none
Verzeichnis-ACLs: "condtional access" für Gruppe von Computern funktioniert nicht RRS feed

 > 

  • Allgemeine Diskussion

  • Discussion
    Anmelden
    0
    Anmelden

    Guten Tag allerseits,

    beim Server 2012 gibt es ja nun erfreulicherweise die Möglichkeit, im Dialog für die erweiterte Einstellung von Zugriffsrechten auf Dateien oder Verzeichnisse zusätzlich zu den bekannten Gruppenmitgliedschaften noch weitere Bedingungen zu definieren, die zusätzlich erfüllt sein müssen, damit das Zugriffsrecht gewährt wird. Ich möchte dieses Feature gerne nutzen, um zu erreichen, dass der Zugriff auf einen bestimmten Share nicht nur auf bestimmte User beschränkt wird sondern dass auch diese User nur von bestimmten Rechnern zugreifen können. Also habe ich eine solche Bedingung definiert (englischer Server):

    Device    Group    Member of each    value   testgroup

    Die "testgroup" enthält die Computeraccounts des Active Directory (w2k8R2), für die der Zugriff gewährt werden soll.

    Prüfe ich dieses Setup im Reiter "Effectiv Access", scheint das auch zu funktionieren - bei Auswahl eines berechtigten Users und verschiedener Computer wird genau bei Computern aus meiner testgroup alles grün, ansonsten aber rot.
    Das Problem ist nur, dass es in der Realität nicht funktioniert: Der Zugriff scheitert auch bei Computern der testgroup. Entferne ich die zusätzliche Bedingung wieder, gelingt der Zugriff sofort. Was mache ich falsch?

    Ich habe zu diesem Thema folgenden Blog-Eintrag gefunden, in dem das Verfahren für die Konfiguration solcher Bedingungen beschrieben wird und der interessanterweise auf genau das gleiche Problem hinweist:
    http://autodiscover.wordpress.com/2012/09/09/the-windows-server-2012-new-file-serverpart-1-access-conditions-microsoft-winserv-2012-mvpbuzz/

    Hat jemand eine Idee? Danke!

    Gruß
    CP

    • Typ geändert Alex Pitulice Dienstag, 30. April 2013 08:13 Warten auf Feedback
    Samstag, 20. April 2013 10:33
    |

Alle Antworten

  • Discussion
    Anmelden
    0
    Anmelden

    Hallo CP,

    vielleicht hilft der „gpupdate /force“ Befehl weiter? (obwohl von dem was du sagst, im Effective Access scheinen die Permissions richtig eingetragen zu sein).


    Deploy a Central Access Policy (Demonstration Steps


    To assign a central access policy to a file server

    1. In Hyper-V Manager, connect to server FILE1. Log on to the server by using contoso\administrator with the password: pass@word1.
    2. Open an elevated command prompt and type: gpupdate /force. This ensures that your Group Policy changes take effect on your server.
    3. You also need to refresh the Global Resource Properties from Active Directory. Open an elevated Windows PowerShell window and type Update-FSRMClassificationpropertyDefinition. Click ENTER, and then close Windows PowerShell.

    Gruss,

    Alex

    Alex Pitulice, MICROSOFT 
    Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.

    Montag, 22. April 2013 14:03
    |
  • Discussion
    Anmelden
    0
    Anmelden

    Alex, danke für das Feedback. Mir ist ehrlich gesagt unklar, in wieweit Gruppenrichtlinien hier überhaupt eine Rolle spielen können, denn ich habe für dieses Setup auf den DCs nichts konfiguriert. Müsste ich das???

    Mir ist zwar auch aufgefallen, dass man dieses "conditional access" feature meist im Zusammenhang mit "dynamic access control" und den AD-basierten "claims" beschrieben findet, was natürlich einen DC mit w2k12 vorraussetzt, aber diese zusätzlichen Bedingungen (ohne "claims") sollte man nach meinem Verständnis auch in einem AD mit w2k8R2-DCs nutzen können. Ansonsten wäre es auch nicht sinnvoll, das im Dialog für die Einstellung der Berechtigungen überhaupt anzubieten, und die Prüfung des effective access sagt ja auch, dass es funktionieren sollte. Oder?

