12
Ausm HO für den ADUser andere Netzlaufwerkfreigaben ?
Hallo Kollegen,
gibt es eine Möglichkeit dem gleichen DomainUserName - je nach Verbindungsart - andere Zugriffsrechte auf Netzlaufwerke zuzuteilen ?
Im Speziellen soll der DomainUser, der über das Homeoffice (VPN) Zugriff erhält andere Zugriffsrechte auf Netzlaufwerke erhalten, als der gleiche User, der sich dann vor Ort mit seinem Laptop an der Domain anmeldet.. DomainUserName incl. Passwort also Credentials sollen gleich bleiben, nur der Zugriff auf ein bestimmtes Netzlaufwerk im HO verhindert werden.
Wie sieht hierzu die Theorie aus ?
... oder auch, wie macht ihr das in der Praxis ?
Habe das noch nie umgesetzt und ich kann mir gerade nur die Hardwarelösung vorstellen.
Gruß nbll
gibt es eine Möglichkeit dem gleichen DomainUserName - je nach Verbindungsart - andere Zugriffsrechte auf Netzlaufwerke zuzuteilen ?
Im Speziellen soll der DomainUser, der über das Homeoffice (VPN) Zugriff erhält andere Zugriffsrechte auf Netzlaufwerke erhalten, als der gleiche User, der sich dann vor Ort mit seinem Laptop an der Domain anmeldet.. DomainUserName incl. Passwort also Credentials sollen gleich bleiben, nur der Zugriff auf ein bestimmtes Netzlaufwerk im HO verhindert werden.
Wie sieht hierzu die Theorie aus ?
- mir fällt nur die Variante ... jedem DomainUser im HO noch zusätlich einen DomainUserName-HO mitzugeben ein. Das ist allerdings nicht gewünscht.
- muß ich hierzu eine andere Hardware Architektur (2ter Server und weiteres Subnetz oder weiteren managed Router NAS) aufbauen ?
- geht das Softwaretechnisch "irgendwie" mit dem Radius Server ? Kann der Radius Server die Info "logged over" zusätzlich mitteilen und könnte man das irgendwie im AD oder in den Freigaben "verwursten" ?
- Anhand der IPs; vergeben vom VPN; den Zugriff auf der Netzlaufwerkzugriffsebene steuern ?
... oder auch, wie macht ihr das in der Praxis ?
Habe das noch nie umgesetzt und ich kann mir gerade nur die Hardwarelösung vorstellen.
Gruß nbll
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 63651068061
Url: https://administrator.de/contentid/63651068061
Printed on: April 29, 2024 at 22:04 o'clock
12 Comments
Latest comment
Moin,
sowas kannst Du über son Skript in der Autostart lösen. Als erstes fragst Du das IPNetz ab, was ja unterschiedlich sein sollte und verbindest dann je nach Netz die Freigaben.
Gruß Looser
sowas kannst Du über son Skript in der Autostart lösen. Als erstes fragst Du das IPNetz ab, was ja unterschiedlich sein sollte und verbindest dann je nach Netz die Freigaben.
Gruß Looser
Die Frage ist willst du nur die Netzlaufwerke anders mounten oder tatsächlich den Zugriff auf die Netzwerkressource verhindern?
Zitat von @ukulele-7:
Die Frage ist willst du nur die Netzlaufwerke anders mounten oder tatsächlich den Zugriff auf die Netzwerkressource verhindern?
Die Frage ist willst du nur die Netzlaufwerke anders mounten oder tatsächlich den Zugriff auf die Netzwerkressource verhindern?
Am liebsten so unkompliziert wie möglich. Also irgendwie über die Freigabe/Netzzugriffarchitektur - Software - lösen.
Zitat von @Nebellicht:
Am liebsten so unkompliziert wie möglich. Also irgendwie über die Freigabe/Netzzugriffarchitektur - Software - lösen.
Naja unkompliziert schön und gut, das wäre dann die Variante von @Looser27 . Aber das hilft dir ja nicht wenn die Vorgabe besagt der User darf auf keinen Fall zugreifen können.Zitat von @ukulele-7:
Die Frage ist willst du nur die Netzlaufwerke anders mounten oder tatsächlich den Zugriff auf die Netzwerkressource verhindern?
Die Frage ist willst du nur die Netzlaufwerke anders mounten oder tatsächlich den Zugriff auf die Netzwerkressource verhindern?
Am liebsten so unkompliziert wie möglich. Also irgendwie über die Freigabe/Netzzugriffarchitektur - Software - lösen.
