Gruppe von Computern bauen können welche die LaufwerksGPO nicht lesen darf? Die Computer müssen doch seit kurzem auch die UserGPOs lesen können...

Share this post


Link to post
Share on other sites

Guten Morgen,

 

danke für die Tipps. Ich werde sie heute noch Testen und rückmeldung geben. Die Idee mit der lokalen FW klingt vielversprechend.

Ich war bemüht eine komplette, aber nicht zu lange Fehlerbeschreibung abzuliefern. Versteht sich ja von selbst ...

 

Grüße Mag

 

UPDATE: In der lokalen Firewall die beiden DFS Server gesperrt funktioniert tadellos!! Danke.

Edited by Mag

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...