WTS-Anmeldung per RDP am Wochenende verbieten?

Mitglied: MuM2810

MuM2810 (Level 1) - Jetzt verbinden

26.02.2021 um 08:57 Uhr, 1073 Aufrufe, 10 Kommentare

Hallo zusammen,

wir haben bei uns Windows Server 2016 mit 2 Terminal Servern im Einsatz.
Wie aus dem Titel schon ersichtlich ist, ist bei uns das Arbeiten am Wochenende nicht erwünscht.
Bisher habe ich den Zugriff der Nutzer über die Anmeldezeiten in der AD eingeschränkt.
Jetzt soll es allerdings so sein, dass die Nutzer sich mit ihrem Benutzerkonto jederzeit am PC anmelden können, um beispielsweise im Internet zu surfen,
die WTS-Anmeldung per RDP soll jedoch am Wochenende verboten werden. Für die Chefs soll die RDP-Anmeldung jedoch jederzeit möglich sein.
Ist so etwas möglich?

Vielen Dank für eure Hilfe!
Mitglied: DerWoWusste
26.02.2021, aktualisiert um 09:37 Uhr
Hi.

Die Idee, Leute mit Ihrem Arbeitskonto surfen aber nicht arbeiten zu lassen, klingt lustig :-) face-smile Haben die keine Privatrechner?
Aber gut, natürlich ist das umsetzbar: Du kannst GPOs zeitgesteuert an- und ausschalten, welche Firewallregeln erlassen, die einfach den RDP-Port zunageln für alle bis auf bestimmte Nutzer. Dazu brauchst Du sogenannte gesicherte Firewallregeln, siehe https://medium.com/@cryps1s/endpoint-isolation-with-the-windows-firewall ...
Diese Regeln arbeiten mit Kerberosauthentifizierung, so dass tatsächlich nicht anhand von IP-Adressen, sondern anhand von Nutzerkonten entschieden wird, ob der Zugriff erlaubt wird.
Edit: zur Firewallregel: kürzer und übersichtlicher hier: https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/ ...
Bitte warten ..
Mitglied: MuM2810
26.02.2021 um 10:28 Uhr
Danke erstmal.
Ich gehe davon aus, dass das mit der Firewallregel nicht funktionieren wird, da wir DATEVnet im Einsatz haben und unsere Windows-Firewall deaktiviert ist.
Gibt es noch andere Möglichkeiten?
Bitte warten ..
Mitglied: Doskias
26.02.2021 um 10:37 Uhr
Zitat von @DerWoWusste:
Hi.
Die Idee, Leute mit Ihrem Arbeitskonto surfen aber nicht arbeiten zu lassen, klingt lustig :-) face-smile Haben die keine Privatrechner?
Doch, aber die wollen sie ja nicht mit Viren vollseuchen :) face-smile

Nee mal im Ernst: Sie haben dort Firmen-PC die an die Domäne angeschlossen sind und mit denen dürfen Sie am WE Surfen, aber nicht arbeiten? Das ganze ist ein Arbeitsgerät und ist zum Arbeiten da. Wenn Sie am WE Surfen wollen, sollen sie ihre eigenen Rechner nehmen. Du machst es im Prinzip schon richtig mit den Anmeldezeiten. Bei uns sind übrigens die Geräte mit denen eine VPN Verbindung für RDP aufgebaut wird aus genau diesem Grund nicht Teil der Domäne.

Aber gut, natürlich ist das umsetzbar: Du kannst GPOs zeitgesteuert an- und ausschalten, welche Firewallregeln erlassen, die einfach den RDP-Port zunageln für alle bis auf bestimmte Nutzer. Dazu brauchst Du sogenannte gesicherte Firewallregeln, siehe https://medium.com/@cryps1s/endpoint-isolation-with-the-windows-firewall ...
Diese Regeln arbeiten mit Kerberosauthentifizierung, so dass tatsächlich nicht anhand von IP-Adressen, sondern anhand von Nutzerkonten entschieden wird, ob der Zugriff erlaubt wird.
Edit: zur Firewallregel: kürzer und übersichtlicher hier: https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/ ...
Alternativ zu den Firewall-Einstellungen kannst du auch einfach ein Powershell-Skript bei der Anmeldung am TS-Ausführen:

Gruß
Doskias
Bitte warten ..
Mitglied: DerWoWusste
26.02.2021 um 10:44 Uhr
if ((Get-Date).DayOfWeek -in ("Saturday","Sunday")){logoff}
Eine gute Idee. Nun muss noch rein, dass dieses Skript nur für bestimmte Nutzer läuft, und ebenso muss eingestellt werden, dass Anmeldeskripte ohne Verzögerung starten.
Bitte warten ..
Mitglied: Doskias
26.02.2021 um 11:14 Uhr
Zitat von @DerWoWusste:

if ((Get-Date).DayOfWeek -in ("Saturday","Sunday")){logoff}
Eine gute Idee. Nun muss noch rein, dass dieses Skript nur für bestimmte Nutzer läuft, und ebenso muss eingestellt werden, dass Anmeldeskripte ohne Verzögerung starten.

