Jump to content

ts: erforderliche gruppe abhängig von ip

webograph

Von webograph
in Windows Forum — Allgemein

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

webograph

webograph   10

Geschrieben
Geschrieben

hi,

 

ist-situation: wir verwenden im lan einen terminal-server, auf den jeder zugreifen kann (bzw. muss)

zielsetzung: ausgewählte mitarbeiter sollen auch von außerhalb die möglichkeit haben, sich einzuloggen

wir würden zu diesem zweck vom router (nat / ip-masquerading) aus den port für terminal services auf den ts durchrouten. das problem ist nur, dem ts beizubringen, dass für verbindungen von 192.168.x.x keine bestimmte gruppenzugehörigkeit erforderlich ist und für verbindungen von außerhalb eine andere.

 

ist das möglich?

 

folgende alternativpläne stehen zur diskussion (beide nicht perfekt, würde mich aber dennoch interessieren, was ihr davon haltet):

- allen usern beim login vor dem starten von explorer.exe ein skript einschieben, das prüft, ob der login über rdp stattfindet und (so das überhaupt möglich ist) von welcher ip er ausgeht; sollte ein unberechtigter sich von außen einloggen, fliegt er.

- (mein favorit) so eine art port-knocking auf der firewall: port ist per default zu, user müssen sich auf der firewall einloggen (via ldap), gruppe wird abgefragt, ggf wird der port für des users ip geöffnet. zusatzvorteil: bei möglichen sicherheitsproblemen mit dem rdp-dienst allgemein sind wir etwas aus der schusslinie

 

hat jemand hier erfahrung mit so einem problem?

IThome Grand Master

IThome   10

Geschrieben
Geschrieben

Leute von ausserhalb werden durch ein PPTP oder IPSec VPN in das Netz gelassen und es wird durch Filter definiert, dass nur RDP zugelassen wird. So erübrigt sich eine unterschiedliche Gruppenzugehörigkeit. Die Sicherheit sollte an der Grenze zum Netzwerk greifen und nicht, wenn man schon drin ist ...

webograph

webograph   10

Geschrieben
  • Autor
Geschrieben

ipsec: schön und gut -- leider müssen darauf mitarbeiter von ihren privat-pcs darauf zugreifen -- eine vpn-konfiguration traue ich nicht einmal 5% unserer mitarbeiter zu.

sicherheit an der grenze zum netzwerk: da stimme ich zu (deshalb favorisiere ich auch die zweite lösung, da so nur autorisierte überhaupt an den rdp-port kommen).

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden
Zurück zur Übersicht


×
×
  • Neu erstellen...