3
RDP Login auf RDP-Gateway verhindern
Hallo zusammen,
ich habe einen RDS und ein RDS-GW aufgebaut. Das RDS-GW ist standalone Server in einer DMZ. Von Außen kommt man per VPN in die DMZ. Von da aus soll es über das RDS-GW weiter gehen zum RDSH im Mitarbeiternetzwerk. Das funktioniert auch, wenn die angelegten Benutzer auf dem RDS-GW in der Gruppe Remotedesktopbenutzer sind. Das bedeutet aber dann auch, dass sich jeder Benutzer auf dem RDS-GW lokal per RDP anmelden kann, was nicht Sinn der Sache ist. Das GW soll ja nur der Weiterleitung dienen.
Nun dachte ich, dass ich den Netzwerkrichtlinienserver verwende und eine Richtlinie einrichte, die den Zugriff erlaubt, wenn der Benutzer in der Gruppe RDSHUser ist. Dann kann ich die Benutzer aus der Gruppe Remotedesktopbenutzer entfernen. Leider funktioniert das nicht so wie ich mir dachte. Ich habe dann keine Berechtigung.
Nun die Frage: Wie löse ich das? Müsste das nicht eigentlich über die Netzwerkrichtlinien laufen und ich mache hier nur was falsch oder ist die Denke schon falsch?
Vielen Dank für die Antworten und einen schönen Abend.
ich habe einen RDS und ein RDS-GW aufgebaut. Das RDS-GW ist standalone Server in einer DMZ. Von Außen kommt man per VPN in die DMZ. Von da aus soll es über das RDS-GW weiter gehen zum RDSH im Mitarbeiternetzwerk. Das funktioniert auch, wenn die angelegten Benutzer auf dem RDS-GW in der Gruppe Remotedesktopbenutzer sind. Das bedeutet aber dann auch, dass sich jeder Benutzer auf dem RDS-GW lokal per RDP anmelden kann, was nicht Sinn der Sache ist. Das GW soll ja nur der Weiterleitung dienen.
Nun dachte ich, dass ich den Netzwerkrichtlinienserver verwende und eine Richtlinie einrichte, die den Zugriff erlaubt, wenn der Benutzer in der Gruppe RDSHUser ist. Dann kann ich die Benutzer aus der Gruppe Remotedesktopbenutzer entfernen. Leider funktioniert das nicht so wie ich mir dachte. Ich habe dann keine Berechtigung.
Nun die Frage: Wie löse ich das? Müsste das nicht eigentlich über die Netzwerkrichtlinien laufen und ich mache hier nur was falsch oder ist die Denke schon falsch?
Vielen Dank für die Antworten und einen schönen Abend.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 616449
Url: https://administrator.de/forum/rdp-login-auf-rdp-gateway-verhindern-616449.html
Ausgedruckt am: 15.01.2025 um 04:01 Uhr
3 Kommentare
Neuester Kommentar
Hi,
ich kenne mich mit dem RDS-Gateway nicht wirklich aus, aber müssen die Benutzer denn wirklich Mitglieder der Remotedesktopbenutzer des RDS-GW sein? Oder reicht es nicht auch, wenn die Benutzer nur Mitglieder der eigentlichen RDP-Server sind?
ich kenne mich mit dem RDS-Gateway nicht wirklich aus, aber müssen die Benutzer denn wirklich Mitglieder der Remotedesktopbenutzer des RDS-GW sein? Oder reicht es nicht auch, wenn die Benutzer nur Mitglieder der eigentlichen RDP-Server sind?
Danke für deine Antwort.
Aktuell ist die Konstellation wie folgt:
Benutzer kommen "rein" und landen am RDS-GW. Von dort aus geht es weiter an die RDP-Server, wo die Benutzer in einer eigenen Gruppe sind. Je nach Gruppe können sie sich dann an dem ein oder anderen RDP-Server anmelden. Es sind zwei verschiedene, weil sie verschiedene Softwareausstattung haben. Quasi FiBu/LoBu und Rest.
Das Problem ist, dass die Benutzer alle auf dem GW angelegt sein müssen. Damit die Benutzer mit ihrer RDP-Verbindung "durchmarschieren" können, müssen sie in der Gruppe Remotedesktopbenutzer sein, was wiederum den RDP-Login auf dem RDP-GW ermöglicht, was ich eigentlich nicht will.
Nun habe ich eine neue Gruppe angelegt (RDSHUser) und alle Benutzer da reingesteckt. Danach alle Benutzer aus Remotedesktopbenutzer entfernt und in den Netzwerkrichtlinien (local NPS) die Gruppe RDSHUser als notwendige Gruppe eingetragen. Leider funktioniert es nicht. Ich denke, dass ich einen Fehler mache, weil ich nicht genau weiß wie es gedacht ist wie es laufen muss.
Aktuell ist die Konstellation wie folgt:
Benutzer kommen "rein" und landen am RDS-GW. Von dort aus geht es weiter an die RDP-Server, wo die Benutzer in einer eigenen Gruppe sind. Je nach Gruppe können sie sich dann an dem ein oder anderen RDP-Server anmelden. Es sind zwei verschiedene, weil sie verschiedene Softwareausstattung haben. Quasi FiBu/LoBu und Rest.
Das Problem ist, dass die Benutzer alle auf dem GW angelegt sein müssen. Damit die Benutzer mit ihrer RDP-Verbindung "durchmarschieren" können, müssen sie in der Gruppe Remotedesktopbenutzer sein, was wiederum den RDP-Login auf dem RDP-GW ermöglicht, was ich eigentlich nicht will.
Nun habe ich eine neue Gruppe angelegt (RDSHUser) und alle Benutzer da reingesteckt. Danach alle Benutzer aus Remotedesktopbenutzer entfernt und in den Netzwerkrichtlinien (local NPS) die Gruppe RDSHUser als notwendige Gruppe eingetragen. Leider funktioniert es nicht. Ich denke, dass ich einen Fehler mache, weil ich nicht genau weiß wie es gedacht ist wie es laufen muss.
Oder reicht es nicht auch, wenn die Benutzer nur Mitglieder der eigentlichen RDP-Server sind?
Es muss eine Gruppenzugehörigkeit auf dem GW da sein. Auf dem RDP-Server alleine reicht nicht aus.
Hmm, ich fürchte dann muss ich passen, sorry!
Viel Erfolg
Viel Erfolg
