Verweigern des Zugriffs auf das Netzlaufwerk wenn ein VPN Zugriff erfolgt. Aber wie?

[lnino 10]

Hallo an alle.

 

Sollte sich der Benutzer normal an der Domäne anmelden, dann sollte er Zugriff auf das Netzlaufwerk haben, sollte aber die Anmeldung nicht direkt über die Domäne laufen sondern über VPN, also den ISA Server, dann möchte ich dass dieser keinen Zugriff zum FileServer hat und somit auch nicht auf die Freigaben des Netzlaufwerks.

 

Wie kann ich das realisieren? Muss ich das über Login Skripten machen? Und falls ja, wie mache ich das genau?

 

Vielen Dank.

[lnino 10]

Keiner eine Idee wie ich das realisieren könnte?

[XP-Fan 234]

Auf was sollen die User denn zugreifen ?

[lnino 10]

Ich habe ein Active Directory mit Benutzer und jeder dieser Benutzer hat ein eigenes Netzlaufwerk mit dem Buchstaben U. Wenn ich mich nun mit einem Client direkt in der Domäne anmelde, dann kann ich auf dieses Netzlaufwerk zugreifen. Das ist auch gut so.

 

Sollte sich aber ein User über VPN anmelden, dann sollte er nicht auf dieses Netzlaufwerk zugreifen können. Wir kann ich das unterbinden. Eventuell auch mit der IP Adresse? Weil die VPN Clients alle 10.10.90.xxx Adressen sind.

 

grüße lnino

[GuentherH 61]

Hi.

 

Hast du nicht die Möglichkeit auch für den VPN Tunnel Port Regeln zu erstellen. Dann gibst du auch für VPN nur die Ports (z.B. RDP) frei, die du benötigst.

 

LG Günther

[lnino 10]

Ich verstehe, da kann ich es ausgliedern. Die Idee ist super.

 

Welche Ports sind denn für eine Netzwerkfreigabe notwendig?

 

Sind das 135-139, also NetBIOS? Oder noch andere?

[XP-Fan 234]

Off-Topic:
Warum umständlich wenn auch einfacher geht ..
Was sollen die User den mit VPN machen dürfen ?

[lnino 10]

Er soll eigentlich alles dürfen was ein normaler User darf der auch an der Domäne dran ist. Internet, etc. , aber halt kein Netzlaufwerk.

[WSUSPraxis 48]

@Inino

 

Ich habe den Sinn des ganzen jetzt noch nicht ganz verstanden ?

Warum soll ein VPN Tunnel zu eurem Netzwerk aufgebaut werden, wenn er nicht drauf zugreifen soll ?

[lnino 10]

Es geht darum, dass der VPN Zugang lediglich für das Internet gedacht ist.

 

Es handelt sich hier um eine Implementierung an einer Schule.

 

Die Schüler sollen sich mit dem Laptop über den Access Point und VPN anmelden können um ins Internet zu gelangen. Das ist eigentlich der einzige Zweck.

 

grüße lnino

[XP-Fan 234]

Ah jetzt ja ...

 

wie wäre es denn mit dem Aufbau einer DMZ für diesen Zweck ? ;)

[lnino 10]

Da dies nicht Bestandteil unserer Aufgabe ist, würde ich das gerne anders lösen.

 

Würde das ausgrenzen der Ports so funktionieren, dass ich einfach die 135-139 sperre?

 

Für was ist die DMZ - Demilitarisierte Zone denn gut? Ich weiss nur dass dort spezielle Rechte herrschen. Leider nicht mehr. Vielleicht kannst du mir das in ein paar kurzen Worten erklären. Ist das eine Application die ich auf einem win2k3 server installiere oder kann ich das so wie einen dhcp hinzufügen?

[IThome 10]

TCP 139 und TCP 445 (eventuell noch TCP/UDP 137 und UDP 138)

[lnino 10]

He super, vielen Dank. Ihr habt mir alle wiedermal sehr weitergeholfen. thx