Jump to content

Aus der Hauptdomäne WMI-Berechtigung in einer Subdomäne erteilen?


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo Leute,

 

ich habe da mal wieder ein Problemchen bei dem ihr mir eventuell behilflich sein könnt:

 

Wir haben hier eine Hauptdomäne (ganze Firma) und eine Subdomäne davon (Konstruktionsabteilung).

Jetzt haben wir eine neue Firewall welche auch LDAP kann und wir das alles per AD-Gruppen steuern wollen.

Da die Firewall jedoch nach wie vor auf IP-Basis seine Regeln ausführt, muss es ein Mapping geben mit aktuelle IP = angemeldeter User.

Das geschieht indem die FW auf dem DC die Sicherheitslogs ausliest. Da dies bei uns momentan sehr unzuverlässig läuft (runas-Scripte verfälschen diese LOG-Dateien da ein RunAs-Script in dieser LOG-Datei plötzlich jemand anderes, z.B. der Administrator, ist und es gibt noch andere Verfälschungsvorgänge -> RunAs wird bei uns abgeschafft, die anderen nicht).

 

Somit müssen wir eine andere Lösung für das Problem finden. Eine davon wäre dieses User-Mapping per WMI erledigen zu lassen (die Hoffnung ist das dies exakt funktioniert).

Problem ist aber nun die Berechtigung dieser Schnittstelle an den einzelnen Clients. Ich kann an der FW einen User mit entsprechender Berechtigung (Domänen-Admin) hinterlegen.

Daher kann dann entweder nur aus der Hauptdomain oder der Subdomain sein.

 

Das ist ein Problem weil dann nur entweder die eine Domäne oder die Andere befragt werden kann.

 

Daher jetzt meine konkrete Frage:

Kann ich einem User Domänen-Admin-Rechte beider Domänen zuweisen?

 

Was ich probiert habe: ich habe eine universale Gruppe (globale reicht nicht) in der Hauptdomäne erstellt und diese als Mitglied der Administratoren beider Domänen gemacht. Dann habe ich jeweils den 'fuirewall-admin' beider Domänen diese Gruppenzugehörigkeit zugeteilt.

Also sind jeweils die 'firewall-admins' der beiden Domänen Mitglied dieser AD-Gruppe 'fw-admingruppe' in der Hauptdomäne. Diese 'fw-admingruppe' selbst ist Mitglied in beiden Administratoren-Gruppen der jeweiligen Domänen.

Leider hat mir ein Test mit 'Paessler WMI Tester' kein positives Ergebnis gebracht.

Kann natürlich auch sein das ich das Programm nicht bedienen kann und was in wleche Felder eingetragen werden muss?

 

Habt ihr dazu eine Idee oder gar einen anderen Lösungsansatz?

 

Könnte ich auch den WMI-Schnittstellen eine Berechtigung aus der übergeordneten Domäne verpassen? Die Subdomäne vertraut natürlich der Hauptdomäne.

Link zu diesem Kommentar

Ich verstehe nicht ganz?

Ich habe jeweils 1x AD-Gruppe 'Surfer' in den beiden Domänen. Die User die dort Mitglieder sind dürfen auch ins Internet (zumindest per Browser).

So, die FW braucht eine IP statt eines Domänenkontos. Und diese besorgt sie sich indem Sie die Security-Logs des DC-Servers ausliest (Kontoanmeldung würde ich meinen).

Das klappt auch tehnisch aus beiden Domänen. Da dies bei uns verfälscht ist (wie ich oben beschrieben habe) möchten wir WMI nutzen. Diese setzt aber die Berechtigung dafür voraus. Da ich auf der FW jedoch nur einen WMI-USer angeben kann, brauche ich jetzt eine Lösung das dieser in beiden Domänen die Clients per WMI befragen darf.

 

 

Link zu diesem Kommentar

Einen normalen Proxyserver?

Und das bringt mir was genau?

Kann die FW dann die User Identifizieren? Auch über alle anderen Verbindungsarten und nicht nur HTTP mit dem Browser?

Würde es nur um den Browser gehen: mit dem Browser wird die Benutzerkennung mitgeschickt unddie FW könnte das auslesen. Alle anderen Protokolle jedoch nicht...

Nutzt mir da dann ein Proxy was?

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...