Zitat von @ukulele-7:
Zitat von @Nebellicht:
Am liebsten so unkompliziert wie möglich. Also irgendwie über die Freigabe/Netzzugriffarchitektur - Software - lösen.
Naja unkompliziert schön und gut, das wäre dann die Variante von @Looser27 . Aber das hilft dir ja nicht wenn die Vorgabe besagt der User darf auf keinen Fall zugreifen können.Zitat von @ukulele-7:
Die Frage ist willst du nur die Netzlaufwerke anders mounten oder tatsächlich den Zugriff auf die Netzwerkressource verhindern?
Die Frage ist willst du nur die Netzlaufwerke anders mounten oder tatsächlich den Zugriff auf die Netzwerkressource verhindern?
Am liebsten so unkompliziert wie möglich. Also irgendwie über die Freigabe/Netzzugriffarchitektur - Software - lösen.
Moin,
wenn sich diese Freigabe auf einem eigenen Server (ohne den Teil, den die HO-User benutzen können sollen) befindet kann man hier eventuell die eingebaute Server-Firewall nutzen, um den VPN-Adressbereich auszuschließen.
Moin,
Gruß,
Dani
... oder auch, wie macht ihr das in der Praxis ?
gar nicht. Warum soll der User im VPN und LAN unterschiedliche Rechte haben. Hast du Angst, dass er zu Hause Dateien anschaut, welche andere nicht sehen sollen/dürfen?!Gruß,
Dani
Zitat von @Dani:
Moin,
Ich gehe mal davon aus das er verhindern will das User Daten auf einen PC bei sich zuhause exfiltrieren. Konsequent ist das aber nicht.Moin,
... oder auch, wie macht ihr das in der Praxis ?
gar nicht. Warum soll der User im VPN und LAN unterschiedliche Rechte haben. Hast du Angst, dass er zu Hause Dateien anschaut, welche andere nicht sehen sollen/dürfen?!Wir wissen allerdings nicht, was wirklich zum Einsatz kommt. Gehört der Client dem Unternehmen? Kommt da ein Terminal Server zum Einsatz oder laufen die Anwendungen direkt auf dem Client?
N'Abend,
bin da bei Dani, gar nicht.
Und frage mich auch nach dem Sinn??
Wenn du Datenklau vermeiden willst, ist das bestimmt nicht der richtige weg.
Aktuell geht ja bei vielen der Weg in die Cloud, das ist das noch "egaler" wo du bist
Viele Grüße
Deepsys
Es gibt also keine einfache Lösung ? Bzw. das wurde bisher nie angewendet ? Gruss nbll
(Es gibt sicherlich den Gedanken: Diebstahlschutz od. Datenschutz bei Abhandenkommen von Passwörtern bzw. ortsveränderlicher Hardware (Laptop) als weitern zusätzlichen Schutz. Dazu ggf. auch weitere Überlegungen s.o. von den Admins angedacht. = zusätzlich !!!) Wenn man Datentrennung von Arbeitsdaten und z.B. sensiblen Daten gewährleistet.
(Es gibt sicherlich den Gedanken: Diebstahlschutz od. Datenschutz bei Abhandenkommen von Passwörtern bzw. ortsveränderlicher Hardware (Laptop) als weitern zusätzlichen Schutz. Dazu ggf. auch weitere Überlegungen s.o. von den Admins angedacht. = zusätzlich !!!) Wenn man Datentrennung von Arbeitsdaten und z.B. sensiblen Daten gewährleistet.
Das geht sehr einfach, wenn Du Netzlaufwerke über Group Policy Preferences verteilst. Die besitzen nämlich item level targeting und können abhängig von vorhandenen Netzwerkverbindungen aktiv geschaltet werden.
1
Aber nochmal ergänzend der Hinweis: Laufwerksmapping != Zugriffsrechte. Das Laufwerksmapping kann ich über mehrere Wege beeinflussen, siehe GPOs. NTFS Rechte aber nicht, kennt der Benutzer die Freigabe kann er sie auch ohne Laufwerksmapping benutzen. Da müsstest du eher in deiner Firewall ansetzen.
Moin,
Gruß,
Dani
Es gibt also keine einfache Lösung ? Bzw. das wurde bisher nie angewendet ? Gruss nbll
schildere doch einfach die Anforderung und die Rahmenbedingungen. Sonst wird das Ratespiel immer so weiter gehen.Gruß,
Dani
