9
SMB Freigaben für VPN-User auf Windows Server 2003 sperren
Ich habe einen Win 2003 Terminalserver der über lokale Freigaben verfügt, die mit Benutzerrechten eingeschränkt sind.
Wenn die Benutzer sich per VPN anmelden sollen die lokalen Freigaben nur über den Terminalserver, aber nicht über SMB auf dem Computer zu erreichen sein. Wie stelle ich das am besten an?
Wenn die Benutzer sich per VPN anmelden sollen die lokalen Freigaben nur über den Terminalserver, aber nicht über SMB auf dem Computer zu erreichen sein. Wie stelle ich das am besten an?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 144173
Url: https://administrator.de/contentid/144173
Ausgedruckt am: 21.11.2024 um 23:11 Uhr
9 Kommentare
Neuester Kommentar
Ganz einfach: Für die VPN Benutzer einfach nur Port TCP 3389 erlauben in der Firewall ! Dann können sie nur noch TS Zugriffe machen und nix anderes mehr !
Ja danke, hab ich auch schon überlegt eine Richtlinie für die Gruppe der VPN User anzulegen.
Doch die Einschränkung soll aufgehoben werden, wenn sich die selben User in der Firma an einem Rechner anmelden. Dort sollen sie natürlich SMB Zugriff haben.
Doch die Einschränkung soll aufgehoben werden, wenn sich die selben User in der Firma an einem Rechner anmelden. Dort sollen sie natürlich SMB Zugriff haben.
In diesem Fall kannst Du es ja so machen, wie bei www.gruppenrichtlinien.de beschrieben, und für den VPN-Zugang separate Nutzer anlegen. Diese User haben dann nur die VPN-Berechtigung, aber keine Möglichkeit zur lokalen Anmeldung bzw. zum Zugriff auf Freigaben.
Falls der Zugriff benötigt wird, dann können die User natürlich mit Ihrem Standard-Benutzer auf die Freigaben zugreifen, indem Sie Ihren normalen Benutzer und Passwort angeben. Wenn dies auch nicht gewünscht ist, dann kannst Du wie von @aqui empfohlen, nur den Port 3389 in der Firewall öffnen.
Falls der Zugriff benötigt wird, dann können die User natürlich mit Ihrem Standard-Benutzer auf die Freigaben zugreifen, indem Sie Ihren normalen Benutzer und Passwort angeben. Wenn dies auch nicht gewünscht ist, dann kannst Du wie von @aqui empfohlen, nur den Port 3389 in der Firewall öffnen.
Mir ist noch eine Alternative eingefallen, die gerade testen möchte.
Ich beschränke die VPN-Einwahl auf einen bestimmten IP Bereich und erstelle für diesen Bereich eine Firewallregel (GPO), die alles blockt außer Port 3389.
Nachtrag:
Das ist wohl ziemlicher Schwachsinn, weil das ja eine Maschinenrichtlinie ist und die VPN-Rechner in der Regel nicht Mitglied der Domäne sind. Also klappt das wohl eher nicht.
Ich beschränke die VPN-Einwahl auf einen bestimmten IP Bereich und erstelle für diesen Bereich eine Firewallregel (GPO), die alles blockt außer Port 3389.
Nachtrag:
Das ist wohl ziemlicher Schwachsinn, weil das ja eine Maschinenrichtlinie ist und die VPN-Rechner in der Regel nicht Mitglied der Domäne sind. Also klappt das wohl eher nicht.
Was für eine Firewall verwendest du denn, bei unserer Firewall kann man Objekte bilden (IP Adressen VPN Benutzer etc...) und diesen dann Regeln zuweisen, wir haben das so gelöst das unse VPN User als ein Objekt zusammengefasst wurden und nur an einige IP Adressen herran kommen, könntest du ja auch machen, dann würden die VPN User nur an den Terminalserver harran kommen aber nicht an die Server die die SMB Freigaben haben.
Hi,
ich verwende die Windows Firewall und hab auch eine Regel: Port 139 und 445, TCP wird geblockt, wenn der IP-Bereich zwischen x.x.x.x-x.x.x.y liegt. Leider lässt die sich nur bei den Computerkonfiguration definieren, die gilt aber für Computer die Mitglied der Domäne sind.
Ein VPN-User benutzt seinen mobilen Laptop der Zuhause steht und für den gelten keine Domänenkonfigurationen.
Da ist der Hund begraben.
ich verwende die Windows Firewall und hab auch eine Regel: Port 139 und 445, TCP wird geblockt, wenn der IP-Bereich zwischen x.x.x.x-x.x.x.y liegt. Leider lässt die sich nur bei den Computerkonfiguration definieren, die gilt aber für Computer die Mitglied der Domäne sind.
Ein VPN-User benutzt seinen mobilen Laptop der Zuhause steht und für den gelten keine Domänenkonfigurationen.
Da ist der Hund begraben.
Nochmal von vorne, mit firewall meine ich nicht die windowsfirewall, ich meine eine richtige firewall die das firmennetzwerk schützt z.b. watchguard firebox, mircosoft isa server und wie sie alle heißen
Die Firmenfirewall wird von Tomato (Router) übernommen, da gibt es leider keine objektbezogenen Einstellungen.
Was aqui meinte und was auch die konsequente Lösung ist, ist die Firewall auf oder hinter dem VPN-Server.
Dort musst du einfach nur eine Regel für VPN-Clients anlegen, dass die nur 3389 dürfen.
Dort musst du einfach nur eine Regel für VPN-Clients anlegen, dass die nur 3389 dürfen.
