Win-10 Pro - User A nur auf ein spezifisches WLAN zulassen, User B auf ein anderes

hominidae

hominidae

Urgestein
Thread Starter
Mitglied seit
23.10.2011
Beiträge
4.165
Hi Folks,

Win-10 nervt....leider bin ich ein Windoof-Noob.

Wir haben einen Desktop mit Win10-Pro im WLAN und der wird von den Kids und den Erwachsenen benutzt.
Für die Kids gibt es ein spezifisches WLAN (SSID A), für die Erwachsenen ein anderes (SSID B).

Wie bekomme ich es hin, dass die Kids bei Anmeldung in die SSID A gezwungen werden.
Edit: ...und dort bleiben, also nicht in die "SSID B" wechseln dürfen.

Leider ist es so, dass - sobald sich mal ein Erwachsener mit SSID B verbunden hat, das Profil dann auch den Kids zur Verfügung steht.

...irgendwie muss das mit Profilen usw gehen (netsh.exe), aber wie?

Help!

greetz,
Hominidae
 
Zuletzt bearbeitet:
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Hey, das ist eig. n zweizeiler den du in ne *.bat Datei packen kannst. Die klemmst du dann einfach in den Autostart vom Profil der Kids:

wlan.bat
netsh wlan disconnect // Trennen des aktuell verbundenen WLAN Netzes
netsh wlan connect name=<Wlan SSID für Kids> ssid=<Wlan SSID für Kids> interface=<name deines WLAN Adapters>


Grueße
 
Danke für die Info.
..aber wie kann ich vermeiden, dass die Kids das WLAN dann wieder selbst wechseln?
Sobald ein Erwachsener sich mit "seinem" WLAN verbindet, kennt und speichert das System ja das Passwort....
 
Da faellt mir spontan nur zertifikats-basierte authentifizierung ein.
Wird aber mit consumer hardware nicht moeglich sein umzusetzen.
 
Hmmmm....Ok, habe hier UniFi APs und den Controller 24x7...aber ich denke, es ist overkill oder de WAf zu gering ;-)

Kann man nicht mit netsh die "SSID B" filtern/sperren?...die Kids kennen das PW für diese SSID nicht.
Dann noch (die Kids haben ja kein Admin-Konto) den Zugriff auf netsh.exe im Kids-Konto beschränken ??
 
Vielleicht geht das mit Hilfe vom Passwortspeicher der Systemsteuerung.
Dort solltest du die Credentials der SSIDs ablegen koennen um sie dann mit netsh zu verwenden.
Dann kannst du naemlich automatisiert die Profile bei Abmeldung loeschen und dann halt bei Anmeldung
Mit den abgelegten credentials wieder connecten.

Sollte irgendwie auf dem Weg machbar sein. Aber frag mich nich wie genau, habs selbst nich gemacht ^^
 
Mit netsh das WLAN-Profil für den "Erwachsenen-User" exportieren:
Code: 
netsh wlan show profiles
netsh wlan export profile name=<Name des Profils, was Du exportieren willst> folder=<Ordnernamen angeben>
Dann das Profil löschen und nur für den "Erwachsenen-User" wieder importieren:
Code: 
netsh wlan add profile filename=<Ordnername, den Du angegeben hast>\<Profilname>.xml user=current
Anschließend natürlich die xml-Datei wieder löschen. ;)
 
Was gehen dürfe wäre mit Powershell und dem PSCredential Object ein File zu erzeugen, wo du als Usernamen bspw. die SSID des WLANs und als PW eben den PSK verwendest.
In einem (sinnigerweise signierten) Powershell Script lässt du dann wahlweise bei Anmeldung oder auf Knopfdruck mit "netsh" das WLAN verbinden. Als Basis für die Verbindung nutzt du das besagte PSCredential Objekt, was du einmalig als der jeweilige Useraccount auf der lokalen Disk des PCs ablegst.

Der Vorteil dieser Lösung ist, das ist vergleichsweise sicher - der einzige (abseits von Bugusing) offizielle Weg da ran zukommen wäre das Userkonto des Nutzers zu benutzen, welcher in die SSID "B" darf -> denn das Credentials Objekt File auf der lokalen Platte ist nur im jeweiligen Userkontext mit dem es erzeugt wurde, lesbar/nutzbar... Selbst wenn jemand das File hätte. Den Ort kannst du dann dediziert nochmals mit NTFS Permissions verrammeln.
Dazu ist es absolut ohne Eingabe durchführbar - da zur Authentifizierung eben der Inhalt des Credential-Files genutzt wird. Und um sicher zu gehen, dass nicht alle User alle Credential-Files nutzen können ist der Zugriff nur im jeweilgen Rahmen des Userkontextes mit dem das File erstellt wurde, erlaubt.

Ne andere Möglichkeit sehe ich da abseits in Richtung Enterprise nicht. Außer irgend welche anderen Scripte mit dem potentielle Nachteil von händischer User/PW Eingabe oder irgendwo mit Zugriff auf die Disk (und teils im Klartext der PSKs).
Die Ubistuff Dinger können glaube ich aber auch WPA2 mit Radius Backend? Wäre ggf. für dich noch ne Option. Brauchst dann aber nen Radius Server und entsprechende Konfiguration sowie das KnowHow um das richtig einzurichten. Den Radius bekommste recht simpel auf irgend nem NAS ans laufen (QNAP/Synologie haben da sicher was als gängige Vertreter) oder eben auf irgend ner 24/7 laufenden Büchse...
Stichworte dazu wären bspw. PEAP mit MS-CHAPv2. Aber auch andere Formen mit Zertifikatsbasis und weis der Geier was noch...


