ISA 2004 - Fragen zu Authentifikation, Regeln und Konfiguration

[mamamia 13]

Moin Moin..

 

Ich bin glücklicher Besritzer einer kleinen Domaine (2K3 Server, 2K Clients) und einem ISA 2004.

 

Das Teil läuft, die User haben Zugriff auf WebSites etc.

In der Domaine läuft es so, dass sich die User alle mit einem gleichbleibenden Namen und einem nichtablaufenden Passwort anmelden.

Es gibt sogenannte Internetinseln, wo Rechner stehen, an den man sich anmelden kann.

 

Vorher wurde ein Proxy von WinGate benutzt, der jetzt durch den ISA 2004 ersetzt wurde.

Meine Fragen jetzt dazu:

 

Usermanagment

Ist es korrekt, dass ich die User nur in der ADS einrichten kann, in der ISA MMC gibt es ja keine möglichkeit dazu. Wenn das so ist, dann möchte ich es so einrichten, dass sich die User nur mit dem einen Account am Rechner anmelden können und die anderen Accounts, die ja für die Proxyverbindungen sind auch nur für die Proxyverbindungen genutzt werden können.

Oder wie machen das die andern ISA Admins??

 

Zugriff auf ADS / DNS

Nachdem ich den ISA 2004 aufgesetzt habe bekomme ich keine Rechner mehr der Domaine hinzugefügt.

Muss ich da jetzt eine Regel für die Firewall erstellen? Wenn ja, welche Protokolle muss ich dafür freischalten??

 

Bin für jede hilfe dankbar, es kommen wohl noch ein paar fragen :)

[robotto7831a 10]

Laufen ISA und DC auf einem Rechner?

 

Du kannst im ISA einstellen, welche Benutzerkonten ins Internet dürfen oder nicht. Am ISA selber kannst Du keine Benutzerkonten erstellen.

 

Frank

[mamamia 13]

Hi..

 

Hmm aso.. Iss klar, hätt ich selber drauf kommen können. Einfach dem Anmeldekonto die rechte nehmen.

 

Wie lös ich das Problem, dass ich keiner Rechner mehr in die Domaine aufnehmen kann???

Wenn ich den Assistenten zur Netzwerkerkennung starte, dann sagt er mir immer "Konnte Domaine nicht finden"

 

DNS etc läuft. Und "Ja" ISA und DC auf einem Rechner.

[Rudman 10]

Eigentlich sollte man das ja tunlichst unterlassen, DC und ISA auf einem.

Du solltest nun eigentlich die Protokolle die für´s DNS notwendig sind, erlauben, so dass sie auf den lokalen host zugreifen können.

Ansonsten gibts noch die Boardsuche, da wurde das Thema mit DC und ISA in einem schon mal behandelt.

[mamamia 13]

Eigentlich sollte man das ja tunlichst unterlassen, DC und ISA auf einem.

Du solltest nun eigentlich die Protokolle die für´s DNS notwendig sind, erlauben, so dass sie auf den lokalen host zugreifen können.

Ansonsten gibts noch die Boardsuche, da wurde das Thema mit DC und ISA in einem schon mal behandelt.

 

Man Dankt..

 

Soviel Ressourcen hab ich net, beides hardwaretechnisch getrennt zu betreiben..

[mamamia 13]

Eine kleine Sache hab ich noch.

 

Hab jetzt also einen Memberserver aufgesetzt, der die Rolle des ISA´s übernimmt.

Ich möchte, dass sich nur ein User an der Domaine anmelden kann, die anderen Userobjekte sollen nur für die Proxyauthentifikation sein.

 

Hab also eine OU, in dem alle Computerobjekte sind. Diese OU hab ich mit einer Gruppenrichtlinie verknüpft, die das lokale anmelden verweigert.

Diese GruRiLi hab ich eine Gruppe hinzugefügt, in der alle User sind, bis auf den einen, der sich an der Domaine anmelden kann.

 

Die anderen können sich aber dennoch anmelden, was mach ich falsch??

Steh grad voll am schlauch..

[grizzly999 11]

Diese GruRiLi hab ich eine Gruppe hinzugefügt, in der alle User sind, bis auf den einen, der sich an der Domaine anmelden kann.

Wie meibst du das mit der "GPO einer Gruppe hinzugefügt" :suspect: Meinst du in den Sicherheitseinstellungen?

.... Und "in der die User sind". Diese Gruppenrichtlinieneinstellung gilt für Computerkonten nicht für Benutzerkonten.

 

Du hast doch die Einstellungen schon gesetzt. Die Gruppenrichtlinie an die OU mit den betreffenden Computern, und gut ist. Da braucht man nichts mehr einstellen

 

 

 

grizzly999