TruckerTom 10 Geschrieben 29. August 2008 Melden Teilen Geschrieben 29. August 2008 Hallo Kollegen, vielleicht hat ja jemand von Euch einen Denkanstoss für mich. Folgende Anforderung: es existiert bei einem Kunden ein Laptop das als "jederdarfmaldran" dient, d.h. fast jeder Mitarbeiter der Firma (ca. 70) nimmt dieses Laptop ab und zu mit auf Aussendiensttermine um dann per Vodafone UMTS und Watchguard VPN-Client sich in der Firma einzuwählen und auf den Terminalserver zuzugreifen. Jetzt benötigt aber der VPN-Client Adminrechte (um Standard-Routen neu zu stezen). Die VPN-Verbindung baut sich zwar auch auf, ohne dass der Benutzer lokale Adminrechte hat, aber er kann dann keine RDP-Sitzung auf den Terminalserver aufbauen, weil einfach die Route fehlt. Ich habe bis jetzt einfach immer jeden Benutzer zur Gruppe der lokalen Admins hinzugefügt, das wird mir aber einfach zu mühsam. Was habe ich denn noch für eine Möglichkeit? Danke für Eure Hilfe Thomas Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 29. August 2008 Melden Teilen Geschrieben 29. August 2008 Folgende Anforderung: es existiert bei einem Kunden ein Laptop das als "jederdarfmaldran" dient, d.h. fast jeder Mitarbeiter der Firma (ca. 70) nimmt dieses Laptop ab und zu mit auf Aussendiensttermine um dann per Vodafone UMTS und Watchguard VPN-Client sich in der Firma einzuwählen und auf den Terminalserver zuzugreifen. Jetzt benötigt aber der VPN-Client Adminrechte (um Standard-Routen neu zu stezen). Hmm, kannst Du keinen anderen VPN-Client einsetzen? Hast Du mal mit dem ProcessMonitor geschaut, wo welche Rechte fehlen? Ich kann mir nicht vorstellen, daß man dafür Adminrechte braucht. Zumindest ist das bei unserem CISCO-VPN-Client nicht der Fall. Die VPN-Verbindung baut sich zwar auch auf, ohne dass der Benutzer lokale Adminrechte hat, aber er kann dann keine RDP-Sitzung auf den Terminalserver aufbauen, weil einfach die Route fehlt. Ich habe bis jetzt einfach immer jeden Benutzer zur Gruppe der lokalen Admins hinzugefügt, das wird mir aber einfach zu mühsam. Was habe ich denn noch für eine Möglichkeit? Du könntest das auch per GPO steuern. Achte aber drauf, daß Du nur dieses eine Gerät erwischt: Eingeschränkte Gruppen ist aber IMHO eine unschöne Sache, daß User draußen bei Kunden lokale Adminrechte haben. Zitieren Link zu diesem Kommentar
TruckerTom 10 Geschrieben 29. August 2008 Autor Melden Teilen Geschrieben 29. August 2008 Zumindest ist das bei unserem CISCO-VPN-Client nicht der Fall. wie macht denn der das, die Einstellungen der Routen zu ändern? AFAIK geht das nur mit Admin-Rechten. Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 29. August 2008 Melden Teilen Geschrieben 29. August 2008 wie macht denn der das, die Einstellungen der Routen zu ändern?AFAIK geht das nur mit Admin-Rechten. Keine Ahnung, ist mir auch ehrlich gesagt egal, Hauptsache es funktioniert. ;) Zitieren Link zu diesem Kommentar
RanCyyD 10 Geschrieben 29. August 2008 Melden Teilen Geschrieben 29. August 2008 Den Client mit einem runas-Admin-Tool aufrufen? Zitieren Link zu diesem Kommentar
LukasB 10 Geschrieben 29. August 2008 Melden Teilen Geschrieben 29. August 2008 Oder einfach die Gruppe "Domain Users" in die lokale Administrator-Gruppe packen. Nicht elegant, aber wird auch funktionieren. Zitieren Link zu diesem Kommentar
