Zum Inhalt wechseln


Foto

Windows RDS / RDP nur für definierte Computerkonten zulassen


  • Bitte melde dich an um zu Antworten
3 Antworten in diesem Thema

#1 IT-Tester

IT-Tester

    Newbie

  • 3 Beiträge

 

Geschrieben 20. Mai 2016 - 13:51

Servus,

 

gerne möchte ich RDP-Verbindungen auf einem Microsoft Windows Server 2012 R2 RDS auf einzelne Computerkonten beschränken.

 

Es soll also nicht jeder Computer eine RDP-Verbindung aufbauen dürfen, sondern z.B. nur Computerkonten, welche sich in einer definierten AD-Gruppe befinden.

 

Wie kann das realisiert werden?

 

Ich freue mich auf Eure Antworten und bedanke mich schon jetzt - klasse Forum mit sehr wertvollen Kollegen.

 

Euer

Peter



#2 Dunkelmann

Dunkelmann

    Expert Member

  • 1.862 Beiträge

 

Geschrieben 20. Mai 2016 - 14:24

Moin,

 

das lässt sich mit einem RDS Gateway umsetzen.


  • IT-Tester gefällt das

Keep It Small - Keep It Simple


#3 testperson

testperson

    Board Veteran

  • 4.658 Beiträge

 

Geschrieben 20. Mai 2016 - 16:53

Hi,

 

theoretisch wäre das auch per PowerShell und der Windows Firewall machbar ;) Aber das RDS Gateway ist wohl das sinnvollste.

 

Gruß

Jan


  • IT-Tester gefällt das
Good morning, that's a nice TNETENNBA!

#4 blub

blub

    Moderator

  • 7.605 Beiträge

 

Geschrieben 20. Mai 2016 - 19:18   Lösung

Wenn es sich nur um einen einzigen Server handelt, würde ich es über die Windows Firewall einstellen

- command prompt als Admin

- wf

- inbound rules: suche nach "Remote Desktop - User Mode (TCP-In)"

- ggf. kopier dir diese Rule und disable das Orginal

- unter "Scope" kannst du die Remote IP Adressen eintragen, die auf den Server zugreifen sollen

- hast du IPSec am Start, kannst du unter "Remote Computers" Rechnernamen oder Gruppen eintragen. Nur IPSec garantiert dir die Echtheit des Computerkontos (vielleicht genügt schon Null-Encapsulation für dich!)

- oben links mit der rechten Maustaste auf "windows Firewall with Advanced Security on Local Computer" -> Properties -> Prüfen, dass das entsprechende Profil aktiviert ist, (inbound connection: Block (default))

 

Mehrere Rechner verwaltest du natürlich besser über eine Domain Policy.

Powershell geht bei 2012R2 selbstverständlich auch:

get-command set-netfire*

musst mal selbst probieren

 

blub


  • IT-Tester gefällt das

Ein Kluger bemerkt alles, Ein Dummer macht über alles eine Bemerkung. (Heinrich Heine)