    Gruß
    Christoph 

    Montag, 22. April 2013 15:20
    |
  • Discussion
    Anmelden
    0
    Anmelden
     

    Hallo Christoph,
      
    Um eine mögliche Lösung zu diesem Problem zu finden, müssen wir einen privaten Kommunikationskanal mit Dir erstellen. Dieser nutzt auch um zusätzliche Informationen zu sammeln.

    Kannst Du bitte eine e-Mail an dieser     E-Mail-Adresse mit Deinem Namen, Deiner e-Mail-Adresse und Telefonnummer senden, damit wir Dich erreichen zu können?
     
    Danke und Grüße,
    Alex

    Alex Pitulice, MICROSOFT 
    Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip„IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.


    Freitag, 26. April 2013 10:24
    |
  • Discussion
    Anmelden
    0
    Anmelden

    Hallo Christoph,

    brauchst Du noch Hilfe?

    Gruss,

    Alex

    Alex Pitulice, MICROSOFT 
    Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.

    Dienstag, 30. April 2013 08:13
    |
  • Discussion
    Anmelden
    0
    Anmelden

    Alex, danke der Nachfrage! Das Problem ist tatsächlich noch ungelöst, und ich habe die Mail, um die Du mich gebeten hattest, inzwischen geschickt. Sorry für meine sehr späte Reaktion.

    Gruß
    Christoph

    Donnerstag, 13. Juni 2013 08:41
    |
  • Discussion
    Anmelden
    0
    Anmelden

    Leider lief die Kommunikation mit dem Support von Microsoft am Ende darauf hinaus, dass ich an einige Systemhäuser verwiesen wurde:

    Sie können die Möglichkeit für Advisory benutzen: http://pinpoint.microsoft.com/de-DE/companies/search?q=ACL&fcrc=DEU

    Da man dort sicher Geld sehen möchte, dass mir zur Lösung dieses Problems gerade nicht zur Verfügung steht, verläuft die Sache im Sande bzw. ich muß davon ausgehen, dass die Beschränkung des Zugriffs auf bestimmte User *und* bestimmte PCs zumindest mit einem Windows 7 Client tatsächlich nicht funktioniert und die Anzeige des "effective access" (alles grün) schlicht buggy ist. Schade..

    CP

    Donnerstag, 20. Juni 2013 15:39
    |
  • Discussion
    Anmelden
    0
    Anmelden

    "Mir ist zwar auch aufgefallen, dass man dieses "conditional access" feature meist im Zusammenhang mit "dynamic access control" und den AD-basierten "claims" beschrieben findet, was natürlich einen DC mit w2k12 vorraussetzt, aber diese zusätzlichen Bedingungen (ohne "claims") sollte man nach meinem Verständnis auch in einem AD mit w2k8R2-DCs nutzen können"

    -> Ich wüsste nicht, dass das ohne CLAIMS gehen sollte. wie sonst sollten diese Informationen bei der Zugriffsberechtigungen vom File-Server evaluiert werden. Wenn es nach Deinen Vorstellungen geben sollte, dann würden ja die Informationen bzgl. der Zugriffsberechtigung nicht von AD (via CLAIMs) sondern vom Anfrager selbst kommen.

    Aber überleg mal: Wenn der Anfrager selbst seine Daten übermittelt, wie kann sich dann der File-Server sicher sein, dass dieser auch der ist, für wen er sich ausgiebt.

    Deswegen AD, deswegen Kerberos , deswegen CLAIMs.

    Mein Tipp: Implementier bitte ein Windows Server 2012 Domain Controller, richte diesen nach folgenden Guides ein und versuche erneut, ob Du damit nun Dein gewünschtes Verhalten erzeugen kannst:

    Dynamic Access Control: Scenario Overview
    http://technet.microsoft.com/en-us/library/hh831717.aspx

    --

    Tobias Redelberger
    StarNET Services (HomeOffice)
    Frankfurter Allee 193
    D-10365 Berlin
    Tel: +49 (30) 86 87 02 678
    Mobil: +49 (163) 84 74 421
    Freitag, 21. Juni 2013 08:01
    |
  • Discussion
    Anmelden
    0
    Anmelden

    Danke für dein Feedback.

