Superstruppi 13 Posted January 22, 2008 Report Posted January 22, 2008 Terminal Server 2003. Kann irgenwie eingeschränkt werden, dass ein bestimmter Benutzer von extern aus nicht auf den Terminalserver zugreifen kann? Alle anderen sollen beliebig zugreifen können und die Anmeldezeit soll ebenfalls nicht eingeschränkt werden. hat jemand eine idee? besten dank u. viele grüße, mario. Quote
IThome 10 Posted January 22, 2008 Report Posted January 22, 2008 Soll dieser User nur von extern nicht zugreifen, von intern aber schon ? Wie bekommt er denn von extern die Verbindung zum Netzwerk ? Quote
Hansi 10 Posted January 22, 2008 Report Posted January 22, 2008 bei einem user würde ichs doch mit dem ADS Anmeldezeitfenster machen...ist doch echt kein Aufwand... oder warum willst du es nicht so machen? Quote
Squire 276 Posted January 22, 2008 Report Posted January 22, 2008 Im Active Directory Computer und Benutzer auf den User gehen und auf dem Karteireiter Terminaldiensteprofil unten den Haken bei "Anmeldeberechtigung auf alle Teminalserver verweigern" setzen Quote
Bengah 10 Posted January 22, 2008 Report Posted January 22, 2008 Wie wärs mit: AD Benutzer & Computer -> Eigenschaften des Users -> Terminaldiensteprofil -> "Anmeldeberechtigung für diesen Benutzer für alle TS verweigern" Oder meinst Du, dass sich der User innerhalb des Netzwerkes schon am TS anmelden darf? Gruß Bengah Quote
Superstruppi 13 Posted January 22, 2008 Author Report Posted January 22, 2008 @ithome, bengah, squire: von intern verwenden die benutzer den lan servernamen. von extern die externe ip-adresse. ja, der user soll nur von intern anmelden können/dürfen, von extern aber nicht. @hansi: es geht leider nicht darum, was ich will. eine zeiteinschränkung nicht sinnvoll, wenn der user in der firma sitzt - wo er arbeiten darf - und nicht einsteigen kann. der besagte user soll in seinem übereifer (von zuhause/extern) eingeschränkt werden. ja, auch das gibts. :-) Quote
XP-Fan 224 Posted January 22, 2008 Report Posted January 22, 2008 Hallo, du hast aber noch eine Frage offen von ITHome: Wie greift der User von aussen zu ? Gibts es an diesem Punkt keine Option den User einzuschränken ? Quote
Dr.Melzer 191 Posted January 22, 2008 Report Posted January 22, 2008 Wie kommt der fragliche User denn auf den TS drauf von extern? Steht der TS direkt im WEB (was aus meiner Sicht extrem fahrlässig wäre) oder ist eine Firewall davor? Quote
Superstruppi 13 Posted January 22, 2008 Author Report Posted January 22, 2008 der port 3389 ist für alle offen. der user verwendet verschiedene geräte u. verbindungen (seine ip von extern ist sozusagen nicht eindeutig). der user muss am server eingeschränkt werden. die anderen user dürfen davon nicht betroffen sein. Quote
Superstruppi 13 Posted January 22, 2008 Author Report Posted January 22, 2008 Wie kommt der fragliche User denn auf den TS drauf von extern? Steht der TS direkt im WEB (was aus meiner Sicht extrem fahrlässig wäre) oder ist eine Firewall davor? der ts steht hinter einer firewall mit druchgeschliffenem 3389 port u. rdp zertifikatverschlüsselung. Quote
IThome 10 Posted January 22, 2008 Report Posted January 22, 2008 Hm, da fällt mir eigentlich nichts zu ein. Der TS unterscheidet nicht, woher die Anfrage kommt und selbst wenn er das tun würde, sind die IP-Adressen des Users ja unterschiedlich. Nach User unterscheiden kann er auch nicht, da dieser User sich auch intern anmelden soll. Das einzige, was mir dazu einfällt, wäre eine vorherige Authentifizierung an der Firewall (was aber sicher so nicht gewollt ist). Hm, Leere in meinem Kopf ... :D Quote
Dr.Melzer 191 Posted January 22, 2008 Report Posted January 22, 2008 Warum machst du nicht eine Authentifizierung bereits an der Firewall, bevor du den User an den TS durchreichst. damit musst du den TS nicht einschränken und filterst nur den Zugang von aussen. Quote
Squire 276 Posted January 22, 2008 Report Posted January 22, 2008 Hi, sinnvoll wäre m.E. den Zugang per VPN (PPTP mittels RAS über einen 2003er Server) reicht vollkommen zur Verfügung zu stellen. Dann kann man einfach für diesen User die RAS Einwahl verbieten und gut ist es - den TS für alle mittels Port 3389 von außen freizugeben ... das ist absolut keine gute Idee. Nebenbei - wir hatten vor einem halben Jahr unser regelmäßiges Sicherheits Audit - bei RDP kann man Benutzername und Passwort mitlesen (selbst gesehen auch mit RDP 6.0 Client - hatten die beiden externen Consultants böse Tools auf den Rechnern :D) Quote
Superstruppi 13 Posted January 23, 2008 Author Report Posted January 23, 2008 Hi,Nebenbei - wir hatten vor einem halben Jahr unser regelmäßiges Sicherheits Audit - bei RDP kann man Benutzername und Passwort mitlesen (selbst gesehen auch mit RDP 6.0 Client - hatten die beiden externen Consultants böse Tools auf den Rechnern :D) mit mstsc v.6.x u. passendem zertifikat passiert keine pw rawtextübertragung mehr. Quote
Superstruppi 13 Posted January 23, 2008 Author Report Posted January 23, 2008 erstmal danke für alle antworten!! Warum machst du nicht eine Authentifizierung bereits an der Firewall, bevor du den User an den TS durchreichst. damit musst du den TS nicht einschränken und filterst nur den Zugang von aussen. ja, das klingt gut. würde das dann nur über eine vpn-verbindung gehen oder auch ohne installation bzw. einrichtung auf client-seite? welche hardware wäre denn dafür geeignet? meines wissens unterstützen das die kleineren zywalls ja nicht, oder? hat jemand vielleicht hardware empfehlungen diesbezüglich (achtung kmu bereich, also nicht zu teuer)? in diesem fall geht es um ca. 10-15 user. lg, mario. Quote
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.