7
RDP Client-PCs auf Benutzer zuordnen (Benutzer mit Client taggen)
Hallo,
ich habe folgendes Testszenario:
Domain-Controller WIN 2008 R2 -> Rollen: AD, DNS-Server
Terminal-Server WIN 2008 R2 mit 2 Testbenutzern -> Rollen: Dateidienste, RD+RDG, Webserver, NPS
Test-Client PC1 WIN7 64 BIT Prof. SP1
Test-Client PC2 WIN7 64 BIT Prof. SP1
Es soll ein Abgleich erfolgen: Wenn sich Benutzer1 über RDP anmeldet, dann darf er das nur vom Test-Client PC1. Wenn sich Benutzer2 über RDP anmeldet, dann darf er das nur vom Test-Client PC2.
Wenn also Benutzer1 die Login-Daten von Benutzer2 hat, soll er sich nicht über Remote einloggen können, es sei denn er hat auch die Hardware von Benutzer2.
Es werden auch Remote-Apps benutzt, die sich dann dementsprechend verhalten sollen.
Die Lösung soll nicht über Gruppenrichtlinien erfolgen.
Das sind die Bedingungen und diese können nicht geändert werden, bitte dazu keine Kommentare sondern nur Lösungsansätze, denn ich bin nicht in der Lage die Bedingungen zu verhandeln. (sowas wie eine Prüfung)
Ich habe das jetzt schon einige Tage gegooglet und versucht über NPS und RDG Richtlinien zu erstellen, jedoch verzweifel ich langsam.
Ich bin für jede Hilfe dankbar und hoffe das es da draussen welche gibt die das lesen und mir helfen können.
Gruß
Vulkaano
ich habe folgendes Testszenario:
Domain-Controller WIN 2008 R2 -> Rollen: AD, DNS-Server
Terminal-Server WIN 2008 R2 mit 2 Testbenutzern -> Rollen: Dateidienste, RD+RDG, Webserver, NPS
Test-Client PC1 WIN7 64 BIT Prof. SP1
Test-Client PC2 WIN7 64 BIT Prof. SP1
Es soll ein Abgleich erfolgen: Wenn sich Benutzer1 über RDP anmeldet, dann darf er das nur vom Test-Client PC1. Wenn sich Benutzer2 über RDP anmeldet, dann darf er das nur vom Test-Client PC2.
Wenn also Benutzer1 die Login-Daten von Benutzer2 hat, soll er sich nicht über Remote einloggen können, es sei denn er hat auch die Hardware von Benutzer2.
Es werden auch Remote-Apps benutzt, die sich dann dementsprechend verhalten sollen.
Die Lösung soll nicht über Gruppenrichtlinien erfolgen.
Das sind die Bedingungen und diese können nicht geändert werden, bitte dazu keine Kommentare sondern nur Lösungsansätze, denn ich bin nicht in der Lage die Bedingungen zu verhandeln. (sowas wie eine Prüfung)
Ich habe das jetzt schon einige Tage gegooglet und versucht über NPS und RDG Richtlinien zu erstellen, jedoch verzweifel ich langsam.
Ich bin für jede Hilfe dankbar und hoffe das es da draussen welche gibt die das lesen und mir helfen können.
Gruß
Vulkaano
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 254856
Url: https://administrator.de/contentid/254856
Ausgedruckt am: 26.11.2024 um 17:11 Uhr
7 Kommentare
Neuester Kommentar
Hi.
Du kannst das mit der internen Firewall des Servers erreichen. Dafür musst Du jedoch ipsec konfigurieren. Nur so geht es - ipsec kann genutzt werden um eine Verbindung zu rdp zuzulassen nicht nur rechnergebunden, sondern zusätzlich nutzergebunden.
Du kannst das mit der internen Firewall des Servers erreichen. Dafür musst Du jedoch ipsec konfigurieren. Nur so geht es - ipsec kann genutzt werden um eine Verbindung zu rdp zuzulassen nicht nur rechnergebunden, sondern zusätzlich nutzergebunden.
Hi,
alternativ kannst du für die Benutzer auch ein Loginscript anlegen, welches die Variable %clientname% prüft und den Benutzer direkt wieder abmeldet, falls es nicht passt.
Beste Grüße!
Berthold
alternativ kannst du für die Benutzer auch ein Loginscript anlegen, welches die Variable %clientname% prüft und den Benutzer direkt wieder abmeldet, falls es nicht passt.
