olli325
Goto Top

Organisation bei VPN-Einwahl fremder Firmen

Hallo Zusammen,

wir haben in unserer Firma mehrere Zugangspunkte (2 PC´s 1x SPS) die via VPN erreichbar sein sollten.

Unser Netzwerk basiert auf einem 2008er R2 mit DC und die Einwahl für unseren Aussendienst ist über einen NPS unter 2008 realisiert mit Zertifikatsauthentifizierung.

Meine Überlegung war jetzt, das ich den Firmen ein Zertifikat ausstelle, dass diese für eine VPN-Einwahl verwenden können. Zuvor "stecke" ich diese in eine Sicherheitsgruppe und verweigere den Zugang zu sämtlichen Servern.

Ist das von der Überlegung her so o.k. oder wie handhabt Ihr sowas i.d.R.?

Gruß
Olli

Content-Key: 137794

Url: https://administrator.de/contentid/137794

Ausgedruckt am: 29.03.2024 um 07:03 Uhr

Mitglied: rs-schmid
rs-schmid 09.03.2010 um 15:24:18 Uhr
Goto Top
Zitat von @olli325:
Zuvor "stecke" ich diese in eine Sicherheitsgruppe und verweigere den Zugang zu sämtlichen Servern.

wie willst du das anstellen ?
(das mit dem verweigern meine ich)


Gruss Roland
Mitglied: olli325
olli325 09.03.2010 um 15:40:54 Uhr
Goto Top
Hi,
über die Sicherheits-Gruppe, die ich ja extra Anlagen würde.

Die Gruppe würde ich dann auf den Server zum Verweigern nutzen (via NTFS-Rechten)....

Gruß
Olli
Mitglied: rs-schmid
rs-schmid 09.03.2010 um 16:33:27 Uhr
Goto Top
ein file-system (ntfs) hat nichts mit den anmelde credentials zu tun.

würde dies über gruppenrichtlinen lösen

Gruss Roland
Mitglied: olli325
olli325 09.03.2010 um 16:46:43 Uhr
Goto Top
Ok,
dachte halt wenn ich eine Sicherheitsgruppe habe, dann kann ich denen zumindest auf File-System-Ebene den Zugang verwehren.

Hast du vllt. nen Tip wie ich das auf Active-Directory-Ebene umsetzen kann?

Gruß
Olli
Mitglied: rs-schmid
rs-schmid 09.03.2010, aktualisiert am 18.10.2012 um 18:41:23 Uhr
Goto Top
Zitat von @olli325:
Ok,
dachte halt wenn ich eine Sicherheitsgruppe habe, dann kann ich denen zumindest auf File-System-Ebene den Zugang verwehren.

schon richtig, aber dann ist der betreffende user bereits angemeldet.
Das muss er ja erst gar nicht können.

Zitat von @olli325:
Hast du vllt. nen Tip wie ich das auf Active-Directory-Ebene umsetzen kann?

ja, würde die 3 computer in eine eigene ou stecken und eine neue policy der ou zuordnen.
(default policy würde ich nicht verändern)
schau dir mal diesen tread an:
Domäne - Anmeldung an PC verweigern

auch immer eine gute anlaufstelle:
http://www.gruppenrichtlinien.de

Gruss Roland
Mitglied: olli325
olli325 10.03.2010 um 12:04:22 Uhr
Goto Top
Hallo Roland,

vielen Dank für deine Hilfe!

Gruß
Olli