Jump to content

DHCP-Benutzer für bestimmten Bereich


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hi Leute!

 

Folgende Anforderung:

 

Mittels den DHCP RSAT Tools sollen Benutzer auf ihren Arbeits-PC's auf die Server DHCP Leases (in diesem Fall auf dem DC)  eines bestimmten Scopes, also ein bestimmter Subnet Bereich zugreifen dürfen (nur LESE Rechte).

 

 

Problem:

 

  1. Wenn ich die DHCP RSAT bei mir auf dem lokalen Rechner installiert habe, und dann unter DHCP > Server hinzufügen > Dieser autorisierte DHCP-Server den entsprechenden Server auswähle, kann ich bereits auf alle DHCP Bereiche zugreifen (nur Lese Rechte). Jedoch frage ich mich warum, das geht, da ich mich nicht in die vordefinierte DHCP-Benutzer Sicherheitsgruppe eingetragen habe
  2. Man kann ja die betreffenden User in die bereits vorhandene, lokale Sicherheitsgruppe, wie oben erwähnt, DHCP-Benutzer Sicherheitsgruppe eintragen, aber wie kann ich es umsetzen, dass dedizierte Benutzer von unseren ca. 20 DHCP Bereichen nur auf einen bestimmten DHCP Bereich Lesezugriff haben? Alles andere soll erst gar nicht zu sehen sein.

 

 

bearbeitet von sd2019
Link zu diesem Kommentar

Sinn der Sache ist, dass bestimmte Nutzer in der Produktion Zugriff auf einen dedizierten DHCP Bereich haben, da ein stetiger Zugriff auf die sich ständig ändernden MAC-Adressen und IP-Adressen 

erforderlich ist, um Komponenten ansteuern zu können.

 

Wenn man das irgendwie problemlos wer Website darstellen kann, ist das natürlich auch eine Alternative (ist aber wahrscheinlich komplizierter oder?)

bearbeitet von sd2019
Link zu diesem Kommentar

Ein IP-Scanner z.B. Netscan reicht da nicht?

Ich vewende den Netscan z.B. um den Hersteller der LAN-Karte zu identifizieren.

Die kostenlose, neuere Version kann leider nur noch 10 Adressen....

https://www.softperfect.com/products/networkscanner/

 

Es gibt aber viele kostenlose dieser Tools

 

Wenn die nur lesen können, kann ja auch im Problemfall keiner was ändern, oder?

 

:-)

Link zu diesem Kommentar
vor 39 Minuten schrieb sd2019:

aber wie kann ich es umsetzen, dass dedizierte Benutzer von unseren ca. 20 DHCP Bereichen nur auf einen bestimmten DHCP Bereich Lesezugriff haben? Alles andere soll erst gar nicht zu sehen sein.

Mit Bordmitteln afaik gar nicht. Du kannst natürlich IPAM (keine Ahnung, ob da so eine granulare Berechtigungsdelegation möglich ist) oder ein 3rd Party Produkt mit ähnlicher Funktion ausprobieren. 

Link zu diesem Kommentar
vor 19 Minuten schrieb sd2019:

Sinn der Sache ist, dass bestimmte Nutzer in der Produktion Zugriff auf einen dedizierten DHCP Bereich haben, da ein stetiger Zugriff auf die sich ständig ändernden MAC-Adressen und IP-Adressen 

erforderlich ist, um Komponenten ansteuern zu können.

 

Wenn man das irgendwie problemlos wer Website darstellen kann, ist das natürlich auch eine Alternative (ist aber wahrscheinlich komplizierter oder?)

So ganz verstehe ich die Aufgabe nicht.

Um Komponenten anzusteuern braucht man einen lesenden Zugriff auf DHCP?

 

Es gibt die notwendigen Powershell-commandlets. Aus der Ausgabe musst du halt HTML bauen. Sollte in ein paar Stunden erledigt und getestet sein.

 

Link zu diesem Kommentar
vor 3 Minuten schrieb magheinz:

So ganz verstehe ich die Aufgabe nicht.

Um Komponenten anzusteuern braucht man einen lesenden Zugriff auf DHCP?

 

Es gibt die notwendigen Powershell-commandlets. Aus der Ausgabe musst du halt HTML bauen. Sollte in ein paar Stunden erledigt und getestet sein.

 

Ja gut die Zeit habe ich leider nicht.

 

Und es geht hier um elektronische Steuerteile. Die Diskussion hinsichtlich dem Warum man das braucht ist unwichtig und auch nicht zielführend.

Ich bin da eher an Lösungsvorschlägen interessiert. :)

Link zu diesem Kommentar
vor 38 Minuten schrieb sd2019:

Ja gut die Zeit habe ich leider nicht.

 

Und es geht hier um elektronische Steuerteile. Die Diskussion hinsichtlich dem Warum man das braucht ist unwichtig und auch nicht zielführend.

Ich bin da eher an Lösungsvorschlägen interessiert. :)

Wie NorbertFe das so passend geschrieben hat, mit Boardmitteln nicht.

Ob das mit IPAM geht kann ich dir nicht sagen, das ist ein Dienst der sich ins AD einträgt - das probiert man nicht mal eben aus, da eine Schema-Änderung sich nicht zurücknehmen lässt.

vor 21 Minuten schrieb sd2019:

Gibt es keine Möglichkeit, evtl. eine neue, eigene Sicherheitsgruppe für DHCP-Benutzer zu erstellen und diese dann zu konfigurieren (wüsste nicht wo man dieses Berechtigungskonzept verwaltet)

Nein, nicht das mir das bekannt wäre

 

Und wie angemerkt - wenn dir die Zeit fehlt, beauftrage einen Dienstleister.

 

Mit der heißen Nadel gestrickte Lösungen können dir ganz schnell große Sicherheitslöcher in dein AD bauen

 

Wenn die von mir genannte Lösung mit einem IP-Scanner nicht klappt, kann cih dir an der Stelle leider nicht mehr weiterhelfen, sorry :-)

Link zu diesem Kommentar
vor 6 Stunden schrieb sd2019:

Gibt es keine Möglichkeit, evtl. eine neue, eigene Sicherheitsgruppe für DHCP-Benutzer zu erstellen und diese dann zu konfigurieren (wüsste nicht wo man dieses Berechtigungskonzept verwaltet)

Nein. DHCP ist nicht AD-integriert und nicht auf Delegation vorbereitet. Skripten oder damit leben... Zum Thema "skripten": Man kann auch ein primitives Txt-File im Browser prima darstellen, und das ist aus den DHCP-Daten in wenigen Minuten erstellt. Liegen kann das auch auf file:// - damit brauchst dann nicht mal mit IIS-Rechten rum machen, sondern kannst bei NTFS-ACLs bleiben, mit denen Du Dich hoffenltich auskennst.

Und die Frage nach dem "Warum" ist IMMER gerechtfertigt - zu häufig stellt sich heraus, daß die hier gestellte Frage bereits zu einem vorgedachten Lösungsweg gehört, der auf's Holz führt.

  • Like 1
  • Danke 1
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...