shepherd81
Goto Top

RDP, NLA od. NTLM Frage!

Hi,
wer kennt sich hier sehr gut mit RDP und den Authentifizierungen die damit einhergehen aus?
Ich möchte gerne wissen wie es funktioniert wenn man eine gemischte Infrastruktur hat mit Linux und Windows Geräten, Windows Geräten die in der Domäne sind und welche nicht.
zB.: Wie funktioniert die Authentifizierung zwischen einem Gerät das in der Domäne ist und sich auf einen PC der nicht in der Domäne ist, verbinden möchte!?

Wer entscheidet ob eine RDP Verbindung aufgebaut werden darf? (Meiner Meinung sollte das doch immer das Ziel entscheiden müssen/dürfen).
Also was wenn ein Rechner nicht in der Domäne ist, dann müsste es ja sofern dieser RDP zulässt, immer funktionieren, egal was die Gegenseite hat?

Und wie löst man es am besten wenn sich Linux Geräte (keine Domäne) per RDP auf Windows Geräte (domäne) verbinden müssen aber NTLM deaktiviert sein soll!?
Und wozu braucht man die Option "NLA" die es bei dem RDP-client von microsoft gibt.

Content-Key: 3336130520

Url: https://administrator.de/contentid/3336130520

Printed on: May 18, 2024 at 16:05 o'clock

Member: departure69
departure69 Jul 14, 2022 updated at 08:37:38 (UTC)
Goto Top
@Shepherd81:

Hallo.

Domäne oder nicht ist - in beide Richtungen und wechselweise - erstmal völlig wurscht, solange der Zugreifende die notwendigen Anmeldecredentials des Ziel-PC, auf den er zugreifen will, kennt.
Wenn also physische Verbindung besteht und der Zugreifende einen Anmeldeprompt bekommt, kann er sich anmelden, wenn er die dazu notwendigen Anmeldeinformation hat (diese müssen natürlich von einem User sein, der sich wirklich am Ziel-PC anmelden darf, der Ziel-PC muß RDP-Zugriff aktiviert haben usw. usf.). Ebenso bei Servern. Besonderheiten gibt's da höchstens bei echten RD-/Terminalservern (RDS-Lizensierung). Wie der physische Zugriff - die Verbindung - erlangt wurde, ist ebenfalls egal (VPN, zertifikatbasierender RDS-Brokerzugriff u. v. w. m.).

Natürlich kann am Ziel-PC od. -Server mit den RDP-Zugriffsberechtigungen gespielt werden, zum Beispiel kann eingestellt werden, daß nur einzelne od. eine Gruppe von Usern RDP-zugriffsberechtigt sind, da können dann auch, wenn man das will, ausschließlich Domänen-User oder Domänen-Usergruppen ausgewählt werden. Jedoch keine Domänengeräte.

rdp



Viele Grüße

von

departure69
Member: Shepherd81
Shepherd81 Jul 14, 2022 updated at 12:51:02 (UTC)
Goto Top
Ok, leider beantwortet das nur zum Teil meine Fragen.
Wir haben Szenarien wo NTLM deaktiviert sein muss und wir trotzdem von Domänen Rechnern auf Nicht Domänen Rechner zugreifen und nur wenn dort NLA deaktiviert ist, dann geht es wieder.
Wäre aber eine Option mit aktivem NLA nicht sicherer und besser?

Was ist in solchen Fällen die sicherste Lösung wenn man von NTLM weg will aber nicht einfach so alle Geräte in eine Domäne einhängen kann!?
Was für Lösungsansätze gibt es bzw. wie wichtig is diese NLA option?
Member: Shepherd81
Shepherd81 Jul 19, 2022 at 07:55:09 (UTC)
Goto Top

Hey Peter! Cool! Danke für die Links. Hab mich da ein bisschen durchgelesen. Viel gutes Zündstoff dabei.
Jetzt meine einfache Frage:
Wenn man NTLM deaktiviert und NLA aktiviert haben möchte (weil ja wirklich wichtig).
Was ist die einfachste aber dennoch sicherste Methode um einen RDP Zugriff von Domänen-Rechnern auf "nicht-domänen-Rechner" zu ermöglichen?
Muss man dafür einen KDC Server installieren und konfigurieren oder was genau macht man da?
Weil ohne NTLM kommen wir momentan nicht mehr auf nicht domänen rechner und umgekehrt sobald NLA aktiviert ist.

LG,
Shepherd