9
RDP nur auf bestimme Systeme zulassen
Hallo zusammen,
ich möchte auf einen Client festlegen, das egal welcher User sich darauf anmeldet, sich über RDP nur auf bestimmte Computer schalten kann, die anderen sollten verweigert werden. Ich habe bereits diverse ausgehende Firewall Regeln in der GPO konfiguriert, leider immer ohne Erfolg.
Gibt es da eine Möglichkeit das über die GPO zu steuern?
Grüße
Simon
ich möchte auf einen Client festlegen, das egal welcher User sich darauf anmeldet, sich über RDP nur auf bestimmte Computer schalten kann, die anderen sollten verweigert werden. Ich habe bereits diverse ausgehende Firewall Regeln in der GPO konfiguriert, leider immer ohne Erfolg.
Gibt es da eine Möglichkeit das über die GPO zu steuern?
Grüße
Simon
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 5601318327
Url: https://administrator.de/contentid/5601318327
Ausgedruckt am: 22.11.2024 um 01:11 Uhr
9 Kommentare
Neuester Kommentar
Hi,
und welche diversen Regeln hast Du da konkret definiert?
Und ja, FW-Regeln kann man dann auch per GPO verteilen.
E.
und welche diversen Regeln hast Du da konkret definiert?
Und ja, FW-Regeln kann man dann auch per GPO verteilen.
E.
1
Hey, hast du es schon einmal anders herum gedacht? - Sperre doch den Client, von dem aus niemand auf bestimmte Systeme darf auf den bestimmten System selbst aus.
Moin,
bis jetzt habe ich eine benutzerdefinierte Regel erstellt. Darin habe ich den Protokolltyp TCP angegeben, als Lokaler Port "alle Ports" und als Remoteport erstmal auch "alle Ports". Dann habe ich die demensprechenden IP-Adresse eingetragen und die Regel auf "Verbindung zulassen" (Falls was evtl. keinen Sinn ergibt, verbessert mich bitte, bin noch nicht lange im Thema Firewall drin).
Auch eine Regel für das Programm RDP (mstsc.exe) habe ich schon versucht aber hat leider auch nichts gebracht.
Simon
bis jetzt habe ich eine benutzerdefinierte Regel erstellt. Darin habe ich den Protokolltyp TCP angegeben, als Lokaler Port "alle Ports" und als Remoteport erstmal auch "alle Ports". Dann habe ich die demensprechenden IP-Adresse eingetragen und die Regel auf "Verbindung zulassen" (Falls was evtl. keinen Sinn ergibt, verbessert mich bitte, bin noch nicht lange im Thema Firewall drin).
Auch eine Regel für das Programm RDP (mstsc.exe) habe ich schon versucht aber hat leider auch nichts gebracht.
Simon
Wenn du willst dass keine Verbindung zu einem Server zustande kommt, musst du die Verbindung blockieren - und nicht zulassen.
1
Falscher Ansatz:
Ausgehend darf der Client standardmäßig überall hin.
Also müsstest Du einmal RDP komplett verbieten und einmal für Ausnahmen erlauben.
Ausgehend darf der Client standardmäßig überall hin.
Also müsstest Du einmal RDP komplett verbieten und einmal für Ausnahmen erlauben.
1Zitat von @emeriks:
Falscher Ansatz:
Ausgehend darf der Client standardmäßig überall hin.
Also müsstest Du einmal RDP komplett verbieten und einmal für Ausnahmen erlauben.
Falscher Ansatz:
Ausgehend darf der Client standardmäßig überall hin.
Also müsstest Du einmal RDP komplett verbieten und einmal für Ausnahmen erlauben.
Alles klar, jetzt wo ich nochmal darüber nachdenke, ergibt es auch Sinn. Ich teste das ganze mal. Danke!
Simon
Hallo,
schau mal da: Windows RDP mit Verbindungssicherheitsregeln absichern
Mittels Verbindungssicherheitsregeln kann man alles ganz genau steuern.
Grüße
lcer
schau mal da: Windows RDP mit Verbindungssicherheitsregeln absichern
Mittels Verbindungssicherheitsregeln kann man alles ganz genau steuern.
Grüße
lcer
2Zitat von @lcer00:
Hallo,
schau mal da: Windows RDP mit Verbindungssicherheitsregeln absichern
Mittels Verbindungssicherheitsregeln kann man alles ganz genau steuern.
Grüße
lcer
Hallo,
schau mal da: Windows RDP mit Verbindungssicherheitsregeln absichern
Mittels Verbindungssicherheitsregeln kann man alles ganz genau steuern.
Grüße
lcer
Danke dir, schhaue ich mir an und teste es.
Simon
Hi,
also wenn ihr AD habt dann könntest du mehrere "Remote-Desktop"-Gruppen definieren und deren Target über GPO in OUs unterteilen. Nennt sich dann "Scope" bzw. "Security Filtering"
Bsp:
exemplarisches Beispiel:
Nun legst du via GPO den Scope auf die einzelnen OUs fest und teilst die entsprechende Scurity-Group zu. Dann muss du nur noch die User in die AD-Gruppe legen.
Damit das ganze dann auch runter gepullt wird folgst du dieser Anleitung:
https://social.technet.microsoft.com/wiki/contents/articles/7833.active- ...
Achtung! Ungetestet, Aber so sollte es funktionieren!
Grüße!
Mayho
also wenn ihr AD habt dann könntest du mehrere "Remote-Desktop"-Gruppen definieren und deren Target über GPO in OUs unterteilen. Nennt sich dann "Scope" bzw. "Security Filtering"
Bsp:
exemplarisches Beispiel:
- Du hast eine OU_A und OU_B
- * in OU_A liegen HOST0001 und HOST0002
- * in OU_B liegen HOST0003 und HOST0004
- Du hast eine RDP-Gruppe_A und RDP-Gruppe_B
- * In RDP-Gruppe_A liegen User A1234 und User A2345
- * In RDP-Gruppe_B liegen User A3456 und User A4567
Nun legst du via GPO den Scope auf die einzelnen OUs fest und teilst die entsprechende Scurity-Group zu. Dann muss du nur noch die User in die AD-Gruppe legen.
Damit das ganze dann auch runter gepullt wird folgst du dieser Anleitung:
https://social.technet.microsoft.com/wiki/contents/articles/7833.active- ...
Achtung! Ungetestet, Aber so sollte es funktionieren!
Grüße!
Mayho
