martins 11 Geschrieben 30. Mai 2010 Melden Teilen Geschrieben 30. Mai 2010 Hallo, folgende Situation: Wir haben einen Fileserver (Windows Server 2008 R2, Patchstand: aktuell), auf den zukünftig nur noch von einem Remote Desktop Server (Windows Server 2008 R2) zugegriffen werden soll. Es soll nicht mehr möglich sein, dass die User von ihrem stationären Client auf die Shares zugreifen können. Zu diesem Zweck habe ich testweise einen bestimmten Ordner auf dem Fileserver erstellt und einem PC (Computerkonto) mit der Berechtigung "Vollzugriff => Verweigern" hinzugefügt. Leider klappt das so überhaupt nicht. Wenn ich nun von diesem PC auf den Share zugreifen möchte, klappt das leider auch. Warum? Schließlich habe ich dem System jegliches Recht entzogen und ein verweigertes Recht hat doch vor einem zugelassenen Recht immer Vorrang!? Danke für euren Support Martin Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 30. Mai 2010 Melden Teilen Geschrieben 30. Mai 2010 Hi, Du greifst auf das Share nicht im System / Computerkontenkontext zu - daher kann das ist der Form nicht klappen. Der Benutzer authentifiziert sich beim Zugriff auf das Share, nicht der Computer. Was genau möchtest Du damit erreichen bzw. was ist der Hintergrund für dieses Vorhaben? Vielleicht läßt sich das ja auch anders lösen. Viele Grüße olc Zitieren Link zu diesem Kommentar
martins 11 Geschrieben 30. Mai 2010 Autor Melden Teilen Geschrieben 30. Mai 2010 Hi Olc, Hintergrund ist der, dass die User nur noch via "Remote Desktop Service" auf den Fileserver zugreifen sollen. Also Computer starten und dann entweder per RemoteApp oder Remote-Desktop auf die Ressourcen zugreifen... das soll im nächsten Schritt Richtung ThinClients gehen. Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 30. Mai 2010 Melden Teilen Geschrieben 30. Mai 2010 Hi Martin, das hatte ich verstanden ;) - die Frage ist, warum Du den Remote Share Zugriff verhindern möchtest? Was ist der Sinn dahinter - technisch Probleme zu lösen, die eigentlich an den Prozessen / der internen Kommunikation liegen? Ist der Fileserver gleichzeitig Terminal Server? Über welche Größenordnung sprechen wir hier - eine solche Rollenmischung ist oftmals nicht optimal. Viele Grüße olc Zitieren Link zu diesem Kommentar
martins 11 Geschrieben 30. Mai 2010 Autor Melden Teilen Geschrieben 30. Mai 2010 Hi Olc, ich möchte den Zugriff ja nicht grundsätzlich verhindern, eben nur direkt von den Arbeitsstationen. Es soll einfach mehr Kontrolle da sein, dass User z.B. Dateien vom Fileserver nicht auf einen USB-Stick kopieren können oder nicht per Webmail (gmx, web.de, etc.) verschicken können. Wenn der Zugriff nur noch von einem Remotedesktopserver erfolgt, kann ich das zentraler / einfacher steuern, imho. ;) Der Fileserver ist nicht gleichzeitig Terminalserver. Der Terminalserver läuft als virtualisiertes System unter Hyper-V. Es geht um ca. 50 Benutzer (30 lokale User und 20 an zwei entfernten Standorten). Gruß Martin Zitieren Link zu diesem Kommentar
zahni 562 Geschrieben 30. Mai 2010 Melden Teilen Geschrieben 30. Mai 2010 Du könntest dei Firewall im Windows entsprechend konfigurieren, so dass nur der Termnal-Server Zugriff hat. Allerdings glaube ich nur bedingt, dass sich der Versand von Dateien über email so besser kontrollieren lässt. Zumindest fällt mir nichts ein, was nicht auch bei einem normalen Desktop möglich ist. USB lässt sich auch entsprechend sperren. Zugriffe auf Webmailer lassen sich mit passenden Filtern im Proxy verhindern. Zitieren Link zu diesem Kommentar
