RAS-Richtlinien

[Dickens 10]

Hallo,

 

ich habe folgende Frage zu den Einwählzeiten bei RAS-Richtlinien.

Wenn ich eine Domäne habe, kann ich ja bei den Benutzerkonten die Einwählzeiten der User konfigurieren.

Und ich kann im Profil einer RAS-Richtlinie ebenfalls Einwählzeiten einstellen.

Jedoch sind die Einwählzeiten eines Domänenbenutzerkontos immer stärker als die der RAS-Richtlinie, d.h. die RAS-Richtlinie wird hier überschrieben.

Ich lerne für die Prüfung 70-291 und im grün-weißen Buch heisst es immer, dass die Einwähleigenschaften der RAS-Richtlinie stärker seien als der Domänenbenutzer.

Das ist aber nicht so, ich habe das in einem Wählen-bei-Bedarf-Szenario sehr oft durchgespielt.

W2K3 SP1.

Wenn in einem Useraccoount die Anmeldezeiten immer erlaubt sind, und in der RAS-Richtlinie nicht habe ich trotzdem Zugriff.

Die Einwählzeiten in einem RAS-Richtlinienprofil werden nur dann angewendet, wenn der Remote-RRAS-Server ein eigenständiger Server ist, da lokale Benutzerkonten natürlich keine Einwählzeiten haben die man einstellen könnte.

 

Aber ich kann nicht nachvollziehen was im grün-weißen MS-Buch steht.:(

[IThome 10]

Wo konfigurierst Du die Einwählzeit im Benutzerkonto ?

[Dickens 10]

Unter Konto - Anmeldezeiten.

Ich dachte erst, dass dies nur für LAN relevant ist, dann bin drauf gekommen, dass evtl. auch für RRAS Szenarien wichtig sein kann.

[IThome 10]

Anmeldezeiten sind keine Einwählzeiten und gelten für jede Art Anmeldung. Die Einwählzeiten gelten dagegen nur dann, wenn man sich per RAS anmeldet. Wenn man sich aber durch die Anmeldezeiteinschränkungen nicht anmelden darf (wie auch immer), dann "überschreiben" die Anmeldezeiteinschränkungen natürlich die Einwahlzeiteinschränkungen. Dann kann man sich natürlich auch nicht interaktiv an einem Rechner der Domäne anmelden ...

Anmeldezeiten: Wann darf ich mich generell anmelden

Einwahlzeiten: Wann darf ich RAS benutzen

[Dickens 10]

Aber wenn ich die Anmeldezeiten eines Users im AD komplett in Ruhe lasse, und nur meine RAS-Richtlinie mit den konfigurierten Einwähleinschränkungen, dann bekomme ich trotzdem Zugriff.

Ich habe auch getestet, in einer RAS-Richtlinie keine Einwähleinschränkungen zu konfigurieren und im AD Account (der bei Bedarfswahl genutzt wird) zu bestimmten Zeiten den Zugriff zu verweigern.

Dann kommt auch die Meldung, dass ich keine Einwahlrechte habe (oder ähnlich).

 

Ich glaube ich werfe alles etwas durcheinander.:(

[IThome 10]

Wie ist denn das Benutzerkonto konfiguriert, wird überhaupt die RAS-Richtlinie gelesen ? In welchem Domänenbetriebsmodus befindet sich Deine Domäne (RAS-Richtlinien funktionieren nicht in jedem Modus) ?

Wenn der Benutzer nicht authentifiziert werden kann, da er Anmeldezeitbeschränkungen hat, funktioniert die Einwahl via RAS natürlich auch nicht ...

[Dickens 10]

Also ich hab das ganze in der Funktionsebene 2000 pur und 2003 immer wieder gemacht.

In 2000 gemischt kann ich beim User ja nichts über RAS-Richtlinien steuern.

Das jeweilige Benutzerkonto entspricht natürlich einer der Schnittstellen für Bedarfswahl.

Das funktioniert soweit auch alles.

Das Konto ist je testweise konfiguriert mit Zugriff über RAS-Richtlinien steuern oder Zugriff gestatten usw.

Weiter ist bei dem Konto nichts eingestellt.

[IThome 10]

Schnittstelle für Bedarfswahl ? Du willst doch einen RAS-Server betreiben (testen) oder nicht ? Greift Deine RAS-Richtlinie überhaupt (Priorität) ? Mach bitte mal ein paar Bilder Deiner Konfiguration und stelle sie bei einem Filehoster zur Verfügung ...

[Dickens 10]

Sorry wenn sich das alles konfus anhört.

Ich teste die RAS-Richtlinien mit Bedarfswahl weil ich nicht das Equipment habe, groß ein RAS-VPN zu installieren.

Die Mechanismen sind ja die gleichen.

Mit den Prioritäten kenne ich mich aus, die jeweilige Richtlinie hat Prio 1, zum testen hab ich auch mal die Standardrichtlinien gelöscht, von denen die eine den Zugriff ja immer erlaubt.

[IThome 10]

Du brauchst kein grosses RAS Szenario, teste das mit einem normalen RAS-User, der (intern) eine VPN-Verbindung herstellt und nicht mit Wählen bei Bedarf Leitungen. So habe ich das vor den Prüfungen auch getestet ...

[Dickens 10]

Hm, ok.

Danke!;)

[IThome 10]

... denn das mit den RAS-Richtlinien ist wahrlich keine Zauberei ;) (vergiss das erstmal mit den Anmeldezeiten, die direkt nichts mit RAS zu tun haben)

[Dickens 10]

Ja, ich werde das ganze nochmal neu aufsetzen.

Ein weiteres Phänomen was ich entdeckt habe ist, dass wenn ich bei den Einwählzeiten etwas konfigurieren, da muss ich dann immer den drauffolgenden Tag nehmen.:D

Also wenn ich für Montag was einstellen will, dann muss ich Dienstag nehmen,

für Dienstag muss ich Mittwoch nehmen, usw. es ist immer um einen Tag versetzt.

Das wird dann auch richtig angezeigt, also wenn ich bei den Einwähleigenschaften z.B. für Montag das Einwählen verweigere, dann nehme ich Dienstag und es wird korrekt angezeigt, also Montag fehlt dann.

Ich glaub ich installiere alles nochmal neu, oder was ist denn das.:suspect:

Ist jeweils die deutsche Version.

[IThome 10]

Hört sich auf jeden Fall schon mal komisch an :suspect:. Ich gehe aber davon aus, dass aktuell gepatched ist ?

[Dickens 10]

Ja, passt alles.