RDP-User-Rechte einschränken
Moin,
ich stecke hier gerade zwischen den Wahnvorstellungen verschiedener Geschäftsführer und frag mich wie ich das umsetzen soll. Würde mich freuen wenn hier jemand mitdenken könnte.
Also: Domäne mit W2k3-Server (nur DC und Fileserver) und Win7-Client. Auf dem Server läuft der DB-Server einer Branchenlösung, der Client wird von einer Freigabe aufgerufen. Ein externer Mitarbeiter soll wenn er vor Ort ist ganz normal die Systeme nutzen können. Außerdem soll der externe Mitarbeiter von außen auf die DB zugreifen könnnen, aber auf nichts anderes! Diese Branchenlösung muss aber zwingend über RDP genutzt werden.
Mein Ansatz ist; Einen User "Extern_vor_Ort" anzulegen der die üblichen Rechte bekommt, aber für RDP gesperrt wird. Zusätzlich einen zweiten User "Extern_unterwegs" anzulegen der für RDP freigeschaltet ist, nur Zugriff auf das DB-Verzeichnis (neue Freigabe) bekommt. Aber irgendwie habe ich das Gefühl da fehlt noch was.
Gruß
K
ich stecke hier gerade zwischen den Wahnvorstellungen verschiedener Geschäftsführer und frag mich wie ich das umsetzen soll. Würde mich freuen wenn hier jemand mitdenken könnte.
Also: Domäne mit W2k3-Server (nur DC und Fileserver) und Win7-Client. Auf dem Server läuft der DB-Server einer Branchenlösung, der Client wird von einer Freigabe aufgerufen. Ein externer Mitarbeiter soll wenn er vor Ort ist ganz normal die Systeme nutzen können. Außerdem soll der externe Mitarbeiter von außen auf die DB zugreifen könnnen, aber auf nichts anderes! Diese Branchenlösung muss aber zwingend über RDP genutzt werden.
Mein Ansatz ist; Einen User "Extern_vor_Ort" anzulegen der die üblichen Rechte bekommt, aber für RDP gesperrt wird. Zusätzlich einen zweiten User "Extern_unterwegs" anzulegen der für RDP freigeschaltet ist, nur Zugriff auf das DB-Verzeichnis (neue Freigabe) bekommt. Aber irgendwie habe ich das Gefühl da fehlt noch was.
Gruß
K
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 228288
Url: https://administrator.de/forum/rdp-user-rechte-einschraenken-228288.html
Ausgedruckt am: 22.12.2024 um 11:12 Uhr
3 Kommentare
Neuester Kommentar
Hi,
der Ansatz an sich ist schon ok. Würde ich wohl auch so angehen.
Habe ich richtig verstanden? Der Server ist alles in einem: DC, FS, DB und TS?
Du musst in jedem Fall noch verhindern, dass der "externe" Benutzer Anwendungen mit "Run as" ausführen kann und sich keine Netzlaufwerke verbinden kann. Weder über Explorer noch über Kommandozeile. Weil sonst könnte er in der laufenden TS-Sitzung den "internen" Benutzer für sowas verwenden.
Also wirst Du "Netzlaufwerke verbinden" verbieten müssen. Ebenso die CMD, Powershell, Wscript und Cscript. Alles per GPO.
Konsequenterweise VBA in MS Office & Co. auch noch. Und dass er Dateien von seinem Remote-Desktop in die TS-Sitzung transferieren kann. Weil sonst schreibt er sich ne EXE und verbindet die Laufwerke darüber. Wenn der interne Benutzer sich nie am TS anmelden muss, dann diesem auch die lokale Anmeldung an diesem TS verweigern.
Oder umgekehrt. Dem externen Benutzer alles verweigern und nur zugelassene Anwendungen erlauben. Am besten nicht über Exe-Name sondern über Hash.
mfg
E.
der Ansatz an sich ist schon ok. Würde ich wohl auch so angehen.
Habe ich richtig verstanden? Der Server ist alles in einem: DC, FS, DB und TS?
Du musst in jedem Fall noch verhindern, dass der "externe" Benutzer Anwendungen mit "Run as" ausführen kann und sich keine Netzlaufwerke verbinden kann. Weder über Explorer noch über Kommandozeile. Weil sonst könnte er in der laufenden TS-Sitzung den "internen" Benutzer für sowas verwenden.
Also wirst Du "Netzlaufwerke verbinden" verbieten müssen. Ebenso die CMD, Powershell, Wscript und Cscript. Alles per GPO.
Konsequenterweise VBA in MS Office & Co. auch noch. Und dass er Dateien von seinem Remote-Desktop in die TS-Sitzung transferieren kann. Weil sonst schreibt er sich ne EXE und verbindet die Laufwerke darüber. Wenn der interne Benutzer sich nie am TS anmelden muss, dann diesem auch die lokale Anmeldung an diesem TS verweigern.
Oder umgekehrt. Dem externen Benutzer alles verweigern und nur zugelassene Anwendungen erlauben. Am besten nicht über Exe-Name sondern über Hash.
mfg
E.