Jump to content
sd2019

DHCP-Benutzer für bestimmten Bereich

Recommended Posts

Hi Leute!

 

Folgende Anforderung:

 

Mittels den DHCP RSAT Tools sollen Benutzer auf ihren Arbeits-PC's auf die Server DHCP Leases (in diesem Fall auf dem DC)  eines bestimmten Scopes, also ein bestimmter Subnet Bereich zugreifen dürfen (nur LESE Rechte).

 

 

Problem:

 

  1. Wenn ich die DHCP RSAT bei mir auf dem lokalen Rechner installiert habe, und dann unter DHCP > Server hinzufügen > Dieser autorisierte DHCP-Server den entsprechenden Server auswähle, kann ich bereits auf alle DHCP Bereiche zugreifen (nur Lese Rechte). Jedoch frage ich mich warum, das geht, da ich mich nicht in die vordefinierte DHCP-Benutzer Sicherheitsgruppe eingetragen habe
  2. Man kann ja die betreffenden User in die bereits vorhandene, lokale Sicherheitsgruppe, wie oben erwähnt, DHCP-Benutzer Sicherheitsgruppe eintragen, aber wie kann ich es umsetzen, dass dedizierte Benutzer von unseren ca. 20 DHCP Bereichen nur auf einen bestimmten DHCP Bereich Lesezugriff haben? Alles andere soll erst gar nicht zu sehen sein.

 

 

Edited by sd2019

Share this post


Link to post
Share on other sites

Sinn der Sache ist, dass bestimmte Nutzer in der Produktion Zugriff auf einen dedizierten DHCP Bereich haben, da ein stetiger Zugriff auf die sich ständig ändernden MAC-Adressen und IP-Adressen 

erforderlich ist, um Komponenten ansteuern zu können.

 

Wenn man das irgendwie problemlos wer Website darstellen kann, ist das natürlich auch eine Alternative (ist aber wahrscheinlich komplizierter oder?)

Edited by sd2019

Share this post


Link to post
Share on other sites

Ein IP-Scanner z.B. Netscan reicht da nicht?

Ich vewende den Netscan z.B. um den Hersteller der LAN-Karte zu identifizieren.

Die kostenlose, neuere Version kann leider nur noch 10 Adressen....

https://www.softperfect.com/products/networkscanner/

 

Es gibt aber viele kostenlose dieser Tools

 

Wenn die nur lesen können, kann ja auch im Problemfall keiner was ändern, oder?

 

:-)

Share this post


Link to post
Share on other sites
vor 8 Minuten schrieb sd2019:

Sinn der Sache ist, dass bestimmte Nutzer in der Produktion Zugriff auf einen dedizierten DHCP Bereich haben, da ein stetiger Zugriff auf die sich ständig ändernden MAC-Adressen und IP-Adressen 

Was verstehst du unter ständiger Änderung?

Wie sehen denn die Lease-Zeiten in dem Scope aus?

Share this post


Link to post
Share on other sites
vor 39 Minuten schrieb sd2019:

aber wie kann ich es umsetzen, dass dedizierte Benutzer von unseren ca. 20 DHCP Bereichen nur auf einen bestimmten DHCP Bereich Lesezugriff haben? Alles andere soll erst gar nicht zu sehen sein.

Mit Bordmitteln afaik gar nicht. Du kannst natürlich IPAM (keine Ahnung, ob da so eine granulare Berechtigungsdelegation möglich ist) oder ein 3rd Party Produkt mit ähnlicher Funktion ausprobieren. 

Share this post


Link to post
Share on other sites
vor 19 Minuten schrieb sd2019:

Sinn der Sache ist, dass bestimmte Nutzer in der Produktion Zugriff auf einen dedizierten DHCP Bereich haben, da ein stetiger Zugriff auf die sich ständig ändernden MAC-Adressen und IP-Adressen 

erforderlich ist, um Komponenten ansteuern zu können.

 

Wenn man das irgendwie problemlos wer Website darstellen kann, ist das natürlich auch eine Alternative (ist aber wahrscheinlich komplizierter oder?)

So ganz verstehe ich die Aufgabe nicht.

Um Komponenten anzusteuern braucht man einen lesenden Zugriff auf DHCP?

 

Es gibt die notwendigen Powershell-commandlets. Aus der Ausgabe musst du halt HTML bauen. Sollte in ein paar Stunden erledigt und getestet sein.

