Jump to content
Sign in to follow this  
reinhard26

Domainuser zugriff fileserver nur auf einem Domaincomputer erlauben

Recommended Posts

Hallo

 

Gibt es eine Möglichkeit einem Domainuser den zugriff auf datein auf einem server nur zu erlauben, wenn er an einem domaincomputer, welcher in die domaine integriert ist, sitzt.

 

Den Zugriff aber zu verweigern wenn er zb einen laptop ins netzwerk hängt und beim zugriff auf die freigaben seinen domainusernamen und pw verwendet.

 

mfg reinhard

Share this post


Link to post

Wenn ich mich recht erinnere kann man die via GPO in der Domäne die Lan-Manager Authentifizierung dekativieren ( fest auf NTLMV2 stellen ) Das solltest Du aber erst testen. Kann unschöne Randeffekte haben ( z.B. funktionieren DOS-Bootdisketten nicht mehr)

 

 

PS: http://support.microsoft.com/kb/823659

 

Punkt: Netzwerksicherheit: LAN Manager-Authentifizierungsebene

 

-Zahni

Share this post


Link to post

Da wird die Lanmanager Authentifizierungsebene nichts helfen. Wenn das ein OS ist, das NTLMV2 kann, dann ist er authentifiziert.

Abhilfe würde hier ein erforderliches IPSec auf dem Server mit Kerberos Authentifizierung schaffen, das will aber geplant sein, sonst schießt man sich mit dem Server an anderer Stelle ins Knie.

 

grizzly999

Share this post


Link to post

danke für die schnelle antwort

 

dann werde ich das zuerest mal diese richtlinie nur einem testrechner aufsetzten und mal schauen.

 

aus dem artikel:

Risikoreiche Konfigurationen

Die folgenden Konfigurationen sind risikoreich:

• Nicht restriktive Einstellungen, die Kennwörter unverschlüsselt senden und die NTLMv2-Verhandlung verweigern

• Restriktive Einstellungen, die verhindern, dass inkompatible Clients oder Domänencontroller ein gemeinsames Authentifizierungsprotokoll aushandeln

 

ich vertehe nicht ganz was da im 2ten punkt gemeint ist?

Share this post


Link to post

Naja, das heißt ganz einfach, wenn ich z.B. auf einer Siete restriktiv das sicherere NTLMV2 erzwinge, und die andere Seite das technisch nicht mit kann, dann können die kein gemeinsames Authentifizierungsprotokoll aushandeln und die Authentifizierung schlägt fehl.

 

Aber wie gesagt, NTLMV2 erzwingen stellt für 2000 oder XP oder 2003 keine Hürde dar.

 

 

grizzly999

Share this post


Link to post

Ok, wird so sein. Ich hatte kein Lust das umzustellen. Mir war nur dunkel in Erinnerung, dass es mal Probleme für Nich-Domain-Member gab, wenn man das umstellte.

 

-Zahni

Share this post


Link to post

achso verstehe

 

habe den vorherigen post geschrieben, bevor ich deinen gesehen habe!

 

dann muss ich mir wohl mit ipsec beschäftigen.

 

danke für die auskunft grizzly999

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

×
×
  • Create New...