Wieso? Für welche User das Skript läuft, steuerst du über eine eigene Gruppe, wo die Leute die am WE nicht arbeiten sollen reinkommen. Dann eine GPO die das Skript bei der Anmeldung ausführt und die GPO nur für die entsprechende Gruppe ausführen. Im Skript würde ich das nicht abfragen. das ist zu pflegeintensiv und du hast keinen Zentralen überblick mehr, für wen es gilt. In einer eigenen Gruppe hast du es an zentraler Stelle gepflegt.

Anmeldeskripte ohne Verzögerung habe ich vorausgesetzt.
Bitte warten ..
Mitglied: DerWoWusste
26.02.2021 um 12:28 Uhr
Is mir klar. Ich schreib's für ihn.
Bitte warten ..
Mitglied: MuM2810
26.02.2021 um 12:44 Uhr
Vielen Dank für eure Hilfe.
So werde ich das mal ausprobieren.
Bitte warten ..
Mitglied: manuel-r
LÖSUNG 26.02.2021 um 20:16 Uhr
Noch eine andere Idee:

Du erstellst dir im AD zwei Gruppen:
  • RDP_Chefs
  • RDP_Mitarbeiter

Die beiden Gruppen fügst du auf dem TS als Remotedesktopbenutzer hinzu.
Dann brauchst du nur noch zwei Tasks die werktags abends um X Uhr die Gruppe RDP_Mitarbeiter aus den RDP-Benutzern entfernen und morgens um X Uhr wieder hinzufügen.

Alternativ kannst du auch zu den gewünschten Uhrzeiten die Benutzer aus der Gruppe RDP_Mitarbeiter entfernen bzw. wieder hinzufügen. Die Gruppen bleiben dann auf dem TS immer als erlaubte RDP-Benutzer eingestellt.

Manuel
Bitte warten ..
Mitglied: altmetaller
27.02.2021 um 18:33 Uhr
Hallo,

privates surfen mit Firmengeräten lässt sich eh' nicht rechtssicher umsetzen. Der besten Kompromiss wäre da noch "eine zweite Partition". In dem Fall könntest Du die AD-Einstellungen wie gewohnt beibehalten.

Gruß,
Jörg
Bitte warten ..
Mitglied: MuM2810
12.03.2021 um 14:08 Uhr
Vielen Dank für eure Hilfe.
Die Lösung mit den 2 AD-Gruppen funktioniert wunderbar und ist genau das, was ich gesucht habe.
Bitte warten ..
Heiß diskutierte Inhalte
Festplatten, SSD, Raid
Festplatte aus defekten Notebook ausgebaut - wird nicht erkannt - Wie gelange ich an meine Daten?
gelöst 1nCoreVor 1 TagFrageFestplatten, SSD, Raid15 Kommentare

Hallo liebe Community, nach 7 Jahren hat mein XMG Notebook seinen Geist aufgegeben In dem Notebook waren zwei Festplatten verbaut (eine für System und ...

Erkennung und -Abwehr
Wie geschickt sich Malware verstecken kann - Ein Beispiel aus der Praxis eines Security Experts
colinardoVor 19 StundenTippErkennung und -Abwehr3 Kommentare

Servus Kollegen und Mitstreiter, da ja in letzter Zeit die Exchange-Lücken die Admin-Landschaft ziemlich aufgewirbelt haben und dabei auch immer mal wieder "sogenannte" Admins ...

Internet
Woher holt sich Android die Kontaktdaten von unbekannten Rufnummern?
gelöst anteNopeVor 1 TagFrageInternet8 Kommentare

Hallo zusammen, seit einiger Zeit merke ich, dass mir mein Android Gerät Namen und Informationen zu mir unbekannten Teilnehmern präsentiert. Soll heißen eine nicht ...

Windows Netzwerk
MS Lizenzierung - externe Scandienstleistung
monstermaniaVor 1 TagFrageWindows Netzwerk9 Kommentare

Hallo Allerseits, ich habe da mal eine Frage an die MS Lizenzspeziallisten. Eine externe Firma soll Scandienstleistungen für uns erledigen. Dazu ist angedacht, dass ...

Exchange Server
Exchange Update CU19 auf CU20 Fehler - Eine weitere Version dieses Produkts ist bereits installiert
gelöst StefanKittelVor 1 TagFrageExchange Server6 Kommentare

Hallo, ich habe hier einen Exchange 2016 mit CU19 (15.1.2176.2). Darauf wollte ich nun CU20 installiert. Download Es erscheint Eine weitere Version dieses Produkts ...

Exchange Server
April 2021 Microsoft Exchange Server Security Updates
FrankVor 1 TagInformationExchange Server2 Kommentare

Microsoft has released security updates for vulnerabilities found in: Exchange Server 2013 Exchange Server 2016 Exchange Server 2019 These updates are available for the ...

Drucker und Scanner
Epson WF-6590 druckt nur cyan und gelb
gelöst ITCrowdSupporterVor 1 TagFrageDrucker und Scanner15 Kommentare

Guten Tag :-) Es geht um einen Epson Workforce Pro WF-6590. Er druckt nur cyan und gelb obwohl neue Originalpatronen für schwarz und magenta ...

Windows 10
Windows 10 Updates im Abgesicherten Modus nicht möglich!
gelöst Yuuto.LucasVor 1 TagFrageWindows 1016 Kommentare

Hallo, ich habe aktuell ein Problem bei einem Kunden Rechner. Bei diesem gibt es Probleme mit dem Soundkarten Treiber hdaudio.inf wegen dem der PC ...