# Linux-Server (DC und AD) und Daten über VPN



## Seven (28. August 2011)

*Linux-Server (DC und AD) und Daten über VPN*

Hallo, 

ich hoffe ich habe das richtige Unterforum gewählt.

Stellt euch folgende Situation vor:

Ich habe einen Linux Server mit Samba zum Domaincontroller mit Active Directory für eine Windows-Umgebung erstellt. 

Ist es möglich das jedem Benutzer der sich mit seine Benutzerdaten die in der Active Directory gespeichert sind um von außerhalb über VPN auf dem Server einloggt möchte nur die Dateien zur Verfügung gestellt werden die im auch wirklich gehören? Oder kann ich nur bestimme Ordner für das VPN freigeben?

Ich hoffe es ist klar was ich versuche zu fragen, sonst bei Unklarheiten einfach Fragen.

Gruß Seven


----------



## riedochs (29. August 2011)

*AW: Linux-Server (DC und AD) und Daten über VPN*

Das sollte mit LDAP gehen. Aber Samba mit AD zu vergleichen ist schon eine Beleidigung für AD. AD kann doch einiges mehr.


----------



## CiususX (29. August 2011)

*AW: Linux-Server (DC und AD) und Daten über VPN*

Ich versteh deine Frage nicht ganz.
Du hast nen Samba als AD und jeder Benutzer hat eine eigene Freigabe? Wo ist da das Problem wenn man sich per VPN auf dem Server einwählt? Die Clients können dann doch trotzdem nicht auf die Freigaben der anderen Nutzer.


----------



## Seven (29. August 2011)

*AW: Linux-Server (DC und AD) und Daten über VPN*



riedochs schrieb:


> Das sollte mit LDAP gehen. Aber Samba mit AD zu vergleichen ist schon eine Beleidigung für AD. AD kann doch einiges mehr.



Danke! Werd mir mal LDAP anschauen!



CiususX schrieb:


> Ich versteh deine Frage nicht ganz.
> Du hast nen Samba als AD und jeder Benutzer hat eine eigene Freigabe? Wo ist da das Problem wenn man sich per VPN auf dem Server einwählt? Die Clients können dann doch trotzdem nicht auf die Freigaben der anderen Nutzer.



Jeder Benutzer hat ein Benutzerkonto, dass ja auch die dazugehörigen privaten Dateien (Bilder, Dokumente, usw...) besitzt. IIch meinte folgendes: Wenn ich per VPN einwähle mit meinen Benutzerkonto bekomme ich dann auch nur meine privaten Daten? Oder muss ich das alles sozusagen ein zweites mal in dem VPN Programm einrichten, so das am Ende Nutzer x nur die daten von nuter x bekommt.


----------



## CiususX (29. August 2011)

*AW: Linux-Server (DC und AD) und Daten über VPN*

Wenn du dich als Nutzer x anmeldest bekommst du auch nur die Daten von Nutzer x. Sonst wäre da eine krasse Sicherheitslücke.
Anstatt LDAP anzuschauen schau dir lieber mal VPN´s (IPsec, OpenVPN) an.


----------



## kühlprofi (29. August 2011)

*AW: Linux-Server (DC und AD) und Daten über VPN*

Das machst du am besten über die AD mit Membergroups. z.B membergroup "Seven", "Eigth" "Nine".
Den jeweiligen Membergroups teilst du dann die AD user zu.
Auf Ordnerfreigaben gibst du dann jeweils nur einer oder mehreren Membergroups verschiedene Rechte, oder keine. 
Somit musst du an den Ordnerfreigaben in Zukunft nichts mehr ändern sondern kannst die Benutzerrechte über die Membergroup verwalten, was durchaus einfach und praktischer ist.

Für die VPN Benutzer kannst du dann ja auch eine Membergroup "VPN User" erstellen z.B


Hast du mal einen Screenshot deiner AD-Konsole? 

*ZITAT Seven*
_Jeder Benutzer hat ein Benutzerkonto, dass ja auch die dazugehörigen privaten Dateien (Bilder, Dokumente, usw...) besitzt. IIch meinte folgendes: Wenn ich per VPN einwähle mit meinen Benutzerkonto bekomme ich dann auch nur meine privaten Daten? Oder muss ich das alles sozusagen ein zweites mal in dem VPN Programm einrichten, so das am Ende Nutzer x nur die daten von nuter x bekommt. _

Du musst "roaming user profiles" verwenden. In der AD kannst du jedem User in den jeweiligen Benutzereinstellungen seinen Profilpfad angeben und ein Netzlaufwerk wie z.B. Persönliche Arbeitsablage mounten.
Die Profilordner und z.B. Arbeitsablageordner gibst du dann jeweils nur dem AD Benutzer als "Full Control" frei. Somit kann jeder nur auf sein Profil zugreiffen. Roaming Profiles aktivieren usw. kannst du in den Policies.


Gruss


----------

