IThome

Schau mal hier ...

http://www.microsoft.com/technet/security/smallbusiness/prodtech/windowsserver2003/ntbackup.mspx

Stimmt schon, ein Proxy arbeitet stellvertretend für den Client und eine Firewall leitet gerichtet/gefiltert durch ...

Mit Brechen meine ich, wenn er geknackt wurde ... :)

Verstehe mich nicht falsch, ich stimme Dir 100%ig zu ... :)

Naja, wenn ich einen Zugangsrouter habe und dahinter noch eine Firewall, konfiguriere ich auf dem Zugangsrouter auch Ingress und Egress Filter. Wenn solch ein Gerät vorhanden ist, warum soll ich seine Sicherheitsfunktionen nicht nutzen ? Wenn dieser Router bricht, habe ich immer noch eine zweite Barriere, die es zu überwinden gilt. Bei richtiger Konfiguration ist es meiner Ansicht nach ein Sicherheitsgewinn, umso mehr, wenn beide Barrieren von unterschiedlichen Herstellern kommen (was natürlich nicht bedeutet, dass ich das unendlich weit treiben kann) ....

Dann erfolgt die Steuerung, was wohin geht, aber auch auf dem Firewall und nicht auf dem Server (der dann ja auch nur ein Default Gateway hat) ...

Das Gerät von dem ich spreche, kann (noch) keine Seiten zwischenspeichern, es kann aber mit einer Option, die sich Webblocker nennt, Seiten kategoriebasiert sperren. Weiterhin hat dieses Gerät Application Proxies (daher die Frage, was Du mit Proxy meinst), was bedeutet, dass sie auf Anwendungsebene filtern kann. Eine vorherige Authentifizierung von Benutzern ist auch möglich.

Nur auf dem Client ...

Definiere Proxy ... :)

Das klappt auch ohne Server. Du legst auf dem "Server" einen Ordner Profil an, den Du freigibst. In diesem Ordner erstellst Du die Ordner mit Namen der User, die sich an den Workstations anmelden (in einer Arbeitsgruppe müssen die Credentials synchron sein). Auf den Workstations führst Du GPEDIT.MSC aus und navigierst zu

Computerkonfiguration - Administrative Vorlagen - System - Benutzerprofile

und dort aktivierst Du "Eigentümer von servergespeicherten Profilen nicht prüfen".

Die Freigabe und NTFS-berechtigungen müssen passen und die Profilkonfiguration wird auf jeder Workstation durchgeführt (im Benutzerkonto)

Was für ein VPN benutzt Ihr (PPTP, IPSec, L2TP/IPSec) ?

Sowas wie das hier ?

http://www.mcseboard.de/showthread.php?t=81746

Watchguard X-Core Reihe ... :) Es stimmt übrigens nicht, dass man vor der Firewall keinen Zugangsrouter schalten soll, weil VPN dann nicht mehr läuft ...

edit: einer zu viel, sorry ...

Er benötigt nur das Recht "Anmelden über Terminaldienste zulassen". Weiterhin sollte er Mitglied der Gruppe Remotedesktopbenutzer sein.

edit: Du kannst ihn auch über den Remote-Tab in den Systemeigenschaften zufügen, er wird dann automatisch der Gruppe Remotedesktopbenutzer zugefügt. Du kannst dem Benutzer auch händisch das Recht "Anmelden ..." zuweisen, dann muss aber auch in der Terminaldienstekonfiguration die Berechtigung für das RDP-TCP Protokoll angepasst werden, er muss dann aber nicht in der Remotedesktopbenutzer Gruppe sein. In keinem der Fälle musst Du den User zu einem Operator machen ...

PS: Habs jetzt schon 2 mal umformuliert aber jetzt passt es, denke ich

Schau auch mal in der System-Ereignisanzeige, ob Du viele "Disk"-Fehlermeldungen hast ...

Man kann sich aussuchen, ob man sich über DFÜ einwählen möchte oder nicht, das passiert eigentlich nicht von selbst ...

*Lautüberleg*, wäre es nicht möglich, sowas zu realisieren, ohne den Spoolerdienst abzuschalten, sondern wenn man dynamisch entsprechende Berechtigungen auf die speziellen Drucker gewährt bzw. verweigert (mit SUBINACL) ?

Hast Du Firewallregeln von innen nach aussen definiert oder kann man von intern nach extern alles machen ? Wenn es so ist, brauchst Du eigentlich nichts weiter konfigurieren ...

Da muss ich ja zugeben, dass ich das Problem offensichtlich gar nicht verstanden hatte :rolleyes:

Hast Du die Protokollierung schon mal hoch gestellt, um ein bisschen mehr zu haben, wonach man suchen kann ?

Hier ist noch ein Link zum generellen Troubleshooting

http://support.microsoft.com/?scid=kb%3Ben-us%3B885685&x=10&y=14

Dafür nimmt man eigentlich einen Proxyserver oder eine Hardwarefirewall, die Benutzer authentifizieren kann ...

Das ist wahr ... :)

Der POPBEAMER ist ein rundes Produkt ...