Jump to content

user und gruppen remote verwalten


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hi zusammen,

 

wir möchten gerne die Lokalen Benutzer und Gruppen remote verwalten. Wir setzten auf allen Rechner Windows 7 SP1 ein.

In unserem internen Firmennetzwerk (unterschiedliche Subnetze), kann ich remote über die mmc "Computerverwaltung" die Benutzer und Gruppen verwalten.

 

Wir haben auch Mitarbeiter, die extern sind und sich via VPN (Windows Client) einwählen. Genau bei diesen Rechnern habe ich das Problem.

Ich kann zwar auf die "Computerverwaltung" zugreifen aber die lokale Benutzer und Gruppen kann ich NICHT verwalten.

 

Ich habe schon etliches versucht, lokale Win7 Firewall an/aus, bestehende Regeln anpassen, neue Regeln, loakle und server Firewall logs auswerten...

 

Habt ihr noch eine Idee wie das zu realisieren wäre?

 

cu

 

Link zu diesem Kommentar

wir möchten gerne die Lokalen Benutzer und Gruppen remote verwalten. Wir setzten auf allen Rechner Windows 7 SP1 ein.

 

Welches Betriebssystem habt ihr *jetzt* im Einsatz?

 

In unserem internen Firmennetzwerk (unterschiedliche Subnetze), kann ich remote über die mmc "Computerverwaltung" die Benutzer und Gruppen verwalten.

 

Wir haben auch Mitarbeiter, die extern sind und sich via VPN (Windows Client) einwählen. Genau bei diesen Rechnern habe ich das Problem.

Ich kann zwar auf die "Computerverwaltung" zugreifen aber die lokale Benutzer und Gruppen kann ich NICHT verwalten.

Das macht man am besten über Group Poliys bzw. über Group Policy Preferences.

 

Welche *genaue* Fehlermeldung bekommst Du denn wenn Du über die 'Computerverwaltung' *NICHT* zugreifen kannst?

Link zu diesem Kommentar

Hi,

 

Welches Betriebssystem habt ihr *jetzt* im Einsatz?

 

- Windows 7 Professional SP 1 - DE/EN

 

 

Welche *genaue* Fehlermeldung bekommst Du denn wenn Du über die 'Computerverwaltung' *NICHT* zugreifen kannst?

 

- Unable ot access the computer 192.168.248.12. The error was:The RPC server is unavailable.

 

 

Wenn ich mich aber ohne VPN auf den Rechner hänge tut es das.

 

IP-Adresse:

Quell - 172.16.0.200/24

Ziel - 172.16.10.12/24

Ziel-VPN - 192.168.248.12/24

 

 

Das macht man am besten über Group Poliys bzw. über Group Policy Preferences.

 

Ich weiß, wollen aber für die paar Rechner keine GPO anlegen und die Benutzer einzeln verwalten.

 

 

cu

 

Link zu diesem Kommentar

- Unable ot access the computer 192.168.248.12. The error was:The RPC server is unavailable.

Kannst Du den Rechner über VPN denn pingen? Oder auf etwas anderes zugreifen? Welchen Status hat die NW-Verbindung zu dem Zeitpunkt? Öffentliches oder Domänen Netzwerk? Das ist für die Firewall ausschlaggebend.

 

 

Wenn ich mich aber ohne VPN auf den Rechner hänge tut es das.

Dann erkennt der Client ja auch ein Domänen Netzwerk und lädt das passende Profil der Firewall.

 

 

 

Ich weiß, wollen aber für die paar Rechner keine GPO anlegen und die Benutzer einzeln verwalten.

 

Ab wieviel Clients 'rechnet' sich denn für euch ein GPO? Ab 3 Rechner möchte ich nicht mehr Turnschuh Admin sein, genau dafür wurden die GPOs und GPPs geschaffen. Nutze das Werkzeug.

Link zu diesem Kommentar

Hi,

 

ja ich kann den Rechner pingen, RDP Zugriff geht, SMB und den rest der Computerverwaltung sehe ich ja auch. Wir machen auch die Remote-Unterstützung (Windows Remote Assistance) über VPN .

 

Ich vermute auch, da es was mit dem Adpater VPN zu tun hat. Da selbst bei Firewall aus oder alles erlauben es nicht funktioniert.

 

Naja, es ist aktuell nur ein Rechner, könnten aber mehr (bis zu 5) werden, die eventuell eingriff in die loakle benutezrverwaltung bräuchten. Sei es nur um temporär einen Benutzer anzulegen und später wieder zu entfernen, bzw. deaktivieren. Das über GPO abzuwandeln ist doof, wenn die leute nicht immer im Netz hängen und hauptsächlich, ca 90% der Zeit VPN nutzen.