Beste Grüße!
Berthold
Ja, das wäre leider nur dann möglich, wenn in dieser Variable auch der PC drinstehen würde, von dem es ausgeht... es steht jedoch der Server drin.
Erstmal danke für die Lösungsansätze.
Ist es nicht über den Remotedesktopgateway Manager möglich eine Richtlinie für den Zugriff über RDP ob lokal oder nicht zu konfigurieren?
ich muss gestehen über die IPSec steig ich nicht ganz durch. ich sehe da keine Möglichkeiten Benutzern die nicht von Ihrem eigenen PC kommen die Verbindung zu blockieren...in diesem Bereich kenne ich mich gar nicht aus...
Ich sehe das ich die Verbindung über Remote blockieren kann und dann habe ich 7 Bereiche, davon je ein Bereich für Benutzer und ein Bereich für Computer. hier kann ich aber Benutzer "Autorisieren" und nicht blockieren und diese diese beiden sind auch nicht auf einander abgestimmt sonder es blockiert bzw. erlaubt dem genannten Benutzer UND dem genannten Computer. Jedenfalls verstehe ich das so. Suche ich an der falschen Stelle?
Danke
Ist es nicht über den Remotedesktopgateway Manager möglich eine Richtlinie für den Zugriff über RDP ob lokal oder nicht zu konfigurieren?
ich muss gestehen über die IPSec steig ich nicht ganz durch. ich sehe da keine Möglichkeiten Benutzern die nicht von Ihrem eigenen PC kommen die Verbindung zu blockieren...in diesem Bereich kenne ich mich gar nicht aus...
Ich sehe das ich die Verbindung über Remote blockieren kann und dann habe ich 7 Bereiche, davon je ein Bereich für Benutzer und ein Bereich für Computer. hier kann ich aber Benutzer "Autorisieren" und nicht blockieren und diese diese beiden sind auch nicht auf einander abgestimmt sonder es blockiert bzw. erlaubt dem genannten Benutzer UND dem genannten Computer. Jedenfalls verstehe ich das so. Suche ich an der falschen Stelle?
Danke
ich muss gestehen über die IPSec steig ich nicht ganz durch. ich sehe da keine Möglichkeiten Benutzern die nicht von Ihrem eigenen PC kommen die Verbindung zu blockieren.
Nicht bei ipsec, sondern bei den Firewallregeln stellt man das ein. Und damit man diese Möglichkeiten auswählen kann, muss die Verbindung gesichert sein mit IPSec.Aber ich gebe zu, die Einrichtung ist nicht einfach.
Vielleicht fällt noch eine andere Lösung ein, der Ansatz mit "gleich wieder abmelden unter Voraussetzung X" ist doch brauchbar, da finde ich noch was, warte einen Moment.
1
So, ich hab mal was rausgesucht für die Powershell.
http://psterminalservices.codeplex.com/releases/view/65937 liefert Dir ein Modul für die Powershell.
->MSI runterladen, installieren nach c:\ordner
Importieren des Moduls:
Import-Module -Name C:\Ordner -verbose
Danach bekommst Du über
Get-TSSession |fl
die benötigten Infos (wer ist verbunden, von wo ist er verbunden) und kannst diese auswerten und dann handeln (Disconnect-TSSession ist mit in diesem Paket!).
Das Coden musst Du selbst machen, kannst das Resultat ja hier ausstellen. Es sollte jedenfalls über ein Loginskript machbar sein.
http://psterminalservices.codeplex.com/releases/view/65937 liefert Dir ein Modul für die Powershell.
->MSI runterladen, installieren nach c:\ordner
Importieren des Moduls:
Import-Module -Name C:\Ordner -verbose
Danach bekommst Du über
Get-TSSession |fl
die benötigten Infos (wer ist verbunden, von wo ist er verbunden) und kannst diese auswerten und dann handeln (Disconnect-TSSession ist mit in diesem Paket!).
Das Coden musst Du selbst machen, kannst das Resultat ja hier ausstellen. Es sollte jedenfalls über ein Loginskript machbar sein.
Danke, ich werde das auf jeden Fall testen und gebe Feedback. aber werde evtl. erst nächste Woche dazu kommen da ich noch Außendienst-Arbeiten erledigen muss jetzt.... DANKE
