Dieser Beitrag ist schon älter. Bitte vergewissern Sie sich, dass die Rahmenbedingungen oder der enthaltene Lösungsvorschlag noch dem aktuellen Stand der Technik entspricht.

OpenVPN Delegationen

Mitglied: agowa338
Hallo,

in dieser Anleitung möchte ich nur kurz erklären, wie man OpenVPN (unter Windows) am besten für
  1. Außendienst Mitarbeiter (Client-To-Site) und
  2. Supporter, die häufig die Verbindungen wechseln müssen (Client-To-Site) konfiguriert.
Alle schritte wurden mit Windows 7 getestet, es sollte aber prinzipiell mindestens ab Windows Vista wenn nicht sogar XP Pro funktionieren, aber hey XP hat sowieso genug andere Lücken, hier ist das Nachfolgende wohl eher vernachlässigbar. Da hat man andere Probleme ;-) face-wink .

Natürlich könnte man den Benutzern Administrative Rechte geben, aber der sinn dieser Anleitung besteht darin, die Berechtigungen so klein wie möglich zu halten.

back-to-top1. Außendienst Mitarbeiter

1. OpenVPN herunterladen link
2. Installieren, benötigte Features sind: OpenVPN selbst, OpenVPN Service, TAP Device und die Dependencies
3. Powershell als Administrator öffnen
4. Service auf Autostart setzen
5. Die .ovpn Konfiguration bearbeiten, folgende Werte sollten gesetzt sein (Pfade zu z. B. dem Zertifikat nicht vergessen anzupassen):
6. Alle Dateien in das Verzeichnis "%ProgramFiles%\OpenVPN\config" verschieben.
7. Eine Lokale Gruppe "OpenVPN Administratoren" anlegen.
8. NTFS-Berechtigungen dieses Ordners setzen:
    • Nicht von Übergeordneten Element erben
    • System: Vollzugriff
    • Aktueller Benutzer: Vollzugriff
    • Untergeordnete Berechtigungen ersetzen
9. NTFS-Besitzer ändern auf "System"
10. NTFS-Berechtigungen, so setzen, dass nur "System" und "OpenVPN Administratoren" Vollzugriff haben und alle anderen keine Berechtigungen.

back-to-top2. Supporter, die häufig die Verbindungen wechseln müssen

Hier ist die Berechtigungsvergabe etwas anders, weil nicht Administratoren ja die Konfiguration ändern und den Dienst neustarten können sollen.
  1. Bitte die Schritte aus 1. bis zum Kopieren der Dateien in das "config" Verzeichnis befolgen.
  2. Lokal eine Gruppe mit dem Namen "OpenVPN-Verwaltungsbenutzer" mit der Beschreibung "Erlaubt das Starten und Stoppen des OpenVPN-Dienstes sowie die Bearbeitung der Konfigurationsdateien" anlegen.
  3. Je nach eurem Berechtigungskonzept könnt ihr z. B. in diese Gruppe eine Domänen Lokale Gruppe aufnehmen, welche eine Globale Gruppe mit den Benutzer enthält, dies ist für die Funktion nicht erforderlich, jedoch in manchen Anwendungsfällen ratsam.
  4. Die Berechtigungen des OpenVPN-Dienstes bearbeiten, dies geht am einfachsten entweder per GPO (Computerkonfiguration, Richtlinien, Windows-Einstellungen, Sicherheitseinstellungen, Systemdienste, OpenVPNService) oder mittels "Process Hacker" (Tab Services, OpenVPNService, Sicherheit)
    • Gruppe "OpenVPN-Verwaltungsbenutzer" hinzufügen und die Berechtigungen "Query status", "Start", "Stop" zuweisen.
  5. Die Berechtigungen des "config" Verzeichnisses bearbeiten
    • Nicht von Übergeordneten Element erben
    • System: Vollzugriff
    • OpenVPN-Verwaltungsbenutzer: Ändern
    • Aktueller Benutzer: Vollzugriff
  6. NTFS-Besitzer ändern auf "System"
  7. NTFS-Berechtigungen, den Vollzugriff für den aktuellen Benutzer entfernen.

Ich hoffe ihr konntet mit dieser Anleitung die Verwendung von lokalen Administratoren etwas weiter einschränken bzw. verhindern.

Mit freundlichen Grüßen,
agowa338

Content-Key: 315793

Url: https://administrator.de/contentid/315793

Ausgedruckt am: 30.11.2021 um 12:11 Uhr

Heiß diskutierte Beiträge
question
Euro Zeichen geht nicht mehr gelöst GwaihirVor 1 TagFrageWindows 1014 Kommentare

Hallo zusammen, bei einem User geht das Euro-Zeichen nicht mehr. Er kann es nur noch über Copy&Paste aus der Zeichentabelle einfügen. Auch STRG+ALT+E klappt nicht. ...

question
Bitlockerpartition versehentlich gelöscht Läppi findet nach Partitiosformatierung mbr gpt die Partition nicht wiederPCChaosVor 1 TagFrageWindows 1011 Kommentare

Hallo zusammen, Ich habe ein riesen Problem, das mir sonst einfach erschien. Ich hatte eine Bitlocker Partition D: auf meinem C: Laufwerk installiert. Weil Windows ...

question
Mini PC lüfterlossurvial555Vor 1 TagFrageHardware8 Kommentare

Hallo zusammen, ich bin auf der Suche nach einer guten Lösung über System für staubintensive UmgebungenIch setzte zur Zeit 4 PCs in einem Lagerumfeld ein, ...

question
Online Kalender gesuchtStefanKittelVor 1 TagFrageInternet8 Kommentare

Hallo, ein Kunde von mir sucht einen Online-Kalender zur Raumreservierung. Keine Datenschutzrelevanten Informationen. Es geht um 3-4 Besprechungsräume in einem Gebäude wo mehrere Firmen sind. ...

info
(Gehäuse) Schutzklasse wie IP60 und was die Zahlen bedeutenSt-AndreasVor 1 TagInformationHardware4 Kommentare

Schutzklassen wie IP51 oder IP6X ließt man immer wieder mal, vor allem bei Gehäusen oder mobilen Geräten. Wenn man besondere Anforderungen an ein Gerät (staubdicht, ...

question
Nextcloud - out of syncRoadmaxVor 1 TagFrageCloud-Dienste3 Kommentare

Hallo Zusammen, wir betreiben eine eigene interne Nextcloud 15 Instanz auf einem Ubuntu 16.04 mit Apache und haben seit geraumer Zeit immer mehr Probleme. 1. ...

question
Netzwerkanmeldung auf ServermartenkVor 1 TagFrageWindows 1110 Kommentare

Hallo Gemeinschaft, habe einen Windows 11 Rechner, mit dem ich über VPN Scresoft ein Laufwerk von einem Server mappen möchte mit einem Windows 10 Rechner ...

question
Welchen Router, Board für Pfsense, OpenVPN? gelöst ROBCB19Vor 1 TagFrageRouter & Routing7 Kommentare

Hallo zusammen, ich suche Hardware für pfsense und Openvpn. Es sollten 10 VPN Verbindungen gleichzeitig möglich sein. Lese mich schon den 2ten Tag in die ...