martins 11 Geschrieben 30. Mai 2010 Autor Melden Teilen Geschrieben 30. Mai 2010 Hallo zahni, USB-Sticks, -HDDs sollen ja nicht grundsätzlich verboten werden - es soll / darf nur nicht möglich sein, dass Dateien unkontrolliert das Unternehmen verlassen. Und auch Webmail sollen die User ruhig nutzen können... dann aber direkt an Ihrem PC und nicht auf dem Terminalserver. Übrigens haben wir eine ASG 220 (Fullguard) von Astaro im Einsatz. Wie müsste ich denn die Windows-Firewall vom Fileserver konfigurieren, wenn ich die Clients vom Fileserver fernhalten möchte? Ansonsten noch Tipps und Tricks? ;) Danke und Grüße Martin Zitieren Link zu diesem Kommentar
NorbertFe 2.110 Geschrieben 30. Mai 2010 Melden Teilen Geschrieben 30. Mai 2010 Wie müsste ich denn die Windows-Firewall vom Fileserver konfigurieren, wenn ich die Clients vom Fileserver fernhalten möchte? Genauso wie jede andere Firewall auch. Du gibtst nur denjenigen Computern Zugriff auf die benötigten Ports, die auch drauf zugreifen können sollen. Bye Norbert Zitieren Link zu diesem Kommentar
martins 11 Geschrieben 30. Mai 2010 Autor Melden Teilen Geschrieben 30. Mai 2010 hmmm... ich habe eine "Eingehende Regel" auf dem Fileserver erstellt mit der Option "Nur Verbindung von diesen Computern zulassen" und den Terminalserver ausgewählt, mit der Aktion (Register Allgemein => "Nur sichere Verbindungen zulassen"). Diese Regel bezieht sich auf alle Programme und Ports, sie greift nur leider nicht. Ich kann nach wie vor von jedem Client auf den Fileserver zugreifen. Was hab ich übersehen? Danke Martin Zitieren Link zu diesem Kommentar
NorbertFe 2.110 Geschrieben 30. Mai 2010 Melden Teilen Geschrieben 30. Mai 2010 Dann hast du halt die Firewall falsch konfiguriert. ;) Sorry, mehr kann ich dazu jetzt auch nicht sagen, hab grad keinen 2008 R2 griffbereit um's zu testen. Bye Norbert Zitieren Link zu diesem Kommentar
martins 11 Geschrieben 30. Mai 2010 Autor Melden Teilen Geschrieben 30. Mai 2010 Dann hast du halt die Firewall falsch konfiguriert. ;) Jooooo... scheint so. :D Ich teste noch mal ein paar Optionen. Wenn ich es dann hab, poste ich es. Vielleicht hat ja bis dahin noch jemand 'nen Tipp. ;) Gruß und Danke Martin Zitieren Link zu diesem Kommentar
NorbertFe 2.110 Geschrieben 30. Mai 2010 Melden Teilen Geschrieben 30. Mai 2010 hmmm... ich habe eine "Eingehende Regel" auf dem Fileserver erstellt mit der Option "Nur Verbindung von diesen Computern zulassen" und den Terminalserver ausgewählt, mit der Aktion (Register Allgemein => "Nur sichere Verbindungen zulassen"). Diese Regel bezieht sich auf alle Programme und Ports, sie greift nur leider nicht. Ich kann nach wie vor von jedem Client auf den Fileserver zugreifen. Was hab ich übersehen? Danke Martin Auf welches Netzwerkprofil wirkt denn diese Regel? Domänennetzwerk? Bye Norbert Zitieren Link zu diesem Kommentar
martins 11 Geschrieben 30. Mai 2010 Autor Melden Teilen Geschrieben 30. Mai 2010 Aktiviert ist "Alle Profile" im Register "Erweitert". Gruß Martin Zitieren Link zu diesem Kommentar
NorbertFe 2.110 Geschrieben 30. Mai 2010 Melden Teilen Geschrieben 30. Mai 2010 ok, das sollte dann in der Hinsicht eigentlich ausreichen. ;) Bye Norbert Zitieren Link zu diesem Kommentar
martins 11 Geschrieben 30. Mai 2010 Autor Melden Teilen Geschrieben 30. Mai 2010 Offenbar muss noch eine "Verbindungssicherheitsregel" aktiviert werden. Gesagt - getan, konfiguriere ich die, komme ich gar nicht mehr auf die Maschine... In dem verlinkten Hinweis im Register "Benutzer und Computer" der eingehenden Regel heißt es: "Um diese Optionen verwenden zu können, muss als Aktion der Firewallregel Nur sichere Verbindungen zulassen eingestellt sein. Für die in dieser Firewallregel angegebenen Computer oder Benutzer muss es eine entsprechende Verbindungssicherheitsregel geben." ... Plan B wäre, einfach die IP-Adressen anzugeben, die gesperrt werden sollen. Das ist dann aber recht mühsam und nicht so elegant...! ... :confused: Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.