PS: noch ein Hinweis, wenn du WLAN mit zwei SSIDs restrikierst - was ist mir LAN? Wie verhinderst du dass da einfach wer ne LAN Strippe anklemmt und ggf. im falschen VLAN landet oder an deinen Restriktionen vorbei agiert?
Das Authenticationeugs geht mit Switchports halt auch ;) Hier ist dann aber eher der Switch entscheidend, denn der muss da mitspielen und falsch/anders authentifizierte Accounts in andere VLANs eintüten...
 
Eye-Q schrieb:
Mit netsh das WLAN-Profil für den "Erwachsenen-User" exportieren:
Code: 
netsh wlan show profiles
netsh wlan export profile name=<Name des Profils, was Du exportieren willst> folder=<Ordnernamen angeben>
Dann das Profil löschen und nur für den "Erwachsenen-User" wieder importieren:...
Code: 
netsh wlan add profile filename=<Ordnername, den Du angegeben hast>\<Profilname>.xml user=current
Anschließend natürlich die xml-Datei wieder löschen. ;)
Zum Vergrößern anklicken....

....also ich habe es schon so ähnlich versucht mit
Code: 
netsh wlan set profiletype name=<Name, des Profiles für SSID B> profiletype=current
...dann steht beim Profil dann auch "user=current"
Aber das funzt leider nicht.
Im den Accounts der Erwachsenen taucht das Profil mit "user=current" auf...bei den Kids dann sinngemäss mit "für alle". :-(

Edit: OK, das Profil vor dem Import löschen und dediziert als User importieren, ist/klingt doch anders...werde ich am WE mal testen...

- - - Updated - - -

fdsonne schrieb:
Was gehen dürfe wäre mit Powershell und dem PSCredential Object ein File zu erzeugen, wo du als Usernamen bspw. die SSID des WLANs und als PW eben den PSK verwendest.
In einem (sinnigerweise signierten) Powershell Script lässt du dann wahlweise bei Anmeldung oder auf Knopfdruck mit "netsh" das WLAN verbinden. Als Basis für die Verbindung nutzt du das besagte PSCredential Objekt, was du einmalig als der jeweilige Useraccount auf der lokalen Disk des PCs ablegst.

Der Vorteil dieser Lösung ist, das ist vergleichsweise sicher - der einzige (abseits von Bugusing) offizielle Weg da ran zukommen wäre das Userkonto des Nutzers zu benutzen, welcher in die SSID "B" darf -> denn das Credentials Objekt File auf der lokalen Platte ist nur im jeweiligen Userkontext mit dem es erzeugt wurde, lesbar/nutzbar... Selbst wenn jemand das File hätte. Den Ort kannst du dann dediziert nochmals mit NTFS Permissions verrammeln.
Dazu ist es absolut ohne Eingabe durchführbar - da zur Authentifizierung eben der Inhalt des Credential-Files genutzt wird. Und um sicher zu gehen, dass nicht alle User alle Credential-Files nutzen können ist der Zugriff nur im jeweilgen Rahmen des Userkontextes mit dem das File erstellt wurde, erlaubt.
Zum Vergrößern anklicken....

Hmmm...OK...für mich als Win-Noop ist Powershell gleich ne Hüde ;-)

Ne andere Möglichkeit sehe ich da abseits in Richtung Enterprise nicht. Außer irgend welche anderen Scripte mit dem potentielle Nachteil von händischer User/PW Eingabe oder irgendwo mit Zugriff auf die Disk (und teils im Klartext der PSKs).
Die Ubistuff Dinger können glaube ich aber auch WPA2 mit Radius Backend? Wäre ggf. für dich noch ne Option. Brauchst dann aber nen Radius Server und entsprechende Konfiguration sowie das KnowHow um das richtig einzurichten. Den Radius bekommste recht simpel auf irgend nem NAS ans laufen (QNAP/Synologie haben da sicher was als gängige Vertreter) oder eben auf irgend ner 24/7 laufenden Büchse...
Stichworte dazu wären bspw. PEAP mit MS-CHAPv2. Aber auch andere Formen mit Zertifikatsbasis und weis der Geier was noch...
Zum Vergrößern anklicken....
Ja, weiss....aber das taue ich mir eher zu als Windoof zu überreden...wer weiss ob sowas nach einem Update noch funzt, heutzutage

PS: noch ein Hinweis, wenn du WLAN mit zwei SSIDs restrikierst - was ist mir LAN? Wie verhinderst du dass da einfach wer ne LAN Strippe anklemmt und ggf. im falschen VLAN landet oder an deinen Restriktionen vorbei agiert?
Das Authenticationeugs geht mit Switchports halt auch ;) Hier ist dann aber eher der Switch entscheidend, denn der muss da mitspielen und falsch/anders authentifizierte Accounts in andere VLANs eintüten...
Zum Vergrößern anklicken....

Ja, weiss...das habe ich im erstmal im Griff...die Kids haben nur Wireless, die Ports sind erstmal mit MAC-Filter abgesichert und da wo der Switch steht ist es ungemütlich.
Wenn Sie sich nen AP mit passender MAC bauen wird das auch nur temporär funzen, weil der Traffic im Erwachsenen-LAN dann drastisch steigen würde...unser Youtube Konsum zB wird praktisch nur von den Kidfs verursacht :-)
 
Zuletzt bearbeitet:
Anmelden, um zu antworten.

Ähnliche Themen

R
Lesertest Be Quiet! Dark Rock Pro 5
Antworten
0
Aufrufe
1K
_roman_
R
M
[User-Review] LG gram 17 17Z90S-G.AA78G
Antworten
7
Aufrufe
2K
mz_z
M
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh