3
RDP-User-Rechte einschränken
Moin,
ich stecke hier gerade zwischen den Wahnvorstellungen verschiedener Geschäftsführer und frag mich wie ich das umsetzen soll. Würde mich freuen wenn hier jemand mitdenken könnte.
Also: Domäne mit W2k3-Server (nur DC und Fileserver) und Win7-Client. Auf dem Server läuft der DB-Server einer Branchenlösung, der Client wird von einer Freigabe aufgerufen. Ein externer Mitarbeiter soll wenn er vor Ort ist ganz normal die Systeme nutzen können. Außerdem soll der externe Mitarbeiter von außen auf die DB zugreifen könnnen, aber auf nichts anderes! Diese Branchenlösung muss aber zwingend über RDP genutzt werden.
Mein Ansatz ist; Einen User "Extern_vor_Ort" anzulegen der die üblichen Rechte bekommt, aber für RDP gesperrt wird. Zusätzlich einen zweiten User "Extern_unterwegs" anzulegen der für RDP freigeschaltet ist, nur Zugriff auf das DB-Verzeichnis (neue Freigabe) bekommt. Aber irgendwie habe ich das Gefühl da fehlt noch was.
Gruß
K
ich stecke hier gerade zwischen den Wahnvorstellungen verschiedener Geschäftsführer und frag mich wie ich das umsetzen soll. Würde mich freuen wenn hier jemand mitdenken könnte.
Also: Domäne mit W2k3-Server (nur DC und Fileserver) und Win7-Client. Auf dem Server läuft der DB-Server einer Branchenlösung, der Client wird von einer Freigabe aufgerufen. Ein externer Mitarbeiter soll wenn er vor Ort ist ganz normal die Systeme nutzen können. Außerdem soll der externe Mitarbeiter von außen auf die DB zugreifen könnnen, aber auf nichts anderes! Diese Branchenlösung muss aber zwingend über RDP genutzt werden.
Mein Ansatz ist; Einen User "Extern_vor_Ort" anzulegen der die üblichen Rechte bekommt, aber für RDP gesperrt wird. Zusätzlich einen zweiten User "Extern_unterwegs" anzulegen der für RDP freigeschaltet ist, nur Zugriff auf das DB-Verzeichnis (neue Freigabe) bekommt. Aber irgendwie habe ich das Gefühl da fehlt noch was.
Gruß
K
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 228288
Url: https://administrator.de/contentid/228288
Ausgedruckt am: 22.11.2024 um 02:11 Uhr
3 Kommentare
Neuester Kommentar
Hi,
der Ansatz an sich ist schon ok. Würde ich wohl auch so angehen.
Habe ich richtig verstanden? Der Server ist alles in einem: DC, FS, DB und TS?
Du musst in jedem Fall noch verhindern, dass der "externe" Benutzer Anwendungen mit "Run as" ausführen kann und sich keine Netzlaufwerke verbinden kann. Weder über Explorer noch über Kommandozeile. Weil sonst könnte er in der laufenden TS-Sitzung den "internen" Benutzer für sowas verwenden.
Also wirst Du "Netzlaufwerke verbinden" verbieten müssen. Ebenso die CMD, Powershell, Wscript und Cscript. Alles per GPO.
Konsequenterweise VBA in MS Office & Co. auch noch. Und dass er Dateien von seinem Remote-Desktop in die TS-Sitzung transferieren kann. Weil sonst schreibt er sich ne EXE und verbindet die Laufwerke darüber. Wenn der interne Benutzer sich nie am TS anmelden muss, dann diesem auch die lokale Anmeldung an diesem TS verweigern.
Oder umgekehrt. Dem externen Benutzer alles verweigern und nur zugelassene Anwendungen erlauben. Am besten nicht über Exe-Name sondern über Hash.
mfg
E.
der Ansatz an sich ist schon ok. Würde ich wohl auch so angehen.
Habe ich richtig verstanden? Der Server ist alles in einem: DC, FS, DB und TS?
Du musst in jedem Fall noch verhindern, dass der "externe" Benutzer Anwendungen mit "Run as" ausführen kann und sich keine Netzlaufwerke verbinden kann. Weder über Explorer noch über Kommandozeile. Weil sonst könnte er in der laufenden TS-Sitzung den "internen" Benutzer für sowas verwenden.
Also wirst Du "Netzlaufwerke verbinden" verbieten müssen. Ebenso die CMD, Powershell, Wscript und Cscript. Alles per GPO.
Konsequenterweise VBA in MS Office & Co. auch noch. Und dass er Dateien von seinem Remote-Desktop in die TS-Sitzung transferieren kann. Weil sonst schreibt er sich ne EXE und verbindet die Laufwerke darüber. Wenn der interne Benutzer sich nie am TS anmelden muss, dann diesem auch die lokale Anmeldung an diesem TS verweigern.
Oder umgekehrt. Dem externen Benutzer alles verweigern und nur zugelassene Anwendungen erlauben. Am besten nicht über Exe-Name sondern über Hash.
mfg
E.
Hi,
Sorry, daß ich so lange nicht geantwortet habe. Die User treiben mich gerade in den Wahnsinn. Die heute übliche Kombination aus intensiver IT-Nutzung und der Einstellung, daß der User es nicht nötig hat auch nur die Basics zu verstehen lässt mich über eine Umschulung zum Maurer nachdenken.
Der Server ist DC und FS, außerdem läuft eine DB (Conzept16). Der RDP-Zugriff wird leider über einen PC vor Ort realisiert werden müssen. Der DB-Client wird von der Freigabe aufgerufen auf der auch alle anderen Daten liegen.
Also ist mein Ansatz; eine weitere Freigabe einzurichten, damit auf den DB-Client zugegriffen werden kann ohne, daß auf die restlichen Daten zugegriffen werden kann. Dann einen weiteren User anlegen, also "User_von_extern" und den dann rechtemäßig so einzuschränken, daß wenn er den PC über RDP nutzt aber dann eben wirklich nur den DB-Client und evtl. Office nutzen kann aber keinen Zugriff auf weitere Freigaben. Aber jedes mal wenn ich versuche da 5 Minuten drüber nachzudenken klingelt der nächste Psychopath durch der nicht weiss wo er seine Briefe abgespeichert hat
Gruß
k
Sorry, daß ich so lange nicht geantwortet habe. Die User treiben mich gerade in den Wahnsinn. Die heute übliche Kombination aus intensiver IT-Nutzung und der Einstellung, daß der User es nicht nötig hat auch nur die Basics zu verstehen lässt mich über eine Umschulung zum Maurer nachdenken.
Der Server ist DC und FS, außerdem läuft eine DB (Conzept16). Der RDP-Zugriff wird leider über einen PC vor Ort realisiert werden müssen. Der DB-Client wird von der Freigabe aufgerufen auf der auch alle anderen Daten liegen.
Also ist mein Ansatz; eine weitere Freigabe einzurichten, damit auf den DB-Client zugegriffen werden kann ohne, daß auf die restlichen Daten zugegriffen werden kann. Dann einen weiteren User anlegen, also "User_von_extern" und den dann rechtemäßig so einzuschränken, daß wenn er den PC über RDP nutzt aber dann eben wirklich nur den DB-Client und evtl. Office nutzen kann aber keinen Zugriff auf weitere Freigaben. Aber jedes mal wenn ich versuche da 5 Minuten drüber nachzudenken klingelt der nächste Psychopath durch der nicht weiss wo er seine Briefe abgespeichert hat
Gruß
k
Achso, RDP auf Client. Quasi "Fersteuerung".
Nun, dann gilt das selbe, was ich geschrieben habe. Bloß eben bezogen auf diesen Client.
E.
Nun, dann gilt das selbe, was ich geschrieben habe. Bloß eben bezogen auf diesen Client.
E.
