Jump to content

Empfohlene Beiträge

Hi,

 

wir haben ein paar externe Mitarbeiter, die im AD als Domainuser eingerichtet sind.

Sie sollen auf einen Server nicht zugreifen dürfen.

 

Wie kann kann man das generell verhindern, ausser über Rechte in Dateisystem.

Gibt es da eine globale Einstellung?

 

Gruss

 

Rakli

 

Server 2008

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Es ist ein Server 2008, der als  File Server arbeitet.

Die externen Mitarbeiter sollen auf die Dateien keinen Zugriff haben.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Hi,

 

dafür sind doch NTFS (und Freigabeberechtigungen) da. Oder sind die Freigaben / NTFS Rechte auf Jeder, Authenticated Users und / oder Domain Users?

 

Gruß

Jan

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Moin, vielleicht passt das ja:

https://www.windowspro.de/wolfgang-sommergut/anmelden-bestimmten-pcs-fuer-benutzer-gruppen-verweigern

habe damit vor 10+ Jahren mal rumgemacht und meine, das es da mal beide Versionen gab, eine Liste für Computer erlauben und eine Liste für Computer verbieten, evtl. an anderer Stelle (VPN etc.).

Ob das auch für Freigaben wirkt kann ich leider auch nicht mehr sicher sagen, sollte wohl, aber man weiss ja nie ob man genau so denkt wie die Microsoftler.

bearbeitet von Jim di Griz
Ergänzung

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
vor 17 Stunden schrieb testperson:

Hi,

 

dafür sind doch NTFS (und Freigabeberechtigungen) da. Oder sind die Freigaben / NTFS Rechte auf Jeder, Authenticated Users und / oder Domain Users?

 

Gruß

Jan

Standardmässig haben die Domainuser Rechte auf neu erstellte Verzeichnisse. Man müsste also jedesmal den "Externen" user das recht entziehen.
Wer denkt aber daran in zwei Jahren :-)

vor 13 Stunden schrieb Jim di Griz:

Moin, vielleicht passt das ja:

https://www.windowspro.de/wolfgang-sommergut/anmelden-bestimmten-pcs-fuer-benutzer-gruppen-verweigern

habe damit vor 10+ Jahren mal rumgemacht und meine, das es da mal beide Versionen gab, eine Liste für Computer erlauben und eine Liste für Computer verbieten, evtl. an anderer Stelle (VPN etc.).

Ob das auch für Freigaben wirkt kann ich leider auch nicht mehr sicher sagen, sollte wohl, aber man weiss ja nie ob man genau so denkt wie die Microsoftler.

Die externen User werden scih auf verschidene Computer einloggen :-(

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Berechtigungen: einmal Verweigern ist stärker als Zulassen

 

Gruppe: externe-User erstellen

externe User in Gruppe

dieser Gruppe den Zugriff via NTFS und/oder Share verweigern

 

es ist nurmehr diese Gruppe zu administrieren, solange sich am Berechtigungsschema nichts ändert.

 

 

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
vor 10 Minuten schrieb rakli:

Die externen User werden scih auf verschidene Computer einloggen :-(

Moin,

es koennen mehrere Computer benannt werden und es sollte einer gesperrt werden. Das Sperren des lokalen Login geht über GPOs. Das ist hier wie mit Kanonen auf Spatzen zu schiessen. Die erste angebotene Lösung mit NTFS-Gruppenberechtigungen ist wohl die bessere Wahl. Wobei verweigern so eine Sache ist, einfach die externen nicht berechtigen und gut ists.

Und die Freigabeberechtigungen nicht auf everyone/all lassen, das ist eine ausnutzbare Lücke.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
vor 25 Minuten schrieb rakli:

Standardmässig haben die Domainuser Rechte auf neu erstellte Verzeichnisse. Man müsste also jedesmal den "Externen" user das recht entziehen.
Wer denkt aber daran in zwei Jahren :-)

Man müsste einfach nur von Anfang an passend berechtigt haben und die "Benutzer" bzw. "Domain Users" aus den NTFS Rechten entfernt haben. ;)

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
vor 3 Stunden schrieb jreckzigel:

Berechtigungen: einmal Verweigern ist stärker als Zulassen

 

Kommt drauf an. ;) explizites allow ist stärker als vererbtes deny.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Die ideale Lösung wäre, wenn der Server sagen würde "...Du kummst hier nit rein..."

:-)

Berechtigungen erfordern Wissen und neigen dazu komplex zu werden.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
vor 2 Stunden schrieb rakli:

Berechtigungen erfordern Wissen und neigen dazu komplex zu werden.

Und deine Lösung ist keine Berechtigungen sondern zugriffsverweigerung?  Oder wie soll das verstanden werden?

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden

Werbepartner:


×