olli325
09.03.2010, aktualisiert am 18.10.2012
view4141
view6
0
Goto Top

Organisation bei VPN-Einwahl fremder Firmen

gelöstFrageSicherheitRechtliche Fragen
Hallo Zusammen,

wir haben in unserer Firma mehrere Zugangspunkte (2 PC´s 1x SPS) die via VPN erreichbar sein sollten.

Unser Netzwerk basiert auf einem 2008er R2 mit DC und die Einwahl für unseren Aussendienst ist über einen NPS unter 2008 realisiert mit Zertifikatsauthentifizierung.

Meine Überlegung war jetzt, das ich den Firmen ein Zertifikat ausstelle, dass diese für eine VPN-Einwahl verwenden können. Zuvor "stecke" ich diese in eine Sicherheitsgruppe und verweigere den Zugang zu sämtlichen Servern.

Ist das von der Überlegung her so o.k. oder wie handhabt Ihr sowas i.d.R.?

Gruß
Olli
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 137794

Url: https://administrator.de/contentid/137794

Ausgedruckt am: 25.11.2024 um 17:11 Uhr

6 Kommentare
Neuester Kommentar
Goto Top
rs-schmid
rs-schmid 09.03.2010 um 15:24:18 Uhr
Goto Top
Zitat von @olli325:
Zuvor "stecke" ich diese in eine Sicherheitsgruppe und verweigere den Zugang zu sämtlichen Servern.

wie willst du das anstellen ?
(das mit dem verweigern meine ich)


Gruss Roland
olli325
olli325 09.03.2010 um 15:40:54 Uhr
Goto Top
Hi,
über die Sicherheits-Gruppe, die ich ja extra Anlagen würde.

Die Gruppe würde ich dann auf den Server zum Verweigern nutzen (via NTFS-Rechten)....

Gruß
Olli
rs-schmid
rs-schmid 09.03.2010 um 16:33:27 Uhr
Goto Top
ein file-system (ntfs) hat nichts mit den anmelde credentials zu tun.

würde dies über gruppenrichtlinen lösen

Gruss Roland
olli325
olli325 09.03.2010 um 16:46:43 Uhr
Goto Top
Ok,
dachte halt wenn ich eine Sicherheitsgruppe habe, dann kann ich denen zumindest auf File-System-Ebene den Zugang verwehren.

Hast du vllt. nen Tip wie ich das auf Active-Directory-Ebene umsetzen kann?

Gruß
Olli
rs-schmid
rs-schmid 09.03.2010, aktualisiert am 18.10.2012 um 18:41:23 Uhr
Goto Top
Zitat von @olli325:
Ok,
dachte halt wenn ich eine Sicherheitsgruppe habe, dann kann ich denen zumindest auf File-System-Ebene den Zugang verwehren.

schon richtig, aber dann ist der betreffende user bereits angemeldet.
Das muss er ja erst gar nicht können.

Zitat von @olli325:
Hast du vllt. nen Tip wie ich das auf Active-Directory-Ebene umsetzen kann?

ja, würde die 3 computer in eine eigene ou stecken und eine neue policy der ou zuordnen.
(default policy würde ich nicht verändern)
schau dir mal diesen tread an:
Domäne - Anmeldung an PC verweigern

auch immer eine gute anlaufstelle:
http://www.gruppenrichtlinien.de

Gruss Roland
olli325
olli325 10.03.2010 um 12:04:22 Uhr
Goto Top
Hallo Roland,

vielen Dank für deine Hilfe!

Gruß
Olli
gelöstFrageSicherheitRechtliche Fragen
Mehr von olli325olli325CMD-Ausführung bringt kein Fenster unter Win7 mit migriertem Benutzerolli325 - 5 Kommentareolli325Fehler 691 Der Zugriff wurde verweigert, weil der Benutzername bzw. das Kennwort für die Domäne ungültig ist.olli325 - 3 Kommentareolli325lokale Freigaben nach Domänenbeitrittolli325 - 2 Kommentareolli325CSV Import auf 2 Tabellen mit PHP und MySQLolli325
Heiß diskutiert
superfun2k24Sophos SFOS 20 DNAT funktioniert nichtsuperfun2k24 - 26 KommentareLangaberWindows Server Sicherung Restore - MöglichkeitenLangaber - 21 KommentaremaisenkaiserSwitch ohne STP ins Netzwerkmaisenkaiser - 20 Kommentareprplemk2Testumgebung bauen (Grundlegend)prplemk2 - 19 KommentareBlitterWindows 10 u. 11 und 802.1x Netzwerk PortsecurityBlitter - 15 KommentareTJ.Hooker74Dom.Admin-Passwort ändern - Auswirkungen auf EX, HCW, AADCTJ.Hooker74 - 15 KommentaremaxMicrosoft plant für 2025 mehrere Preiserhöhungenmax - 14 KommentareleberkaeseFB7590 ISDN Fax-Funktionleberkaese - 13 KommentareUnluckyProccess1999Creo 4.0 Lizenz Server (LMTOOLS)UnluckyProccess1999 - 13 KommentareEnrixkHilfe bei Netzwerkinfrastruktur für AbschlussprojektEnrixk - 12 KommentareDaniSIP Zugangsdaten von Vodafone erhaltenDani - 12 KommentareSarekHLLegaler Einsatz vom M365 Family in Business-UmgebungSarekHL - 11 Kommentare