    Ja, das klingt alles plausibel, und diese Gedanken hatte ich mir auch schon gemacht, aber es gibt da auch andere Aspekte zu berücksichtigen:

    - Der Doku zum Thema conditional access kann man entnehmen, dass im AD definierte claims in dem Dialog zum Festlegen dieser bedingten Zugriffsrechte angezeigt werden, damit man sie dort auswählen kann. Wenn dort die Auswahl von User- und Device-Gruppen möglich ist, ohne dass man irgendwelche claims definiert hat, kann man daraus messerscharf folgern, dass *diese* offenbar immer vorhandenen Optionen zur Einschränkung von Zugriffsrechten *nicht* auf claims basieren.

    - Im Reiter "Effective Access", in dem ja die Möglichkeit besteht, zum Testen auch den Computeraccount auszuwählen, mit dem der Zugriff erfolgen soll, werden mir zwar genau für die Computeraccounts, die ich mit meinen Sicherheitseinstellungen berechtigt habe, - und nur für diese! - sämtliche Rechte als gewährt angezeigt, aber das erfolgt offenbar unabhängig davon, welches Windows auf diesen Rechnern läuft. (Und diese Information könnte der Code zum Ermitteln der tatsächlichen Zugriffsrechte ja ohne weiteres aus den Computer Accounts im AD auslesen.) Daraus lässt sich schliessen, dass dieser Device-abhängige Zugriff tasächlich unabhängig von der Windows-Version des Clients und unabhängig von irgendwelchen claims funktioniert und somit nicht auf einem modifizierten Kerberos-Protokoll basiert, das erst ab Windows 8 verfügbar ist.

    - So plausibel es sein mag, dass das ganze Zugriffsrechtekonzept in w2k12 incl. der Device-spezifischen Einschränkungen komplett auf dem modifizierten Kerberos basiert - ich habe bei Microsoft schon zu oft Dinge erlebt, die dem gesunden Menschenverstand oder auch dem IT-Verstand widersprechen (oder zu widersprechen scheinen), um sowas in einem neuen Produkt ausschliessen zu können...

    Insofern wäre es schön, wenn das mal jemand von Microsoft aufklären könnte.

    Sollte dieses Berechtigungskonzept tatsächlich komplett auf Kerberos basieren, dann liefert "Effective Access" unter bestimmten Bedingungen auf jeden Fall falsche Ergebisse, und der Dialog zum Einstellen der "conditional access" Regeln ist mindestens irreführend.

    Gruß
    CP


    Freitag, 21. Juni 2013 11:05
    |
  • Discussion
    Anmelden
    0
    Anmelden

    "Effective Access" kann nicht gegen Kerberos mit Claims validieren, da sonst der File-Server Kerberos Delegierungsrechte (s. http://technet.microsoft.com/en-us/library/cc739740.aspx) haben müsste, um immer exakt zu überprüfen, ob eine Kerberos mit Claims Anfrage effektive die gewünschten Berechtigungen mitbringt.

    Ich vermute, dass unter "Effective Access" lediglich die Werte, jedoch nicht die eigentlichen Kerberos-Tickets verwendet werden, um eine Aussage über die zu erwartenden Berechtigungen treffen zu können, welche jedoch beim wirklichen Zugriff notwendig sind und beim Aktivieren Deiner obigen Regel wie zu erwartend dazu führt, dass der Zugriff verwehrt wird, da ja kein zugehöriges Kerberos-Ticket hierfür ausgegeben werden kann, solange kein Windows Server 2012 Domain Controller vorhanden ist.

