Superstruppi 13 Geschrieben 22. Januar 2008 Melden Geschrieben 22. Januar 2008 Terminal Server 2003. Kann irgenwie eingeschränkt werden, dass ein bestimmter Benutzer von extern aus nicht auf den Terminalserver zugreifen kann? Alle anderen sollen beliebig zugreifen können und die Anmeldezeit soll ebenfalls nicht eingeschränkt werden. hat jemand eine idee? besten dank u. viele grüße, mario. Zitieren
IThome 10 Geschrieben 22. Januar 2008 Melden Geschrieben 22. Januar 2008 Soll dieser User nur von extern nicht zugreifen, von intern aber schon ? Wie bekommt er denn von extern die Verbindung zum Netzwerk ? Zitieren
Hansi 10 Geschrieben 22. Januar 2008 Melden Geschrieben 22. Januar 2008 bei einem user würde ichs doch mit dem ADS Anmeldezeitfenster machen...ist doch echt kein Aufwand... oder warum willst du es nicht so machen? Zitieren
Squire 276 Geschrieben 22. Januar 2008 Melden Geschrieben 22. Januar 2008 Im Active Directory Computer und Benutzer auf den User gehen und auf dem Karteireiter Terminaldiensteprofil unten den Haken bei "Anmeldeberechtigung auf alle Teminalserver verweigern" setzen Zitieren
Bengah 10 Geschrieben 22. Januar 2008 Melden Geschrieben 22. Januar 2008 Wie wärs mit: AD Benutzer & Computer -> Eigenschaften des Users -> Terminaldiensteprofil -> "Anmeldeberechtigung für diesen Benutzer für alle TS verweigern" Oder meinst Du, dass sich der User innerhalb des Netzwerkes schon am TS anmelden darf? Gruß Bengah Zitieren
Superstruppi 13 Geschrieben 22. Januar 2008 Autor Melden Geschrieben 22. Januar 2008 @ithome, bengah, squire: von intern verwenden die benutzer den lan servernamen. von extern die externe ip-adresse. ja, der user soll nur von intern anmelden können/dürfen, von extern aber nicht. @hansi: es geht leider nicht darum, was ich will. eine zeiteinschränkung nicht sinnvoll, wenn der user in der firma sitzt - wo er arbeiten darf - und nicht einsteigen kann. der besagte user soll in seinem übereifer (von zuhause/extern) eingeschränkt werden. ja, auch das gibts. :-) Zitieren
XP-Fan 224 Geschrieben 22. Januar 2008 Melden Geschrieben 22. Januar 2008 Hallo, du hast aber noch eine Frage offen von ITHome: Wie greift der User von aussen zu ? Gibts es an diesem Punkt keine Option den User einzuschränken ? Zitieren
Dr.Melzer 191 Geschrieben 22. Januar 2008 Melden Geschrieben 22. Januar 2008 Wie kommt der fragliche User denn auf den TS drauf von extern? Steht der TS direkt im WEB (was aus meiner Sicht extrem fahrlässig wäre) oder ist eine Firewall davor? Zitieren
Superstruppi 13 Geschrieben 22. Januar 2008 Autor Melden Geschrieben 22. Januar 2008 der port 3389 ist für alle offen. der user verwendet verschiedene geräte u. verbindungen (seine ip von extern ist sozusagen nicht eindeutig). der user muss am server eingeschränkt werden. die anderen user dürfen davon nicht betroffen sein. Zitieren
Superstruppi 13 Geschrieben 22. Januar 2008 Autor Melden Geschrieben 22. Januar 2008 Wie kommt der fragliche User denn auf den TS drauf von extern? Steht der TS direkt im WEB (was aus meiner Sicht extrem fahrlässig wäre) oder ist eine Firewall davor? der ts steht hinter einer firewall mit druchgeschliffenem 3389 port u. rdp zertifikatverschlüsselung. Zitieren
IThome 10 Geschrieben 22. Januar 2008 Melden Geschrieben 22. Januar 2008 Hm, da fällt mir eigentlich nichts zu ein. Der TS unterscheidet nicht, woher die Anfrage kommt und selbst wenn er das tun würde, sind die IP-Adressen des Users ja unterschiedlich. Nach User unterscheiden kann er auch nicht, da dieser User sich auch intern anmelden soll. Das einzige, was mir dazu einfällt, wäre eine vorherige Authentifizierung an der Firewall (was aber sicher so nicht gewollt ist). Hm, Leere in meinem Kopf ... :D Zitieren
Dr.Melzer 191 Geschrieben 22. Januar 2008 Melden Geschrieben 22. Januar 2008 Warum machst du nicht eine Authentifizierung bereits an der Firewall, bevor du den User an den TS durchreichst. damit musst du den TS nicht einschränken und filterst nur den Zugang von aussen. Zitieren
Squire 276 Geschrieben 22. Januar 2008 Melden Geschrieben 22. Januar 2008 Hi, sinnvoll wäre m.E. den Zugang per VPN (PPTP mittels RAS über einen 2003er Server) reicht vollkommen zur Verfügung zu stellen. Dann kann man einfach für diesen User die RAS Einwahl verbieten und gut ist es - den TS für alle mittels Port 3389 von außen freizugeben ... das ist absolut keine gute Idee. Nebenbei - wir hatten vor einem halben Jahr unser regelmäßiges Sicherheits Audit - bei RDP kann man Benutzername und Passwort mitlesen (selbst gesehen auch mit RDP 6.0 Client - hatten die beiden externen Consultants böse Tools auf den Rechnern :D) Zitieren
Superstruppi 13 Geschrieben 23. Januar 2008 Autor Melden Geschrieben 23. Januar 2008 Hi,Nebenbei - wir hatten vor einem halben Jahr unser regelmäßiges Sicherheits Audit - bei RDP kann man Benutzername und Passwort mitlesen (selbst gesehen auch mit RDP 6.0 Client - hatten die beiden externen Consultants böse Tools auf den Rechnern :D) mit mstsc v.6.x u. passendem zertifikat passiert keine pw rawtextübertragung mehr. Zitieren
Superstruppi 13 Geschrieben 23. Januar 2008 Autor Melden Geschrieben 23. Januar 2008 erstmal danke für alle antworten!! Warum machst du nicht eine Authentifizierung bereits an der Firewall, bevor du den User an den TS durchreichst. damit musst du den TS nicht einschränken und filterst nur den Zugang von aussen. ja, das klingt gut. würde das dann nur über eine vpn-verbindung gehen oder auch ohne installation bzw. einrichtung auf client-seite? welche hardware wäre denn dafür geeignet? meines wissens unterstützen das die kleineren zywalls ja nicht, oder? hat jemand vielleicht hardware empfehlungen diesbezüglich (achtung kmu bereich, also nicht zu teuer)? in diesem fall geht es um ca. 10-15 user. lg, mario. Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.