8
Abfragen von Gruppenmitgliedschaften eines Benutzers in einer fremden Domäne
Hallo zusammen,
Mein Problem ist ziemlich verzwickt.
Wir haben einige Mitarbeiter, die auch mal zu Hause noch arbeiten. Das wäre ja kein Problem, aber leider haben die meisten unserer Mitarbeiter keinen Laptop und müssen deshalb ihren Privatrechner, der natürlich nicht in der Domäne ist, benutzen.
Jetzt versuche ich schon seit Tagen, ein Batch-Script zu schreiben, welches folgendes machen soll:
Am Ende sollen also auf dem Privatrechner des Mitarbeiters, je nach Benutzergruppe, verschiedene Netzwerklaufwerke hinzugefügt sein.
Aufgrund von Sicherheits- und Stromsparmaßnahmen werden ab 22 Uhr alle Computer bei uns zentral heruntergefahren. Es gibt dann nur noch den Domänencontroller, der gleichzeitig auch die Freigabe hostet.
Habt ihr da irgendwelche Ideen, wie man das realisieren könnte?
Vielen Dank im Voraus!
Mein Problem ist ziemlich verzwickt.
Wir haben einige Mitarbeiter, die auch mal zu Hause noch arbeiten. Das wäre ja kein Problem, aber leider haben die meisten unserer Mitarbeiter keinen Laptop und müssen deshalb ihren Privatrechner, der natürlich nicht in der Domäne ist, benutzen.
Jetzt versuche ich schon seit Tagen, ein Batch-Script zu schreiben, welches folgendes machen soll:
- prüfen, welchen Benutzergruppen der Mitarbeiter angehört
- ein Netzwerklaufwerk hinzufügen und sich dort mit dem Domänenbenutzernamen anmelden
Am Ende sollen also auf dem Privatrechner des Mitarbeiters, je nach Benutzergruppe, verschiedene Netzwerklaufwerke hinzugefügt sein.
Aufgrund von Sicherheits- und Stromsparmaßnahmen werden ab 22 Uhr alle Computer bei uns zentral heruntergefahren. Es gibt dann nur noch den Domänencontroller, der gleichzeitig auch die Freigabe hostet.
Habt ihr da irgendwelche Ideen, wie man das realisieren könnte?
Vielen Dank im Voraus!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 441166
Url: https://administrator.de/contentid/441166
Printed on: April 19, 2024 at 17:04 o'clock
8 Comments
Latest comment
Moin ,
Du lässt nicht gemanagte (private) Laptops per VPN in dein Firmennetzwerk ??
Absolutes No-Go!
Und den DC nutzt man auch nicht als Fileserver.
Also mache es richtig . Stellt den Mitarbeitern Geräte, bringt diese in die Domäne und sichert diese entsprechend ab.
Wie realisiert ihr das VPN ?
Gruss
Du lässt nicht gemanagte (private) Laptops per VPN in dein Firmennetzwerk ??
Absolutes No-Go!
Und den DC nutzt man auch nicht als Fileserver.
Also mache es richtig . Stellt den Mitarbeitern Geräte, bringt diese in die Domäne und sichert diese entsprechend ab.
Wie realisiert ihr das VPN ?
Gruss
Moin,
das was du da vor hast ist Harakiri.
Lasst entweder die Rechner laufen btw. weckt die per WOL auf, oder installiert einen Terminalserver.
Gruß
das was du da vor hast ist Harakiri.
Lasst entweder die Rechner laufen btw. weckt die per WOL auf, oder installiert einen Terminalserver.
Gruß
Stichwort: Terminalserver
Hallo,
Zuallererst Private Rechner gehören nicht in deine Domäne, auch nicht maal eben. Das st ein NoGo. Als Beispiel sei mal genannt: Du darfst auf diesen eurer Firma fren´mdes Eigentum nicht mal eben eine Software Installieren, Lösche, irgendetwas ändern usw. Deswegen stellen die Arbeitgeber diesen Mitarbeitern die Hardware, inkl. Router und Internetanschluß. Denn da bestimmt der Arbeitgeben was damit dar oder nicht darf.
Oder es wird eine TermenalServer Umgebunbung aufgebaut und genutzt.Da bleiben dann sogar alle Dokumente am Firmenstandort und verlassen diesen nicht.
Auch ist die Gefahr eines Virus oder Trojaners weitgehenst reduziert, welche aber von den getroffenen Einstellungen abhängig ist.
Deine Bastellösung brauchst dann auch nicht mehr. Firma = Firma, Privat = Privat.
Gruß,
Peter
Zuallererst Private Rechner gehören nicht in deine Domäne, auch nicht maal eben. Das st ein NoGo. Als Beispiel sei mal genannt: Du darfst auf diesen eurer Firma fren´mdes Eigentum nicht mal eben eine Software Installieren, Lösche, irgendetwas ändern usw. Deswegen stellen die Arbeitgeber diesen Mitarbeitern die Hardware, inkl. Router und Internetanschluß. Denn da bestimmt der Arbeitgeben was damit dar oder nicht darf.
Oder es wird eine TermenalServer Umgebunbung aufgebaut und genutzt.Da bleiben dann sogar alle Dokumente am Firmenstandort und verlassen diesen nicht.
Auch ist die Gefahr eines Virus oder Trojaners weitgehenst reduziert, welche aber von den getroffenen Einstellungen abhängig ist.
Deine Bastellösung brauchst dann auch nicht mehr. Firma = Firma, Privat = Privat.
Gruß,
Peter
Vielen lieben Dank erst einmal für Antworten.
Zum Thema Sicherheit: das Ganze ist eine Nebendomäne, die keine vertrauliche oder sensible Daten beinhaltet. Sie ist von der Hauptdomäne komplett unabhängig. Deshalb ist der Domänencontroller in diesem Fall auch gleichzeitig der Fileserver (eingeschränkte Ressourcen).
Das mit dem Terminalserver ist so eine Sache. Ich befürchte, das kommt aufgrund fehlender Rechenleistung nicht in Frage. Leider habe ich für diese Nebendomäne nur einen Server zur Verfügung.
Gibt es keine andere Möglichkeit?
Zum Thema Sicherheit: das Ganze ist eine Nebendomäne, die keine vertrauliche oder sensible Daten beinhaltet. Sie ist von der Hauptdomäne komplett unabhängig. Deshalb ist der Domänencontroller in diesem Fall auch gleichzeitig der Fileserver (eingeschränkte Ressourcen).
Das mit dem Terminalserver ist so eine Sache. Ich befürchte, das kommt aufgrund fehlender Rechenleistung nicht in Frage. Leider habe ich für diese Nebendomäne nur einen Server zur Verfügung.
Gibt es keine andere Möglichkeit?
Hallo,
Solange hier keiner weiß was die Clients genaus tun sollen (Die Benuter und die Rechner) und mit welchen rechten usw. diese agieren sollen, kannst du nicht erwarten das du mehr als diese Vorschläge bekommen kannst, auch nicht wenn wir alles andere noch wissen sollten. Zu sagen das du nur einen Maschine hast, hiklfz weder uns noch dir dir. Aber du willst ja etwas realisieren aber zu wenige Resourcen hast.
Stell für jeden Aussendienstler einein lokalen Rechner auf, nutze VPN und lass die Aussendienstler per RDP sich verbinden, oder nutze sachen wie TeamViewer usw. Ihr habt doch noch irgendwo alte Rechner rumstehen, oder? Egal wie du es bastelst, es wird ein Bastelobjekt bleiben und wird dem Sicherheitsbedürfniss der Firma nicht gerecht. Eine Nebendomäne bietet keinerlei Sicherheit, was auch immer ein Nebendomäne sein soll. Da ist nichts irgedwie getrennt.
Gruß,
Peter
Solange hier keiner weiß was die Clients genaus tun sollen (Die Benuter und die Rechner) und mit welchen rechten usw. diese agieren sollen, kannst du nicht erwarten das du mehr als diese Vorschläge bekommen kannst, auch nicht wenn wir alles andere noch wissen sollten. Zu sagen das du nur einen Maschine hast, hiklfz weder uns noch dir dir. Aber du willst ja etwas realisieren aber zu wenige Resourcen hast.
Stell für jeden Aussendienstler einein lokalen Rechner auf, nutze VPN und lass die Aussendienstler per RDP sich verbinden, oder nutze sachen wie TeamViewer usw. Ihr habt doch noch irgendwo alte Rechner rumstehen, oder? Egal wie du es bastelst, es wird ein Bastelobjekt bleiben und wird dem Sicherheitsbedürfniss der Firma nicht gerecht. Eine Nebendomäne bietet keinerlei Sicherheit, was auch immer ein Nebendomäne sein soll. Da ist nichts irgedwie getrennt.