    --

    Tobias Redelberger
    StarNET Services (HomeOffice)
    Frankfurter Allee 193
    D-10365 Berlin
    Tel: +49 (30) 86 87 02 678
    Mobil: +49 (163) 84 74 421
    Freitag, 21. Juni 2013 12:29
    |
  • Discussion
    Anmelden
    0
    Anmelden

    Nun ja... was auch immer die technischen Hintergründe sein mögen - die Funktion tut nicht was man als Admin von ihr erwarten darf, nämlich die Berechtigungen anzuzeigen, die unter den angegebenen Bedingungen tatsächlich gewährt würden. In  http://technet.microsoft.com/en-us/library/jj134043.aspx  findet man zum Zweck dieses Features folgendes:

    -----
    "The ACL Editor has been redesigned to more clearly present key information needed to assess and manage access control. For example, the Effective Access tab also provides more precise information about effective access for setting permissions and help for troubleshooting access control issues. In Windows Server 2012 and Windows 8, administrators can view a summary of effective access particular to a specific principal, including an access report card that indicates effective access that is based on permissions and policies. This enables users to simulate real-life scenarios by specifying values for user and device attributes."
    -----

    Mit "real-life" haben die Ergebnisse, die das Tool liefert, offenbar nicht immer was zu tun, und das ist bei einem Test-Tool fatal: wenn das, was rauskommt, mal stimmt und mal nicht, welchen Sinn hat das dann?

    Wenn technische Limitierungen wie fehlende Kerberos Delegierungsrechte dazu führen, dass das Ergebnis unter bestimmten Bedingungen nicht dem "real-life" entspricht, dann muß halt entsprechend deutlich darauf hingewiesen werden. Tatsächlich wird aber durch die korrekte Auswertung der Mitgliedschaft des getesteten Computeraccounts in der angegeben Gruppe suggeriert, das Tool könne mit den "conditional access" Regeln korrekt umgehen, was tatsächlich nicht der Fall ist. Das Ganze wirkt schon ziemlich unausgereift.

    Gruß
    CP

    Freitag, 21. Juni 2013 14:11
    |
  • Discussion
    Anmelden
    0
    Anmelden

    Jetzt mal halblang.

    Wenn Du eine Technologie nicht in Ihrer Gänze verstehst, heißt das noch lange nicht, dass deren Einzelkomponente "ziemlich unausgereift" sind.

    Ich beende hiermit die Diskussion, da Du nicht an einer Lösung interessiert bist, sondern Deine aktuelle Einstellung dazu nur verteidigen willst.

    Dazu hab ich persönlich keine Lust.

    --

    Tobias Redelberger
    StarNET Services (HomeOffice)
    Frankfurter Allee 193
    D-10365 Berlin
    Tel: +49 (30) 86 87 02 678
    Mobil: +49 (163) 84 74 421
    Sonntag, 23. Juni 2013 09:35
    |
  • Discussion
    Anmelden
    0
    Anmelden

    Wie bitte?

    Ich habe hier durchweg sachlich argumentierend dargelegt, unter welchen Bedingungen "Effective Access" nicht die Ergebnisse liefert, die man in der Realität bekommt und somit nicht immer das leistet, was dieses Feature laut Microsoft leisten sollte. Dieses Problem ist für jedermann leicht reproduzierbar, und wenn sowas in einer Testfunktion passiert, auf deren Ergebnisse man sich eigentlich verlassen können sollte, dann kann man das mit Fug und Recht als "unausgereift" bezeichnen. Wie viel man von der einem solchen Test zugrunde liegenden Technologie versteht ist dabei völlig unerheblich. (Wenn ein PC-Hersteller dokumentiert, dass man nach Anschluß des Geräts an die Stromversorgung dieses durch Betätigen einer bestimmten Taste einschalten kann, man tut dies, aber es passiert nichts, dann braucht man auch nichts von PC-Technologie zu verstehen, um sagen zu können, dass das Gerät defekt ist - oder die Dokumentation fehlerhaft - Du verstehst?)

    Wie kommst Du darauf, ich sei nicht an einer Lösung interessiert? Ich welcher Richtung die Lösung zu suchen ist hängt aber nunmal davon ab, ob "Effective Acces" tatsächlich die richtigen Ergebnisse liefert - wäre das der Fall, dann wären die auch ohne definierte claims auswählbaren conditional access Regeln tatsächlich ohne das claims-System funktionsfähig, und in meinem real-life Setup würde etwas nicht so laufen wie es soll. Liefert "Effective Access" aber ein falsches Ergebnis, z.B. weil es schlicht nicht überprüft, ob in dieser Domäne mit den zum Test verwendeten Clients "claims" überhaupt funktionieren können (deine Vermutung), dann ist anzunehmen, dass es mit Windows 7 Clients grundsätzlich nicht funktioniert, und ich muß mir etwas ganz anderes überlegen.

