domi65 10 Geschrieben 6. März 2006 Melden Teilen Geschrieben 6. März 2006 Hi zusammen, wir haben einen w2k3-Server stehen, der als VPN-Server fungiert. Nun soll es aber so sein, dass wenn sich jemand über VPN einwählt, die Gruppenrichtlinien für ihn nicht angewandt werden. Entweder komplett nicht, oder wenn es geht auch einzeln deaktivieren. Gibt es da eine Möglichkeit? Noch eine Sache: Dieser Server hat drei Interfaces: genannt LAN, WAN und WLAN, unterteilt in verschiedene Subnetze. Der Server nimmt also VPN-Anfragen vom WAN und zusätzlich vom WLAN an. Kann ich es aufgrund der ADS-Gruppenzugehörigkeit (bspw. Gruppe WLAN und Gruppe WAN) so einrichten, dass ein Benutzer nur das VPN_over_WLAN nutzen darf, wenn er in der Gruppe WLAN ist und umgekehrt oder geht das ausschließlich mit einem ISA-Server? DANKESCHÖÖÖÖN schonmal und Gruß Domi Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 6. März 2006 Melden Teilen Geschrieben 6. März 2006 Das geht nur eingeschränkt. Gewisse GPO-Einstellungen werden bei langsamen Verbindungen (VPN gehört i.d.R. dazu) aus- bw. einschalten. http://support.microsoft.com/kb/227369/en-us Sicherheitseinstellungen gehören zu denen, die man nicht ausschalten kann. Zur zweiten Frage: Ja, das ist weitestgehend möglich. VPN-Zugang bzw. RAS-Zugang wird über RAS-Richtlinien geregelt. Da kann ich mit Gruppen arbeiten, auch mit Verbindungstypen in den Richtlinien, und damit Zugang gewähren und Verweigern. grizzly999 Zitieren Link zu diesem Kommentar
posterboy 10 Geschrieben 6. März 2006 Melden Teilen Geschrieben 6. März 2006 Hi, du könntest die VPN-User in bstimmte Gruppen aufteilen, den Gruppen je ein GPO zuweisen und in der RRAS Konsole dann allen "VPN-Gruppen" Zugriff gewähren. Du könntest das ganze auch noch zeitlich einschränken, wenn du möchtest. gruß posterboy Zitieren Link zu diesem Kommentar
domi65 10 Geschrieben 7. März 2006 Autor Melden Teilen Geschrieben 7. März 2006 Hi Posterboy! Wo mache ich genau diese Zuordnung von VPN-gruppen in der RRAS-Konsole? Ich denke das ist genau das, was ich brauche. Denn im Moment haben wir das Problem, dass es zwei gruppen gibt: WAN-User und WLAN-User. Diese sind zusammengefasst in die Gruppe VPNUser Leute, die sich nun über VPN einwählen wollen (egal ob über WLAN oder WAN) müssen nun also Mitglied der Gruppe VPN-User sein, damit ihnen der Zugriff gewährt wird. Nun können die Leute allerdings sowohl WLAN als auch das WAN-VPN nutzen, und genau das soll nicht so sein, sondern es soll explizit definiert werden, dass Mitglieder der WAN-Gruppe kein WLAN dürfen und umgekehrt... Aber ich finde diese Zuordnung "Einwahl-Netzwerk-Adapter -> Gruppenzugehörigkeits-Prüfung" nicht :-( Hier mal ein sehr kreatives Schaubild *g* ---------------------------WLAN-Adapter (muss WLAN-Gruppenmitglied sein,) | WAN-Mitglieder dürfen nicht V VPN-Server ----------------> LAN-Adapter ^ | ---------------------------WAN-Adapter (muss WAN-Gruppenmitglied sein,) WLAN-Mitglieder dürfen nicht) thx. Zitieren Link zu diesem Kommentar
posterboy 10 Geschrieben 8. März 2006 Melden Teilen Geschrieben 8. März 2006 hi, ja in der Routing und RAS Konsole. Dort gibt es den Eintrag RAS-Richtlinien. Du erstellst dir für jede Usergruppe eine separate Richtlinie, dabei kannst du auch den Assistenten benutzen. Den Zugriff auf die einzelnen Dateien steuerst du über Gruppenrichtlinien im AD Benutzer & Computer. Zur Verweigerung von Berechtigungen kannst du sie für die Gruppe im AD verweigern oder du musst eine weitere Richtlinie dafür erstellen. Ich würde dir dafür AD empfehlen. gruß posterboy Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.