Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

RDP-User-Rechte einschränken

Mitglied: Kalmann

Kalmann (Level 1) - Jetzt verbinden

31.01.2014 um 14:22 Uhr, 5915 Aufrufe, 3 Kommentare

Moin,

ich stecke hier gerade zwischen den Wahnvorstellungen verschiedener Geschäftsführer und frag mich wie ich das umsetzen soll. Würde mich freuen wenn hier jemand mitdenken könnte.

Also: Domäne mit W2k3-Server (nur DC und Fileserver) und Win7-Client. Auf dem Server läuft der DB-Server einer Branchenlösung, der Client wird von einer Freigabe aufgerufen. Ein externer Mitarbeiter soll wenn er vor Ort ist ganz normal die Systeme nutzen können. Außerdem soll der externe Mitarbeiter von außen auf die DB zugreifen könnnen, aber auf nichts anderes! Diese Branchenlösung muss aber zwingend über RDP genutzt werden.

Mein Ansatz ist; Einen User "Extern_vor_Ort" anzulegen der die üblichen Rechte bekommt, aber für RDP gesperrt wird. Zusätzlich einen zweiten User "Extern_unterwegs" anzulegen der für RDP freigeschaltet ist, nur Zugriff auf das DB-Verzeichnis (neue Freigabe) bekommt. Aber irgendwie habe ich das Gefühl da fehlt noch was.

Gruß
K
Mitglied: emeriks
31.01.2014 um 15:29 Uhr
Hi,
der Ansatz an sich ist schon ok. Würde ich wohl auch so angehen.
Habe ich richtig verstanden? Der Server ist alles in einem: DC, FS, DB und TS?
Du musst in jedem Fall noch verhindern, dass der "externe" Benutzer Anwendungen mit "Run as" ausführen kann und sich keine Netzlaufwerke verbinden kann. Weder über Explorer noch über Kommandozeile. Weil sonst könnte er in der laufenden TS-Sitzung den "internen" Benutzer für sowas verwenden.
Also wirst Du "Netzlaufwerke verbinden" verbieten müssen. Ebenso die CMD, Powershell, Wscript und Cscript. Alles per GPO.
Konsequenterweise VBA in MS Office & Co. auch noch. Und dass er Dateien von seinem Remote-Desktop in die TS-Sitzung transferieren kann. Weil sonst schreibt er sich ne EXE und verbindet die Laufwerke darüber. Wenn der interne Benutzer sich nie am TS anmelden muss, dann diesem auch die lokale Anmeldung an diesem TS verweigern.

Oder umgekehrt. Dem externen Benutzer alles verweigern und nur zugelassene Anwendungen erlauben. Am besten nicht über Exe-Name sondern über Hash.

mfg
E.
Bitte warten ..
Mitglied: Kalmann
04.02.2014 um 11:24 Uhr
Hi,

Sorry, daß ich so lange nicht geantwortet habe. Die User treiben mich gerade in den Wahnsinn. Die heute übliche Kombination aus intensiver IT-Nutzung und der Einstellung, daß der User es nicht nötig hat auch nur die Basics zu verstehen lässt mich über eine Umschulung zum Maurer nachdenken.

Der Server ist DC und FS, außerdem läuft eine DB (Conzept16). Der RDP-Zugriff wird leider über einen PC vor Ort realisiert werden müssen. Der DB-Client wird von der Freigabe aufgerufen auf der auch alle anderen Daten liegen.

Also ist mein Ansatz; eine weitere Freigabe einzurichten, damit auf den DB-Client zugegriffen werden kann ohne, daß auf die restlichen Daten zugegriffen werden kann. Dann einen weiteren User anlegen, also "User_von_extern" und den dann rechtemäßig so einzuschränken, daß wenn er den PC über RDP nutzt aber dann eben wirklich nur den DB-Client und evtl. Office nutzen kann aber keinen Zugriff auf weitere Freigaben. Aber jedes mal wenn ich versuche da 5 Minuten drüber nachzudenken klingelt der nächste Psychopath durch der nicht weiss wo er seine Briefe abgespeichert hat

Gruß
k
Bitte warten ..
Mitglied: emeriks
04.02.2014 um 18:14 Uhr
Achso, RDP auf Client. Quasi "Fersteuerung".
Nun, dann gilt das selbe, was ich geschrieben habe. Bloß eben bezogen auf diesen Client.