Gruß,
Peter
Moin.
Zum Thema Sicherheit: das Ganze ist eine Nebendomäne, die keine vertrauliche oder sensible Daten beinhaltet.
Erkläre uns doch mal, was ist eine Nebendomäne. Was Du als Nebendomäne nennst, ist vielleicht eine Subdomain, oder eine Site.
Ist das eine RODC (Readonly Domaincontroller)?
Sie ist von der Hauptdomäne komplett unabhängig. Deshalb ist der Domänencontroller in diesem Fall auch gleichzeitig der Fileserver (eingeschränkte Ressourcen).
Und dann ist dieser auch noch Fileserver (Dateiserver)? Das ist ein Designfehler. Warum man das so gemacht hat, wissen wir nicht, möglicherweise aus der Historie gewachsen.
Und zu guter Letzt: Wenn Mitarbeiter das mitmachen, dass Ihre Privatrechner für dienstliche Zwecke genutzt werden, wer kommt für die Schäden auf, wenn die Rechner wegen Virenbefall neu installiert werden müssen? @Pjordorf.">Siehe Kommentar von @Pjordorf.
Gruss Penny.
Zum Thema Sicherheit: das Ganze ist eine Nebendomäne, die keine vertrauliche oder sensible Daten beinhaltet.
Ist das eine RODC (Readonly Domaincontroller)?
Sie ist von der Hauptdomäne komplett unabhängig. Deshalb ist der Domänencontroller in diesem Fall auch gleichzeitig der Fileserver (eingeschränkte Ressourcen).
Und dann ist dieser auch noch Fileserver (Dateiserver)? Das ist ein Designfehler. Warum man das so gemacht hat, wissen wir nicht, möglicherweise aus der Historie gewachsen.
Und zu guter Letzt: Wenn Mitarbeiter das mitmachen, dass Ihre Privatrechner für dienstliche Zwecke genutzt werden, wer kommt für die Schäden auf, wenn die Rechner wegen Virenbefall neu installiert werden müssen? @Pjordorf.">Siehe Kommentar von @Pjordorf.
Gruss Penny.
Hallo @xneb20,
die Beste und sicherste Variante wäre es einen Terminalserver aufzubauen, wie die anderen Damen und Herren bereits geschrieben haben. Da dies aus Mangel an Ressource nicht möglich ist, ist hier eine mögliche Hilfestellung für deine Frage.
Anstatt die Privatcomputer deiner Kollegen zu monitoren und diese Hand an ihrer Berechtigungen im AD die Laufwerke zuzweisen, wäre es einfacher, wenn deine Kollegen nachdem erfolgreichen Aufbau der VPN-Verbindung ein Batchskript/PowerShell ausführen um die Laufwerke zu mappen.
Könnte z.B. so realisiert
Gruß, Sascha
die Beste und sicherste Variante wäre es einen Terminalserver aufzubauen, wie die anderen Damen und Herren bereits geschrieben haben. Da dies aus Mangel an Ressource nicht möglich ist, ist hier eine mögliche Hilfestellung für deine Frage.
Anstatt die Privatcomputer deiner Kollegen zu monitoren und diese Hand an ihrer Berechtigungen im AD die Laufwerke zuzweisen, wäre es einfacher, wenn deine Kollegen nachdem erfolgreichen Aufbau der VPN-Verbindung ein Batchskript/PowerShell ausführen um die Laufwerke zu mappen.
Könnte z.B. so realisiert
@echo off
set filer = "192.168.1.1"
:: Netzwerk-Laufwerkspfadangaben
set H=H: "\\%filer%\home\hansmeier"
set N=N: "\\%filer%\data"
:: Benutzer- und Passwortangaben
set user = "XYZ"
set password = "PW"
echo Hallo, Netzwerkverbindung wird ueberprueft, bitte warten..
:: Verbindung zum Fileserver herstellen.
ping -n 3 %filer% >NUL
IF ERRORLEVEL = 1 (
echo Verbindung zum Fileserver nicht moeglich, VPN-Verbindung vorhanden?
) ELSE (
echo Verbindung zum Server war erfolgreich!
echo Binde die Laufwerke an:
net use %H% | echo Binde %H% an.
net use %N% | echo Binde %N% an.
)
exitGruß, Sascha
