kalmann
Goto Top

RDP-User-Rechte einschränken

Moin,

ich stecke hier gerade zwischen den Wahnvorstellungen verschiedener Geschäftsführer und frag mich wie ich das umsetzen soll. Würde mich freuen wenn hier jemand mitdenken könnte.

Also: Domäne mit W2k3-Server (nur DC und Fileserver) und Win7-Client. Auf dem Server läuft der DB-Server einer Branchenlösung, der Client wird von einer Freigabe aufgerufen. Ein externer Mitarbeiter soll wenn er vor Ort ist ganz normal die Systeme nutzen können. Außerdem soll der externe Mitarbeiter von außen auf die DB zugreifen könnnen, aber auf nichts anderes! Diese Branchenlösung muss aber zwingend über RDP genutzt werden.

Mein Ansatz ist; Einen User "Extern_vor_Ort" anzulegen der die üblichen Rechte bekommt, aber für RDP gesperrt wird. Zusätzlich einen zweiten User "Extern_unterwegs" anzulegen der für RDP freigeschaltet ist, nur Zugriff auf das DB-Verzeichnis (neue Freigabe) bekommt. Aber irgendwie habe ich das Gefühl da fehlt noch was.

Gruß
K

Content-ID: 228288

Url: https://administrator.de/forum/rdp-user-rechte-einschraenken-228288.html

Ausgedruckt am: 22.12.2024 um 11:12 Uhr

emeriks
emeriks 31.01.2014 um 15:29:50 Uhr
Goto Top
Hi,
der Ansatz an sich ist schon ok. Würde ich wohl auch so angehen.
Habe ich richtig verstanden? Der Server ist alles in einem: DC, FS, DB und TS?
Du musst in jedem Fall noch verhindern, dass der "externe" Benutzer Anwendungen mit "Run as" ausführen kann und sich keine Netzlaufwerke verbinden kann. Weder über Explorer noch über Kommandozeile. Weil sonst könnte er in der laufenden TS-Sitzung den "internen" Benutzer für sowas verwenden.
Also wirst Du "Netzlaufwerke verbinden" verbieten müssen. Ebenso die CMD, Powershell, Wscript und Cscript. Alles per GPO.
Konsequenterweise VBA in MS Office & Co. auch noch. Und dass er Dateien von seinem Remote-Desktop in die TS-Sitzung transferieren kann. Weil sonst schreibt er sich ne EXE und verbindet die Laufwerke darüber. Wenn der interne Benutzer sich nie am TS anmelden muss, dann diesem auch die lokale Anmeldung an diesem TS verweigern.

Oder umgekehrt. Dem externen Benutzer alles verweigern und nur zugelassene Anwendungen erlauben. Am besten nicht über Exe-Name sondern über Hash.

mfg
E.
Kalmann
Kalmann 04.02.2014 um 11:24:43 Uhr
Goto Top
Hi,

Sorry, daß ich so lange nicht geantwortet habe. Die User treiben mich gerade in den Wahnsinn. Die heute übliche Kombination aus intensiver IT-Nutzung und der Einstellung, daß der User es nicht nötig hat auch nur die Basics zu verstehen lässt mich über eine Umschulung zum Maurer nachdenken.

Der Server ist DC und FS, außerdem läuft eine DB (Conzept16). Der RDP-Zugriff wird leider über einen PC vor Ort realisiert werden müssen. Der DB-Client wird von der Freigabe aufgerufen auf der auch alle anderen Daten liegen.

Also ist mein Ansatz; eine weitere Freigabe einzurichten, damit auf den DB-Client zugegriffen werden kann ohne, daß auf die restlichen Daten zugegriffen werden kann. Dann einen weiteren User anlegen, also "User_von_extern" und den dann rechtemäßig so einzuschränken, daß wenn er den PC über RDP nutzt aber dann eben wirklich nur den DB-Client und evtl. Office nutzen kann aber keinen Zugriff auf weitere Freigaben. Aber jedes mal wenn ich versuche da 5 Minuten drüber nachzudenken klingelt der nächste Psychopath durch der nicht weiss wo er seine Briefe abgespeichert hat face-wink

Gruß
k
emeriks
emeriks 04.02.2014 um 18:14:12 Uhr
Goto Top
Achso, RDP auf Client. Quasi "Fersteuerung". face-wink
Nun, dann gilt das selbe, was ich geschrieben habe. Bloß eben bezogen auf diesen Client.

E.