 

Share this post


Link to post
Share on other sites
vor 3 Minuten schrieb magheinz:

So ganz verstehe ich die Aufgabe nicht.

Um Komponenten anzusteuern braucht man einen lesenden Zugriff auf DHCP?

 

Es gibt die notwendigen Powershell-commandlets. Aus der Ausgabe musst du halt HTML bauen. Sollte in ein paar Stunden erledigt und getestet sein.

 

Ja gut die Zeit habe ich leider nicht.

 

Und es geht hier um elektronische Steuerteile. Die Diskussion hinsichtlich dem Warum man das braucht ist unwichtig und auch nicht zielführend.

Ich bin da eher an Lösungsvorschlägen interessiert. :)

Share this post


Link to post
Share on other sites
vor 4 Minuten schrieb sd2019:

Ja gut die Zeit habe ich leider nicht.

Ich glaube "ein paar Stunden" braucht man dafür bestimmt nicht. ... kriegst Du denn eine andere Lösung schneller hin?  ;-) 

Share this post


Link to post
Share on other sites
vor 6 Minuten schrieb sd2019:

Ja gut die Zeit habe ich leider nicht.

 

Und es geht hier um elektronische Steuerteile. Die Diskussion hinsichtlich dem Warum man das braucht ist unwichtig und auch nicht zielführend.

Ich bin da eher an Lösungsvorschlägen interessiert. :)

Dann beauftrage jemanden...

Share this post


Link to post
Share on other sites

Gibt es keine Möglichkeit, evtl. eine neue, eigene Sicherheitsgruppe für DHCP-Benutzer zu erstellen und diese dann zu konfigurieren (wüsste nicht wo man dieses Berechtigungskonzept verwaltet)

Share this post


Link to post
Share on other sites
vor 38 Minuten schrieb sd2019:

Ja gut die Zeit habe ich leider nicht.

 

Und es geht hier um elektronische Steuerteile. Die Diskussion hinsichtlich dem Warum man das braucht ist unwichtig und auch nicht zielführend.

Ich bin da eher an Lösungsvorschlägen interessiert. :)

Wie NorbertFe das so passend geschrieben hat, mit Boardmitteln nicht.

Ob das mit IPAM geht kann ich dir nicht sagen, das ist ein Dienst der sich ins AD einträgt - das probiert man nicht mal eben aus, da eine Schema-Änderung sich nicht zurücknehmen lässt.

vor 21 Minuten schrieb sd2019:

Gibt es keine Möglichkeit, evtl. eine neue, eigene Sicherheitsgruppe für DHCP-Benutzer zu erstellen und diese dann zu konfigurieren (wüsste nicht wo man dieses Berechtigungskonzept verwaltet)

Nein, nicht das mir das bekannt wäre

 

Und wie angemerkt - wenn dir die Zeit fehlt, beauftrage einen Dienstleister.

 

Mit der heißen Nadel gestrickte Lösungen können dir ganz schnell große Sicherheitslöcher in dein AD bauen

 

Wenn die von mir genannte Lösung mit einem IP-Scanner nicht klappt, kann cih dir an der Stelle leider nicht mehr weiterhelfen, sorry :-)

Share this post


Link to post
Share on other sites

Nochmal zum Vorschlag von mir? Geht da kein DNS? Dann brauchst du den ganzen Aufwand nicht treiben. Dann ist die IP egal!

Share this post


Link to post
Share on other sites
vor 6 Stunden schrieb sd2019:

Gibt es keine Möglichkeit, evtl. eine neue, eigene Sicherheitsgruppe für DHCP-Benutzer zu erstellen und diese dann zu konfigurieren (wüsste nicht wo man dieses Berechtigungskonzept verwaltet)

Nein. DHCP ist nicht AD-integriert und nicht auf Delegation vorbereitet. Skripten oder damit leben... Zum Thema "skripten": Man kann auch ein primitives Txt-File im Browser prima darstellen, und das ist aus den DHCP-Daten in wenigen Minuten erstellt. Liegen kann das auch auf file:// - damit brauchst dann nicht mal mit IIS-Rechten rum machen, sondern kannst bei NTFS-ACLs bleiben, mit denen Du Dich hoffenltich auskennst.

Und die Frage nach dem "Warum" ist IMMER gerechtfertigt - zu häufig stellt sich heraus, daß die hier gestellte Frage bereits zu einem vorgedachten Lösungsweg gehört, der auf's Holz führt.

  • Like 1
  • Thanks 1

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


Werbepartner:



×
×
  • Create New...