E.
Bitte warten ..
Ähnliche Inhalte
Windows Server
RDP-User "ohne Rechte"
Frage von xxl-SuperDAUWindows Server8 Kommentare

Guten Tag, ich habe -glaube ich - eine ganz simple Frage, die ich leider nicht in der Lage bin, ...

Windows Server
Recht Administrator
gelöst Frage von rudeboyWindows Server8 Kommentare

Hi! Kann mir jemand sagen wie ich das deuten soll? NTFS-Berechtigung Vollzugriff für den Admin aber trotzdem rot ausgekreuzt? ...

Windows Server

Eine RDP Sitzung pro User, Ausnahme für bestimmte User

Frage von patriwagWindows Server4 Kommentare

wir haben 3 Terminalserver über einen Sessionbroker miteinander verbunden. Auf den Sitzungshosts haben wir die Einstellung "Nur eine Sitzung ...

Windows Server

RDP change user install bei 2012R2

gelöst Frage von lcer00Windows Server3 Kommentare

Hallo zusammen, Ist der "Moduswechsel" beim Remotedesktop immer noch? erforderlich? Es scheint bei etlichen Programmen auch ohne zu funktionieren. ...

Neue Wissensbeiträge
Windows 7
Win7 Update scheitert KB4512506
Information von infowars vor 4 StundenWindows 7

Falls jemand auch das Problem hat mit dem: Monatliches Sicherheitsqualitätsrollup für Windows 7 für x64-basierte-Systeme (KB4512506) Das scheint mit ...

Humor (lol)
Wenn hacken nach hinten los geht
Information von em-pie vor 1 TagHumor (lol)4 Kommentare

Moin, weil heute Freitag ist, nachfolgender kurzer Artikel zum schmunzeln:) l+f: NULL ist ein notorischer Falschparker

Windows Update
Windows: August 2019 Patchday-Probleme
Information von kgborn vor 1 TagWindows Update3 Kommentare

Ich kippe mal einige kurze Informationen hier rein - vielleicht hilft es Betroffenen. Die August 2019-Updates für Windows haben ...

Sicherheits-Tools
Kaspersky "Sicherheitslösung"
Information von Looser27 vor 2 TagenSicherheits-Tools1 Kommentar

Wieso überrascht mich das nicht wirklich? Kaspersky gefährdet Privatsphäre

Heiß diskutierte Inhalte
SAN, NAS, DAS
Leiser stromsparender Debian EXT4 NAS-Heimserver: ECC-RAM wie betreiben?
Frage von Laser12SAN, NAS, DAS25 Kommentare

Moin, aktuell stelle ich einen Rechner zusammen, den mein Computerhändler bauen wird. Nach Jahrzehnten mit Desktops und zwei Notebooks ...

LAN, WAN, Wireless
VPN Tunnel zu PiVPN steht, aber kein Internet
gelöst Frage von KabuntelLAN, WAN, Wireless18 Kommentare

Hallo Community, habe heute PiVPN auf meinem Raspberry Pi 3b+ installiert, mit dem How To vom Kuketz-Blog Ich kann ...

Netzwerkgrundlagen
Proxmox auf dedicated Root Server mit nur einer IP nutzen
gelöst Frage von ndreier933Netzwerkgrundlagen12 Kommentare

Hallo Community, ich bin neu hier im Forum und weiß nicht ob ich das Thema richtg zugeordnet habe?Zusätzlich habe ...

Router & Routing
PfSense routing OpenVPn und IPSec
Frage von TheOnlyOneRouter & Routing11 Kommentare

Hallo zusammen, ich habe 3 Standorte die per VPN miteinander verbunden sind. (siehe Bild) Nun stehe ich vor der ...