Terminalzugang von extern unterbinden, aber wie?

[Superstruppi 13]

Terminal Server 2003.

 

Kann irgenwie eingeschränkt werden, dass ein bestimmter Benutzer von extern aus nicht auf den Terminalserver zugreifen kann? Alle anderen sollen beliebig zugreifen können und die Anmeldezeit soll ebenfalls nicht eingeschränkt werden.

 

hat jemand eine idee?

 

besten dank u. viele grüße,

mario.

[IThome 10]

Soll dieser User nur von extern nicht zugreifen, von intern aber schon ? Wie bekommt er denn von extern die Verbindung zum Netzwerk ?

[Hansi 10]

bei einem user würde ichs doch mit dem ADS Anmeldezeitfenster machen...ist doch echt kein Aufwand... oder warum willst du es nicht so machen?

[Squire 212]

Im Active Directory Computer und Benutzer

 

auf den User gehen und auf dem Karteireiter Terminaldiensteprofil unten den Haken bei "Anmeldeberechtigung auf alle Teminalserver verweigern" setzen

[Bengah 10]

Wie wärs mit:

 

AD Benutzer & Computer -> Eigenschaften des Users -> Terminaldiensteprofil -> "Anmeldeberechtigung für diesen Benutzer für alle TS verweigern"

 

Oder meinst Du, dass sich der User innerhalb des Netzwerkes schon am TS anmelden darf?

 

 

Gruß

 

Bengah

[Superstruppi 13]

@ithome, bengah, squire: von intern verwenden die benutzer den lan servernamen. von extern die externe ip-adresse.

ja, der user soll nur von intern anmelden können/dürfen, von extern aber nicht.

 

@hansi: es geht leider nicht darum, was ich will. eine zeiteinschränkung nicht sinnvoll, wenn der user in der firma sitzt - wo er arbeiten darf - und nicht einsteigen kann.

 

der besagte user soll in seinem übereifer (von zuhause/extern) eingeschränkt werden. ja, auch das gibts. :-)

[XP-Fan 215]

Hallo,

 

du hast aber noch eine Frage offen von ITHome: Wie greift der User von aussen zu ?

Gibts es an diesem Punkt keine Option den User einzuschränken ?

[Dr.Melzer 191]

Wie kommt der fragliche User denn auf den TS drauf von extern?

 

Steht der TS direkt im WEB (was aus meiner Sicht extrem fahrlässig wäre) oder ist eine Firewall davor?

[Superstruppi 13]

der port 3389 ist für alle offen. der user verwendet verschiedene geräte u. verbindungen (seine ip von extern ist sozusagen nicht eindeutig). der user muss am server eingeschränkt werden. die anderen user dürfen davon nicht betroffen sein.

[Superstruppi 13]

Wie kommt der fragliche User denn auf den TS drauf von extern?

 

Steht der TS direkt im WEB (was aus meiner Sicht extrem fahrlässig wäre) oder ist eine Firewall davor?

 

der ts steht hinter einer firewall mit druchgeschliffenem 3389 port u. rdp zertifikatverschlüsselung.

[IThome 10]

Hm, da fällt mir eigentlich nichts zu ein. Der TS unterscheidet nicht, woher die Anfrage kommt und selbst wenn er das tun würde, sind die IP-Adressen des Users ja unterschiedlich. Nach User unterscheiden kann er auch nicht, da dieser User sich auch intern anmelden soll. Das einzige, was mir dazu einfällt, wäre eine vorherige Authentifizierung an der Firewall (was aber sicher so nicht gewollt ist). Hm, Leere in meinem Kopf ... :D

[Dr.Melzer 191]

Warum machst du nicht eine Authentifizierung bereits an der Firewall, bevor du den User an den TS durchreichst. damit musst du den TS nicht einschränken und filterst nur den Zugang von aussen.

[Squire 212]

Hi,

 

sinnvoll wäre m.E. den Zugang per VPN (PPTP mittels RAS über einen 2003er Server) reicht vollkommen zur Verfügung zu stellen. Dann kann man einfach für diesen User die RAS Einwahl verbieten und gut ist es - den TS für alle mittels Port 3389 von außen freizugeben ... das ist absolut keine gute Idee.

 

Nebenbei - wir hatten vor einem halben Jahr unser regelmäßiges Sicherheits Audit - bei RDP kann man Benutzername und Passwort mitlesen (selbst gesehen auch mit RDP 6.0 Client - hatten die beiden externen Consultants böse Tools auf den Rechnern :D)

[Superstruppi 13]

Hi,

Nebenbei - wir hatten vor einem halben Jahr unser regelmäßiges Sicherheits Audit - bei RDP kann man Benutzername und Passwort mitlesen (selbst gesehen auch mit RDP 6.0 Client - hatten die beiden externen Consultants böse Tools auf den Rechnern :D)

 

mit mstsc v.6.x u. passendem zertifikat passiert keine pw rawtextübertragung mehr.

[Superstruppi 13]

erstmal danke für alle antworten!!

 

Warum machst du nicht eine Authentifizierung bereits an der Firewall, bevor du den User an den TS durchreichst. damit musst du den TS nicht einschränken und filterst nur den Zugang von aussen.

 

ja, das klingt gut. würde das dann nur über eine vpn-verbindung gehen oder auch ohne installation bzw. einrichtung auf client-seite? welche hardware wäre denn dafür geeignet?

 

meines wissens unterstützen das die kleineren zywalls ja nicht, oder?

 

hat jemand vielleicht hardware empfehlungen diesbezüglich (achtung kmu bereich, also nicht zu teuer)? in diesem fall geht es um ca. 10-15 user.

 

lg,

mario.