    Aber das ist jetzt wohl alles nicht mehr relevant, nachdem ich offenbar das Sakrileg begangen habe, mich kritisch über eine bestimmte Funktion eines Microsoft-Produkts zu äussern, oder wie? Ich hatte ja naiverweise angenommen, dass Hinweise auf mögliche Bugs hier hochwillkommen wären.. nun ja...

    Gruß
    CP

    Sonntag, 23. Juni 2013 20:08
    |
  • Discussion
    Anmelden
    0
    Anmelden

    Hallo CP,

    wenn ich in der "condition" statt eines Computers einen User nehme (oder Gruppe von Usern), dann wird die Bedingung am Client korrekt ausgewertet (Server: W2012, Client W8). Nehme ich dagegen eine Gruppe von Rechnern, dann mache ich die selbe Beobachtung wie du.

    Macht natürlich wenig Sinn, könnte aber ein Hinweis sein, dass diese Funktionalität auch unabhängig von Claims funktioniert.

    Ich puzzle noch etwas rum und mache ggf. einen Case bei MS auf.

    Grüße und viel Erfolg
    Moori

    Montag, 24. Juni 2013 15:29
    |
  • Discussion
    Anmelden
    0
    Anmelden

    Hier sollte alles zusammengefasst sein (s.u. "Windows 8 client (required when using device claims)"):

    Introducing Dynamic Access Control
    http://social.technet.microsoft.com/wiki/contents/articles/14269.introducing-dynamic-access-control.aspx

    Auszug:

    [..]

    Conditional Expressions for Permission Entries

    Windows Server 2008 R2 and Windows 7 enhanced Windows security descriptors by introducing a conditional access permission entry.  Windows Server 2012 takes advantage of conditional access permission entries by inserting user claims, device claims, and resource properties, into conditional expressions.  Windows Server 2012 security evaluates these expressions and allows or denies access based on results of the evaluation.  Securing access to resources through claims is known as claims-based access control.  Claims-based access control works with traditional access control to provide an additional layer of authorization that is flexible to the varying needs of the enterprise environment.

    [..]

    Prerequisites

    Claims-based authorization and auditing requires:

    •    Windows Server 2012

    •    At least one Windows Server 2012 domain controller accessible by the Windows client in the user's domain

    •    At least one Windows Server 2012 domain controller in each domain when using claims across a forest trust

    • Windows 8 client (required when using device claims)

    [..]

    --

    Tobias Redelberger
    StarNET Services (HomeOffice)
    Frankfurter Allee 193
    D-10365 Berlin
    Tel: +49 (30) 86 87 02 678
    Mobil: +49 (163) 84 74 421
    Dienstag, 25. Juni 2013 12:14
    |
  • Discussion
    Anmelden
    0
    Anmelden
    Moori, danke für die Info! Ich habe nun auch mal eine Bedingung eingebaut, die eine Gruppe von Usern anstatt einer Gruppe von Rechnern verwendet, und siehe da: es funktioniert auch mit Windows 7 und ohne irgendwelche claims im AD. Zumindest dieser Typ von Conditional Access ist also ganz offensichtlich *nicht* claims-basiert. Ich gehe inzwischen davon aus, dass man für eine Bedingung mit einer Gruppe von Rechnern ebenfalls *keine* claims-Definition benötigt, wohl aber Windows 8 und einen w2k12 DC, weil dafür das erweiterte Kerberos-Protokoll benötigt wird, dass bei Windows7/w2k8 noch nicht zur Verfügung steht. Dieses erweiterte Kerberos-Protokoll muss aber auf dem DC erst aktiviert werden, wenn ich mich nicht sehr irre. Hast Du das gemacht? Falls Du über einen Case bei Microsoft noch etwas zu dem Thema in Erfahrung bringen solltest wäre ich natürlich sehr interessiert! Gruß CP
    Dienstag, 25. Juni 2013 16:29
    |
  • Discussion
    Anmelden
    0
    Anmelden

    Claims werden durch eine Erweiterung des Kerberos Protokols realisiert - s.a.:

