Jump to content
rakli

Zugriff auf Server verweigern

Recommended Posts

Hi,

 

wir haben ein paar externe Mitarbeiter, die im AD als Domainuser eingerichtet sind.

Sie sollen auf einen Server nicht zugreifen dürfen.

 

Wie kann kann man das generell verhindern, ausser über Rechte in Dateisystem.

Gibt es da eine globale Einstellung?

 

Gruss

 

Rakli

 

Server 2008

Share this post


Link to post
Share on other sites

Es ist ein Server 2008, der als  File Server arbeitet.

Die externen Mitarbeiter sollen auf die Dateien keinen Zugriff haben.

Share this post


Link to post
Share on other sites

Hi,

 

dafür sind doch NTFS (und Freigabeberechtigungen) da. Oder sind die Freigaben / NTFS Rechte auf Jeder, Authenticated Users und / oder Domain Users?

 

Gruß

Jan

Share this post


Link to post
Share on other sites

Moin, vielleicht passt das ja:

https://www.windowspro.de/wolfgang-sommergut/anmelden-bestimmten-pcs-fuer-benutzer-gruppen-verweigern

habe damit vor 10+ Jahren mal rumgemacht und meine, das es da mal beide Versionen gab, eine Liste für Computer erlauben und eine Liste für Computer verbieten, evtl. an anderer Stelle (VPN etc.).

Ob das auch für Freigaben wirkt kann ich leider auch nicht mehr sicher sagen, sollte wohl, aber man weiss ja nie ob man genau so denkt wie die Microsoftler.

Edited by Jim di Griz
Ergänzung

Share this post


Link to post
Share on other sites
vor 17 Stunden schrieb testperson:

Hi,

 

dafür sind doch NTFS (und Freigabeberechtigungen) da. Oder sind die Freigaben / NTFS Rechte auf Jeder, Authenticated Users und / oder Domain Users?

 

Gruß

Jan

Standardmässig haben die Domainuser Rechte auf neu erstellte Verzeichnisse. Man müsste also jedesmal den "Externen" user das recht entziehen.
Wer denkt aber daran in zwei Jahren :-)

vor 13 Stunden schrieb Jim di Griz:

Moin, vielleicht passt das ja:

https://www.windowspro.de/wolfgang-sommergut/anmelden-bestimmten-pcs-fuer-benutzer-gruppen-verweigern

habe damit vor 10+ Jahren mal rumgemacht und meine, das es da mal beide Versionen gab, eine Liste für Computer erlauben und eine Liste für Computer verbieten, evtl. an anderer Stelle (VPN etc.).

Ob das auch für Freigaben wirkt kann ich leider auch nicht mehr sicher sagen, sollte wohl, aber man weiss ja nie ob man genau so denkt wie die Microsoftler.

Die externen User werden scih auf verschidene Computer einloggen :-(

Share this post


Link to post
Share on other sites

Berechtigungen: einmal Verweigern ist stärker als Zulassen

 

Gruppe: externe-User erstellen

externe User in Gruppe

dieser Gruppe den Zugriff via NTFS und/oder Share verweigern

 

es ist nurmehr diese Gruppe zu administrieren, solange sich am Berechtigungsschema nichts ändert.

 

 

Share this post


Link to post
Share on other sites
vor 10 Minuten schrieb rakli:

Die externen User werden scih auf verschidene Computer einloggen :-(

Moin,

es koennen mehrere Computer benannt werden und es sollte einer gesperrt werden. Das Sperren des lokalen Login geht über GPOs. Das ist hier wie mit Kanonen auf Spatzen zu schiessen. Die erste angebotene Lösung mit NTFS-Gruppenberechtigungen ist wohl die bessere Wahl. Wobei verweigern so eine Sache ist, einfach die externen nicht berechtigen und gut ists.

Und die Freigabeberechtigungen nicht auf everyone/all lassen, das ist eine ausnutzbare Lücke.

Share this post


Link to post
Share on other sites
vor 25 Minuten schrieb rakli:

Standardmässig haben die Domainuser Rechte auf neu erstellte Verzeichnisse. Man müsste also jedesmal den "Externen" user das recht entziehen.
Wer denkt aber daran in zwei Jahren :-)

Man müsste einfach nur von Anfang an passend berechtigt haben und die "Benutzer" bzw. "Domain Users" aus den NTFS Rechten entfernt haben. ;)

Share this post


Link to post
Share on other sites
vor 3 Stunden schrieb jreckzigel:

Berechtigungen: einmal Verweigern ist stärker als Zulassen

 

Kommt drauf an. ;) explizites allow ist stärker als vererbtes deny.

Share this post


Link to post
Share on other sites

Die ideale Lösung wäre, wenn der Server sagen würde "...Du kummst hier nit rein..."

:-)

Berechtigungen erfordern Wissen und neigen dazu komplex zu werden.

Share this post


Link to post
Share on other sites

Sicherheitseinstellungen, "Deny access to this computer from the network" - oder was war jetzt die Frage?

Share this post


Link to post
Share on other sites
vor 2 Stunden schrieb rakli:

Berechtigungen erfordern Wissen und neigen dazu komplex zu werden.

Und deine Lösung ist keine Berechtigungen sondern zugriffsverweigerung?  Oder wie soll das verstanden werden?

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


×
×
  • Create New...