Link zu diesem Kommentar

ja ich kann den Rechner pingen, RDP Zugriff geht, SMB und den rest der Computerverwaltung sehe ich ja auch. Wir machen auch die Remote-Unterstützung (Windows Remote Assistance) über VPN .

 

Ich vermute auch, da es was mit dem Adpater VPN zu tun hat. Da selbst bei Firewall aus oder alles erlauben es nicht funktioniert.

Wichtig ist das geladene Firewallprofil zu diesem Zeitpunkt. Welcher AV-Scanner *genau* ist installiert?

Beachte auch den Hinweis von zahni.

 

 

Naja, es ist aktuell nur ein Rechner, könnten aber mehr (bis zu 5) werden, die eventuell eingriff in die loakle benutezrverwaltung bräuchten. Sei es nur um temporär einen Benutzer anzulegen und später wieder zu entfernen, bzw. deaktivieren. Das über GPO abzuwandeln ist doof, wenn die leute nicht immer im Netz hängen und hauptsächlich, ca 90% der Zeit VPN nutzen.

Natürlich funktionieren die GPOs/GPPs auch über VPN. Einfach einrichten und testen.

 

In einem früheren Job hatten wir bis zu 70 MA die nur via VPN Verbindung aufgenommen hatten, sogar damals (2009) hat das alles über GPO/GPP funktioniert. Das was Du evtl. machen mußt, ist ein gpupdate nach dem Verbindungsaufbau absetzen. Aber das lässt sich sicherlich mit der uns unbekannten Art und Weise des VPN-Aufbau regeln.

Link zu diesem Kommentar

Hi,

 

das VPN gateway ist eine ISA 2006 und dort habe ich schon zu testzwecken eine any/any regel eingebaut.

 

Als AV wird Smantec verwendet, jdeoch ohne Firewall. Firewall ist die Windows eigene und das Firewall Profil habe ich berücksichtigt. Wie gesagt auch eine any/any auf Windows Firewall hat nicht geholfen.

 

 

Natürlich funktionieren die GPOs/GPPs auch über VPN. Einfach einrichten und testen.

 

Ich habe nicht behauptet, das diese nich über VPN funktionieren. Es geht dabei eher um die aktualiserung der GPO. Einige Werte werden aber auch nur bei einer Anmeldung gesetzt.

 

Wie auch immer, die frage die sich mir stellt ist eher warum mir Windows da einen strich durch die Rechnung macht.

 

cu

Link zu diesem Kommentar

das VPN gateway ist eine ISA 2006 und dort habe ich schon zu testzwecken eine any/any regel eingebaut.

 

Was sagt das Log vom ISA?

 

 

 

Ich habe nicht behauptet, das diese nich über VPN funktionieren. Es geht dabei eher um die aktualiserung der GPO. Einige Werte werden aber auch nur bei einer Anmeldung gesetzt.

Das meiste geht mit einem gpupdate ab, notfalls auch gpupdate /force.

 

 

Wie auch immer, die frage die sich mir stellt ist eher warum mir Windows da einen strich durch die Rechnung macht.

 

Windows Eventlog schreibt welche Events zu diesem Zeitpunkt?

Link zu diesem Kommentar

Hi und danke für die Antworten.

 

Ich habe das mal geprüft, den Filter für die Regel deaktiviert und ausprobiert. Leider ohne erfolg.

Da ich ja auch ohne VPN in den anderen Netzen keine Probleme habe, denke ich nicht, das es an der ISA liegt. Zumal es auch die gleich Regel ist.

 

Die Logs geben auch nicht mehr auskunft. Die Pakete werden initiert (0x0 Error_Success) und später getrennt (Graceful_Shutdown). Nur bei vereinzelten Verbindungen (SMB, RPC und Dynamische Ports) wird die Verbindung verworfen (Abortive_Shutdown). Ich denk das liegt aber eher daran, dass der Client darauf keine Antwort gibt. Da kann ich aber an der ISA nichts weiter machen.

 

Ist da was bekannt, wie Windows 7 die VPN Verbindungen behandelt, sodass nicht alle RPC anfragen (DCOM usw.) nicht über dynamische Netzwerkadapter wie VPN's geleitet werden. Das Windows hier mir einen strich durch die Rechnung macht? Irgendeins der unzähligen Sicherheitsfeatures die Remote Aktionen verhinden?

 

cu und danke!

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...