hannes.hutmacher
Goto Top

RDP Login auf RDP-Gateway verhindern

Hallo zusammen,

ich habe einen RDS und ein RDS-GW aufgebaut. Das RDS-GW ist standalone Server in einer DMZ. Von Außen kommt man per VPN in die DMZ. Von da aus soll es über das RDS-GW weiter gehen zum RDSH im Mitarbeiternetzwerk. Das funktioniert auch, wenn die angelegten Benutzer auf dem RDS-GW in der Gruppe Remotedesktopbenutzer sind. Das bedeutet aber dann auch, dass sich jeder Benutzer auf dem RDS-GW lokal per RDP anmelden kann, was nicht Sinn der Sache ist. Das GW soll ja nur der Weiterleitung dienen.

Nun dachte ich, dass ich den Netzwerkrichtlinienserver verwende und eine Richtlinie einrichte, die den Zugriff erlaubt, wenn der Benutzer in der Gruppe RDSHUser ist. Dann kann ich die Benutzer aus der Gruppe Remotedesktopbenutzer entfernen. Leider funktioniert das nicht so wie ich mir dachte. Ich habe dann keine Berechtigung.

Nun die Frage: Wie löse ich das? Müsste das nicht eigentlich über die Netzwerkrichtlinien laufen und ich mache hier nur was falsch oder ist die Denke schon falsch?

Vielen Dank für die Antworten und einen schönen Abend.

Content-Key: 616449

Url: https://administrator.de/contentid/616449

Printed on: March 2, 2024 at 16:03 o'clock

Member: support-m
support-m Oct 28, 2020 at 14:50:00 (UTC)
Goto Top
Hi,
ich kenne mich mit dem RDS-Gateway nicht wirklich aus, aber müssen die Benutzer denn wirklich Mitglieder der Remotedesktopbenutzer des RDS-GW sein? Oder reicht es nicht auch, wenn die Benutzer nur Mitglieder der eigentlichen RDP-Server sind?
Member: hannes.hutmacher
hannes.hutmacher Oct 30, 2020 at 19:51:30 (UTC)
Goto Top
Danke für deine Antwort.

Aktuell ist die Konstellation wie folgt:

Benutzer kommen "rein" und landen am RDS-GW. Von dort aus geht es weiter an die RDP-Server, wo die Benutzer in einer eigenen Gruppe sind. Je nach Gruppe können sie sich dann an dem ein oder anderen RDP-Server anmelden. Es sind zwei verschiedene, weil sie verschiedene Softwareausstattung haben. Quasi FiBu/LoBu und Rest.

Das Problem ist, dass die Benutzer alle auf dem GW angelegt sein müssen. Damit die Benutzer mit ihrer RDP-Verbindung "durchmarschieren" können, müssen sie in der Gruppe Remotedesktopbenutzer sein, was wiederum den RDP-Login auf dem RDP-GW ermöglicht, was ich eigentlich nicht will.

Nun habe ich eine neue Gruppe angelegt (RDSHUser) und alle Benutzer da reingesteckt. Danach alle Benutzer aus Remotedesktopbenutzer entfernt und in den Netzwerkrichtlinien (local NPS) die Gruppe RDSHUser als notwendige Gruppe eingetragen. Leider funktioniert es nicht. Ich denke, dass ich einen Fehler mache, weil ich nicht genau weiß wie es gedacht ist wie es laufen muss.

Oder reicht es nicht auch, wenn die Benutzer nur Mitglieder der eigentlichen RDP-Server sind?
Es muss eine Gruppenzugehörigkeit auf dem GW da sein. Auf dem RDP-Server alleine reicht nicht aus.
Member: support-m
support-m Nov 03, 2020 at 13:46:57 (UTC)
Goto Top
Hmm, ich fürchte dann muss ich passen, sorry!

Viel Erfolg