Jump to content

VPN und Gruppenrichtlinien


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hi zusammen,

 

wir haben einen w2k3-Server stehen, der als VPN-Server fungiert.

Nun soll es aber so sein, dass wenn sich jemand über VPN einwählt, die Gruppenrichtlinien für ihn nicht angewandt werden. Entweder komplett nicht, oder wenn es geht auch einzeln deaktivieren. Gibt es da eine Möglichkeit?

 

Noch eine Sache:

Dieser Server hat drei Interfaces: genannt LAN, WAN und WLAN, unterteilt in verschiedene Subnetze.

Der Server nimmt also VPN-Anfragen vom WAN und zusätzlich vom WLAN an.

Kann ich es aufgrund der ADS-Gruppenzugehörigkeit (bspw. Gruppe WLAN und Gruppe WAN) so einrichten, dass ein Benutzer nur das VPN_over_WLAN nutzen darf, wenn er in der Gruppe WLAN ist und umgekehrt oder geht das ausschließlich mit einem ISA-Server?

 

 

DANKESCHÖÖÖÖN schonmal und Gruß

Domi

Link zu diesem Kommentar

Das geht nur eingeschränkt. Gewisse GPO-Einstellungen werden bei langsamen Verbindungen (VPN gehört i.d.R. dazu) aus- bw. einschalten. http://support.microsoft.com/kb/227369/en-us

 

Sicherheitseinstellungen gehören zu denen, die man nicht ausschalten kann.

 

Zur zweiten Frage: Ja, das ist weitestgehend möglich. VPN-Zugang bzw. RAS-Zugang wird über RAS-Richtlinien geregelt. Da kann ich mit Gruppen arbeiten, auch mit Verbindungstypen in den Richtlinien, und damit Zugang gewähren und Verweigern.

 

grizzly999

Link zu diesem Kommentar

Hi Posterboy!

Wo mache ich genau diese Zuordnung von VPN-gruppen in der RRAS-Konsole? Ich denke das ist genau das, was ich brauche. Denn im Moment haben wir das Problem, dass es zwei gruppen gibt:

WAN-User und WLAN-User. Diese sind zusammengefasst in die Gruppe VPNUser

 

Leute, die sich nun über VPN einwählen wollen (egal ob über WLAN oder WAN) müssen nun also Mitglied der Gruppe VPN-User sein, damit ihnen der Zugriff gewährt wird.

Nun können die Leute allerdings sowohl WLAN als auch das WAN-VPN nutzen, und genau das soll nicht so sein, sondern es soll explizit definiert werden, dass Mitglieder der WAN-Gruppe kein WLAN dürfen und umgekehrt... Aber ich finde diese Zuordnung "Einwahl-Netzwerk-Adapter -> Gruppenzugehörigkeits-Prüfung" nicht :-(

 

 

Hier mal ein sehr kreatives Schaubild *g*

 

---------------------------WLAN-Adapter (muss WLAN-Gruppenmitglied sein,)

| WAN-Mitglieder dürfen nicht

V

VPN-Server ----------------> LAN-Adapter

^

|

---------------------------WAN-Adapter (muss WAN-Gruppenmitglied sein,)

WLAN-Mitglieder dürfen nicht)

 

thx.

Link zu diesem Kommentar

hi,

 

ja in der Routing und RAS Konsole. Dort gibt es den Eintrag RAS-Richtlinien. Du erstellst dir für jede Usergruppe eine separate Richtlinie, dabei kannst du auch den Assistenten benutzen. Den Zugriff auf die einzelnen Dateien steuerst du über Gruppenrichtlinien im AD Benutzer & Computer. Zur Verweigerung von Berechtigungen kannst du sie für die Gruppe im AD verweigern oder du musst eine weitere Richtlinie dafür erstellen. Ich würde dir dafür AD empfehlen.

 

gruß

posterboy

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...