    Microsoft Open Specification - [MS-KILE]: Kerberos Protocol Extensions
    1.3.4 Compound Identity
    http://msdn.microsoft.com/en-us/library/hh554128.aspx

    Des Weiteren:

    Windows Server 2012 – Flexible Authentication Secure Tunneling (FAST)
    [..]
    This new feature enhances Kerberos Authentication. By keeping it from fallback to less-secure legacy protocols and protection against offline dictionary attacks. But what is really important about this, is that it is required if you plan to use Claims within Dynamic Access Control. This is the enhancement that allows us to put claims into the Kerberos ticket.
    [..]
    Source: http://blogs.technet.com/b/bruce_adamczak/archive/2012/10/13/follow-me-and-learn-windows-server-2012-flexible-authentication-secure-tunneling-fast.aspx

    [..]
    Dynamic Access Control adds Active Directory Claims to the [Kerberos] Ticket. Therefore, calculating the expected ticket sizes is no longer straightforward. The expectation is that tickets that are issued by Windows Server 2012 domain controllers are smaller than the same tickets that are issued from older operating system versions. Claims add to the ticket size. However, after Windows Server 2012 file servers are using claims broadly, you can expect to phase out a significant number of your groups that control file access to trim ticket sizes
    [..]
    Source: http://support.microsoft.com/kb/327825/en-us

    Zusätzlich stehen die Hintergründe u.a. hier beschrieben:

    [..]
    Compound authentication

    Compound authentication is an extension to Flexible Authentication Secure Tunneling (FAST), which allows Kerberos clients to provide the device’s TGT. This allows Windows Server 2012 KDCs to create service tickets with device authorization data for services that are hosted on Windows 8 and configured to support device authorization data. Access tokens that are created from these service tickets include the device’s groups and claims, which can be used for access control.

    What value does this change add?

    This enables Windows Server 2012 to control access to resources with expressions in terms of:

    • Devices
    • Device groups
    • Device claims, if the device’s domain supports claims and compound authentication for Dynamic Access Control and Kerberos armoring

    What works differently?

    To support resources by using compound authentication for access control, the resource domains need one of the following:

    • All Windows Server 2012 domain controllers
    • Sufficient Windows Server 2012 domain controllers to handle all the Windows 8 device authentication requests

    Additionally, you will need to configure on the domain controller OU, the new KDC support for claims, compound authentication and Kerberos armoring policy with “Supported” or higher setting, and if the client is retrieving claims, configure the new Kerberos client support for claims, compound authentication and Kerberos armoring policy on each client.

    Access control based on device claims also require the device’s domain to be provisioned for claims. Access control based on device or device groups, does not.

    [..]

    Claims

    Claims are new authorization data that are provided by Active Directory. When claims are provisioned, Windows Server 2012 KDCs can create service tickets with a principal’s claims. Access tokens that are created from these service tickets include claims that can be used for access control.

    What value does this change add?

    This enables Windows Server 2012 to control access to resources with expressions in terms of:

    • User claims
    • Device claims, if the resource’s domain supports claims and compound authentication for Dynamic Access Control and Kerberos armoring

    What works differently?

    To support resources that use claims-based access control, the principal’s domains will need to be running one of the following:

    • All Windows Server 2012 domain controllers
    • Sufficient Windows Server 2012 domain controllers to handle all the Windows 8 device authentication requests
    • Sufficient Windows Server 2012 domain controllers to handle all the Windows Server 2012 resource protocol transition requests to support non-Windows 8 devices

    Additionally, you will need to configure on the domain controller OU, the new KDC support for claims, compound authentication and Kerberos armoring policy with “Supported” or higher setting, and if the client is retrieving claims, configure the new Kerberos client support for claims, compound authentication and Kerberos armoring policy on each client.

    [..]
    Source: http://technet.microsoft.com/en-us/library/hh831747.aspx

    --

    Tobias Redelberger
    StarNET Services (HomeOffice)
    Frankfurter Allee 193
    D-10365 Berlin
    Tel: +49 (30) 86 87 02 678
    Mobil: +49 (163) 84 74 421
    Dienstag, 25. Juni 2013 18:43
    |