RanCyyD 10 Geschrieben 29. August 2008 Melden Teilen Geschrieben 29. August 2008 Wobei eigentlich die Vorgehensweise doch so ist, daß der Lappi als "Thinclient" funktioniert, oder? Also von mir aus Anmelden als Admin, Einwahl mit UMTS, Verbindung mit VPN-Client, dann mit RDP auf TS und mit Domänenbenutzer anmelden. Sehe da Dein Problem nicht so ganz? Zitieren Link zu diesem Kommentar
TruckerTom 10 Geschrieben 29. August 2008 Autor Melden Teilen Geschrieben 29. August 2008 das war zuerst auch so. Hintergrund ist, dass ab und zu unterwegs ohne VPN-Verbindung im Outlook gearbeitet werden soll und da muss natürlich dann jeder sein eigenes Outlook haben, was vorher über Netzwerkkabel gesynct wird. Zitieren Link zu diesem Kommentar
RanCyyD 10 Geschrieben 29. August 2008 Melden Teilen Geschrieben 29. August 2008 UMTS und OWA, dann melden die sich doch wieder mit ihrem Domänenpasswort am Exchange an und der lokale User ist Wurst? Zitieren Link zu diesem Kommentar
Robi-Wan 10 Geschrieben 3. September 2008 Melden Teilen Geschrieben 3. September 2008 Die VPN-Verbindung baut sich zwar auch auf, ohne dass der Benutzer lokale Adminrechte hat, aber er kann dann keine RDP-Sitzung auf den Terminalserver aufbauen, weil einfach die Route fehlt. Hallo, welche Route fehlt denn? Kann man die nicht bei diesem Laptop hinzufügen (All Users - Startmenü - Autostart - "route add")? Grüße, Robert Zitieren Link zu diesem Kommentar
TruckerTom 10 Geschrieben 3. September 2008 Autor Melden Teilen Geschrieben 3. September 2008 UMTS und OWA, dann melden die sich doch wieder mit ihrem Domänenpasswort am Exchange an und der lokale User ist Wurst? geht aber z.B. nicht im Flugzeug... Und im Zug auch nicht zuverlässig. So arbeiten sie halt offline im Outlook und kommen dann irgendwann wieder mal in die Nähe eines Internetanschlusses (egal auf welche Art und Weise) und können dann abgleichen. – Hallo, welche Route fehlt denn? Kann man die nicht bei diesem Laptop hinzufügen (All Users - Startmenü - Autostart - "route add")? Grüße, Robert ich muss es mal komplett durchtesten... ich verstehe nicht, dass die Programmierer einfach sowas nicht bedenken. Naja, vielleicht wird das ja bei Vista-Software besser! Zitieren Link zu diesem Kommentar
Wurstsalat 10 Geschrieben 3. September 2008 Melden Teilen Geschrieben 3. September 2008 wie macht denn der das, die Einstellungen der Routen zu ändern?AFAIK geht das nur mit Admin-Rechten. wofür müsste er irgendwelche routen ändern? die verbindung (welche der cisco vpn adapter nutzt) wird mit höchster priorität eingerichtet (netzwerkeinstellungen - erweitert - erweiterte...) findet eine einwahl per client statt wird die verbindung aktiv geschalten und eine ip dafür vergeben inkl passendes standardgateway für diese verbindung und fertig... was der cisco vpn client macht ist lediglich die verschlüsselte verbindung aufbauen (braucht er keine adminrechte) und eben eine adresse für seinen adapter zu beziehen (braucht er auch keine adminrechte) leider hilft dir das ja nicht weiter ;) das war zuerst auch so.Hintergrund ist, dass ab und zu unterwegs ohne VPN-Verbindung im Outlook gearbeitet werden soll und da muss natürlich dann jeder sein eigenes Outlook haben, was vorher über Netzwerkkabel gesynct wird. ein reverse proxy + outlook per http verbindung wäre keine alternative? Zitieren Link zu diesem Kommentar
TruckerTom 10 Geschrieben 3. September 2008 Autor Melden Teilen Geschrieben 3. September 2008 ein reverse proxy + outlook per http verbindung wäre keine alternative? und dann soll jemand offline arbeiten können? im Flieger? rsy, sitze ich gerade auf dem Schlauch? Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.