AD-Gruppe "protected Users" - welche Konten packt ihr rein, wer nutzt die Gruppe überhaupt?

[Marco31 37]

Tja, leider haben sich die protected users selbst disqualifiziert; damit war nämlich kein Zugriff mehr per RDP über VPN möglich... 😞

[NorbertFe 2.283]

Und warum nicht? Übers VPN sollte Kerberos mit Rdp doch genauso funktionieren wie im LAN?

bearbeitet 3. Dezember 2023 von NorbertFe

[Marco31 37]

Keine Ahnung warum; wenn der User in "protected Users" ist, bekomme ich bei der RDP-Anmeldung über VPN die Meldung, dass eine Anmeldung aufgrund von Kontobeschränkungen nicht möglich ist. Entferne ich die Gruppe "protected Users" funktioniert es wieder.

Wundert mich ja auch etwas...

[NorbertFe 2.283]

Gibts du den einen Namen oder eine ip im rdp an?

[Marco31 37]

Über IP normalerweise; meinst du daran liegt es?

[NorbertFe 2.283]

Ja, rate mal, warum dann kein Kerberos geht ;) ein Test mit dem Namen wäre jetzt sicher schneller als deine Frage hier im forum.

[cj_berlin 1.508]

Moin,

 

nur damit es nicht ungesagt bleibt:

• seit Server 2016 ist es möglich, SPNs auch auf IP-basis zu vergeben und den Client per Registry anzuweisen, solche Service-Tickets anzufordern - das muss man aber halt tun
• wenn man aus irgendeinem Grund auf DNS nicht umstellen kann oder möchte, ist es durchaus möglich, die Anmeldung am Anmelde-Screen des Zielsystems durchzuführen statt per Pass-Through vom Client
• wenn man bereits am Client mit einem Konto angemeldet ist, das in die "Protected Users" gehört und aufgenommen wurde, und dieses Konto auch am Zielsystem verwenden möchte >>> Remote Credential Guard verwenden!

[Marco31 37]

vor 47 Minuten schrieb cj_berlin:

Moin,

 

nur damit es nicht ungesagt bleibt:

• seit Server 2016 ist es möglich, SPNs auch auf IP-basis zu vergeben und den Client per Registry anzuweisen, solche Service-Tickets anzufordern - das muss man aber halt tun

 Danke für den Hinweis, das werde ich dann so umsetzen👍

[NorbertFe 2.283]

Und warum nimmt man nicht einfach den Namen, anstatt jetzt spn für ip zu setzen?

[Marco31 37]

Firewall und VPN werden vom RZ bereitgestellt, bei dem Konstrukt bekomme ich über VPN keine Namensauflösung auf meine Domäne. Daher RDP per IP 

[MurdocX 1.004]

Am 29.11.2023 um 08:50 schrieb Marco31:

Hört sich für mich erst einmal so an, als wären da die Domänen- und Server-Admin-Konten gut aufgehoben. Interessant wäre jetzt natürlich, wer das einsetzt und welche Probleme dabei unter Umständen auftreten. Wäre für jeden Erfahrungsbericht dankbar

 

Wir setzen es für alle unsere Admin-Konten ein. Probleme gibt es eigentlich keine, solange die Kollegen nicht übermüdet sind. Dann wird auch schon mal versucht sich via IP zu verbinden... mit demensprechendem Ergebnis  Probleme haben wir eher mit "betreuten" Firewalls, als mit den "Protected-Users".

[Marco31 37]

Hmmm, DNS Namensauflösung scheint zumindest nicht das einzige Problem zu sein... Die Kollegen des RZ haben jetzt bei der VPN-Verbindung den DNS mitgegeben, leider wird die Anmeldung von Mitgliedern in protected Users immer noch wegen Kontobeschränkungen abgelehnt. Jemand noch eine Idee? 

Im Zweifel müsste ich eine Art Jump Host bauen, auf den ich mich mit einem User anmelde und dann innerhalb des Netzes mit protected Users arbeite.

[cj_berlin 1.508]

Moin,

 

Du kannst ja mal mit KLIST schauen, ob Du über das VPN Kerberos-Tickets bekommst.