3
RDS Gateway Zugriff
Hallo,
wir haben einen Terminalserver unter 2012R2 laufen, alle Rollen auf einer VM. Bisher waren in der RD-cap als Benutzergruppe alle Domain-user berechtigt.
Nun wollte ich den Zugriff in intern und extern aufteilen. d.h zwei sicherheitsgruppen im AD erstellt RDS_intern und RDS_extern.
RDS_intern soll nur aus dem LAN auf den TS zugreifen können, RDS_extern soll von aussen über das Rds-Gateway Zugriff haben. Ziel ist wechselt z.B. ein user vom Aussendienst in den Innendienst, zieht man ihn einfach in die andere gruppe und er kann sich fortan nicht mehr aus dem web am TS anmelden.
Ändere ich im Remotedesktopmanager die RD_CAP Berechtigung von Domänen-Benutzer auf die Gruppe RDS_extern, kann sich trotzdem noch jeder anmelden, auch nach Neustart des TS.
dann habe ich noch versucht am Netzwerkrichtlinienserver, ist auf der gleichen VM, in der Richtlinie RDG_CAP_AllUsers den Haken bei "Benutzerkonto Einwahleigenschaften ignorieren" herauszunehmen. Dann müsste er eigentlich wenn ich im AD Konto bei Einwählen verweigern anstatt Zugriff über NPS-Richtlinie steuern verweigern.
Es könne sich aber nach wie vor alle Domänen-Benutzer von aussen anmelden.
Habe ich ein Verständnis-Problem, stehe ich auf der Leitung ????
wir haben einen Terminalserver unter 2012R2 laufen, alle Rollen auf einer VM. Bisher waren in der RD-cap als Benutzergruppe alle Domain-user berechtigt.
Nun wollte ich den Zugriff in intern und extern aufteilen. d.h zwei sicherheitsgruppen im AD erstellt RDS_intern und RDS_extern.
RDS_intern soll nur aus dem LAN auf den TS zugreifen können, RDS_extern soll von aussen über das Rds-Gateway Zugriff haben. Ziel ist wechselt z.B. ein user vom Aussendienst in den Innendienst, zieht man ihn einfach in die andere gruppe und er kann sich fortan nicht mehr aus dem web am TS anmelden.
Ändere ich im Remotedesktopmanager die RD_CAP Berechtigung von Domänen-Benutzer auf die Gruppe RDS_extern, kann sich trotzdem noch jeder anmelden, auch nach Neustart des TS.
dann habe ich noch versucht am Netzwerkrichtlinienserver, ist auf der gleichen VM, in der Richtlinie RDG_CAP_AllUsers den Haken bei "Benutzerkonto Einwahleigenschaften ignorieren" herauszunehmen. Dann müsste er eigentlich wenn ich im AD Konto bei Einwählen verweigern anstatt Zugriff über NPS-Richtlinie steuern verweigern.
Es könne sich aber nach wie vor alle Domänen-Benutzer von aussen anmelden.
Habe ich ein Verständnis-Problem, stehe ich auf der Leitung ????
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 632592
Url: https://administrator.de/contentid/632592
Printed on: May 4, 2024 at 08:05 o'clock
3 Comments
Latest comment
Du könntest versuchen diese Gruppe auf dem Webverzeichnis für den RDWEB als "DENY" zu hinterlegen, so kannst du das Problem "hintenrum" lösen.
https://social.technet.microsoft.com/Forums/ie/en-US/fde718bc-d8b6-46f3- ...
https://social.technet.microsoft.com/Forums/ie/en-US/fde718bc-d8b6-46f3- ...
RDWEB wird nicht genutzt, ausschließlich RD Gateway, hintenrum hinbiegen ist klar möglich. Aber es müsste doch einen weg geben lokale RDP sessions von externen zu trennen.
Wenn ich z.B. im Server-Manager bei der Sitzungssammlung die Gruppe ändere zieht das sofort aber eben für alle extern und intern.
IM taskmanager sehe ich z.B. alle eingeloggten user, im RD-gateway manager nur die die von aussen kommen, also müsste man das ja auch irgentwie "korrekt" hinkriegen.
Aber natürlich erstmal Danke
Wenn ich z.B. im Server-Manager bei der Sitzungssammlung die Gruppe ändere zieht das sofort aber eben für alle extern und intern.
IM taskmanager sehe ich z.B. alle eingeloggten user, im RD-gateway manager nur die die von aussen kommen, also müsste man das ja auch irgentwie "korrekt" hinkriegen.
Aber natürlich erstmal Danke
Wenn sich an dem TS Domänen-Benutzer anmelden dürfen, sollte sich eh jeder von intern anmelden können. Du mußt auf dem TS die Domänenbenutzer entfernen und nur noch die expliziten internen und externen zulassen. bzw die user aus der Gruppe Domänenbenutzer entfernen und so zuordnen, daß sie nur noch den entsprechenden Gruppen angehören. Das hätte dann aber mit dem TS an sich nichts zu tun sondern mit der Benutzerverwaltung auf Domänenebene.
🖖
🖖
