Windows Server 2008 - Mappen von Shares / Laufwerken für Windows 7 Clients nur aus lokalem Standort zulassen

Alle Antworten

• 

  

  0

  Anmelden

  > wie kann man das Mappen von Shares oder Laufwerken für Windows 7 nur aus dem lokalen Standort zulassen?

  Mühsam... Du könntest auf den Servern SMB inbound nur "Local Subnet" zulassen, sperrst Dich als Admin damit aber auch aus. Du könntest auf den Clients SMB outbound nur "Local Subnet" zulassen, aber dann muß überall auch ein Domain Controller stehen.

  Man fragt sich natürlich auch: Wozu? Sind die User in geeigneten Gruppen, dann regle das über Berechtigungen.

  Montag, 12. März 2018 16:12

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Am 12.03.2018 um 16:00 schrieb Michael_Re:

  > Anders gesagt: Wir möchten verhindern dass Benutzer sich mit einem Share

  > eines anderen Standorts innerhalb eines AD verbinden.

   

  Dafür hat Gott Sicherheitsgruppen erschaffen?

   

  Na gut, soll wohl abhängig von IP sein, Stichwort DFS ... Du hast ja

  Router dazwischen mit einem Regelwerk (Firewall), blockiere ausgehenden

  SMB traffic, sorge dafür, daß immer(!) ein DC im Standort erreichbar ist

  und lebe mit 0,05 % Fehler bei der Anmeldung/Abarbeitung der

  Gruppenrichtlinien, weil der Client doch mit dem falschen DC reden möchte.

   

  Tschö

  Mark

   

  --

  Mark Heitbrink - MVP Group Policy - Cloud and Datacenter Management

   

  Homepage:  http://www.gruppenrichtlinien.de - deutsch

  Aktuelles: https://www.facebook.com/Gruppenrichtlinien/

   

  GET Privacy and DISABLE Telemetry on Windows 10

  gp-pack PaT - http://www.gp-pack.com/

   

  Montag, 12. März 2018 17:42

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Hallo,

  danke für eure Antworten.

  Ja, es soll abhängig von IP/Subnet sein.

  VG

  Michael R.

  Dienstag, 13. März 2018 07:10

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Moin,

  ich gehe jetzt optimistischerweise davon aus, dass serverseitig 2008R2 zum Einsatz kommt. Wenn Du die Möglichkeit findest, Computer zuverlässig in Gruppen zu stecken, abhängig davon, in welcher Site sie sind, kannst Du die ACLs auf den File Shares um Conditional Access erweitern nach dem Muster "Device in Group SITE01 --> Zugriff erlauben".

  Um die Gruppen zu befüllen, wirst Du wohl skripten müssen. Da gibt es zwei grundsätzliche Vorgehensweisen:

  - Lokal: Die Computer bekommen das Recht, Gruppen beizutreten, und tun dies bei Login oder periodisch. dabei müssen sie natürlich auch aus allen anderen Gruppen austreten.

  - Zentral: Du pollst in regelmäßigen Abständen die IPs der Computer von einem zentralen Server aus und befüllst dadurch die Gruppen.

  Sind die Computer ortsfest, kannst Du sie natürlich auch fest in solche Gruppen stecken.

  Das Gute dabei ist, dass Du dir die Möglichkeit nicht verbaust, Gruppen zu definieren, die auch von überall Zugriff haben sollen.

  Eine andere, deutlich aufwändigere Variante (die dafür aber zuverlässig und auch für Nicht-Domänen-PCs funktionieren würde), wäre der Einsatz von NAP. Da kannst Du das IP-Subnetz direkt als Bedingung auswerten.

  EDIT: Aber wenn man Deinen OP buchstäblich interpretiert (Du wolltest ja das Mappen, nicht den Zugriff, verhindern!), dann ist es easy: Definiere die AD-Standorte korrekt und binde die GPP, die die Laufwerke mappen, an Standorte und nicht an OUs.

  ---

  Evgenij Smirnov

  I work @ msg services ag, Berlin -> http://www.msg-services.de
  I blog (in German) @ http://it-pro-berlin.de
  my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
  Exchange User Group, Berlin -> https://exusg.de
  Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
  Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

  ---

  In theory, there is no difference between theory and practice. In practice, there is.

  
  

  • Bearbeitet Evgenij Smirnov Dienstag, 13. März 2018 08:35

  Dienstag, 13. März 2018 08:34

  Antworten

  |

  Zitieren