Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

OpenVPN Delegationen

Mitglied: agowa338

agowa338 (Level 2) - Jetzt verbinden

22.09.2016, aktualisiert 08.12.2016, 6585 Aufrufe, 3 Danke

Hallo,

in dieser Anleitung möchte ich nur kurz erklären, wie man OpenVPN (unter Windows) am besten für
  1. Außendienst Mitarbeiter (Client-To-Site) und
  2. Supporter, die häufig die Verbindungen wechseln müssen (Client-To-Site) konfiguriert.
Alle schritte wurden mit Windows 7 getestet, es sollte aber prinzipiell mindestens ab Windows Vista wenn nicht sogar XP Pro funktionieren, aber hey XP hat sowieso genug andere Lücken, hier ist das Nachfolgende wohl eher vernachlässigbar. Da hat man andere Probleme .

Natürlich könnte man den Benutzern Administrative Rechte geben, aber der sinn dieser Anleitung besteht darin, die Berechtigungen so klein wie möglich zu halten.

1. Außendienst Mitarbeiter

1. OpenVPN herunterladen link
2. Installieren, benötigte Features sind: OpenVPN selbst, OpenVPN Service, TAP Device und die Dependencies
3. Powershell als Administrator öffnen
4. Service auf Autostart setzen
5. Die .ovpn Konfiguration bearbeiten, folgende Werte sollten gesetzt sein (Pfade zu z. B. dem Zertifikat nicht vergessen anzupassen):
6. Alle Dateien in das Verzeichnis "%ProgramFiles%\OpenVPN\config" verschieben.
7. Eine Lokale Gruppe "OpenVPN Administratoren" anlegen.
8. NTFS-Berechtigungen dieses Ordners setzen:
    • Nicht von Übergeordneten Element erben
    • System: Vollzugriff
    • Aktueller Benutzer: Vollzugriff
    • Untergeordnete Berechtigungen ersetzen
9. NTFS-Besitzer ändern auf "System"
10. NTFS-Berechtigungen, so setzen, dass nur "System" und "OpenVPN Administratoren" Vollzugriff haben und alle anderen keine Berechtigungen.

2. Supporter, die häufig die Verbindungen wechseln müssen

Hier ist die Berechtigungsvergabe etwas anders, weil nicht Administratoren ja die Konfiguration ändern und den Dienst neustarten können sollen.
  1. Bitte die Schritte aus 1. bis zum Kopieren der Dateien in das "config" Verzeichnis befolgen.
  2. Lokal eine Gruppe mit dem Namen "OpenVPN-Verwaltungsbenutzer" mit der Beschreibung "Erlaubt das Starten und Stoppen des OpenVPN-Dienstes sowie die Bearbeitung der Konfigurationsdateien" anlegen.
  3. Je nach eurem Berechtigungskonzept könnt ihr z. B. in diese Gruppe eine Domänen Lokale Gruppe aufnehmen, welche eine Globale Gruppe mit den Benutzer enthält, dies ist für die Funktion nicht erforderlich, jedoch in manchen Anwendungsfällen ratsam.
  4. Die Berechtigungen des OpenVPN-Dienstes bearbeiten, dies geht am einfachsten entweder per GPO (Computerkonfiguration, Richtlinien, Windows-Einstellungen, Sicherheitseinstellungen, Systemdienste, OpenVPNService) oder mittels "Process Hacker" (Tab Services, OpenVPNService, Sicherheit)
    • Gruppe "OpenVPN-Verwaltungsbenutzer" hinzufügen und die Berechtigungen "Query status", "Start", "Stop" zuweisen.
  5. Die Berechtigungen des "config" Verzeichnisses bearbeiten
    • Nicht von Übergeordneten Element erben
    • System: Vollzugriff
    • OpenVPN-Verwaltungsbenutzer: Ändern
    • Aktueller Benutzer: Vollzugriff
  6. NTFS-Besitzer ändern auf "System"
  7. NTFS-Berechtigungen, den Vollzugriff für den aktuellen Benutzer entfernen.

Ich hoffe ihr konntet mit dieser Anleitung die Verwendung von lokalen Administratoren etwas weiter einschränken bzw. verhindern.

Mit freundlichen Grüßen,
agowa338
Ähnliche Inhalte
Firewall
PfSense OpenVPN beschleunigen
Tipp von 108012Firewall

Hallo zusammen, ich nutze zwar nur ausschließlich IPSec VPN aber habe gerade mit einem Bekannten zusammen ein paar OpenVPN ...

Verschlüsselung & Zertifikate

Ein besserer Weg zur Delegation of Control für Bitlocker Recoverykeys

Anleitung von DerWoWussteVerschlüsselung & Zertifikate1 Kommentar

Will man Supportmitarbeitern ermöglichen, Bitlocker-Recoverykeys auszulesen, dann bietet sich eigentlich der Delegation of Control Wizard an. Ich zeige zunächst ...

LAN, WAN, Wireless

Merkzettel: VPN Installation mit OpenVPN

Anleitung von aquiLAN, WAN, Wireless6 Kommentare

Einleitung: Durch die aktuellen Umstände, ist auch im hiesigen Forum die Zahl der technischen Fragen zum Thema VPN und ...

iOS

IOS 12 beta 2 und OpenVPN iPad und iPhone

Erfahrungsbericht von magicteddyiOS2 Kommentare

Moin, kleiner Hinweis an die experimentierfreudigen unter Euch: Bei der aktuellen beta gibt es ein Problem im Zusammenspiel zwischen ...

Neue Wissensbeiträge
iOS

iOS-Bug unterbindet vollständiges VPN-Tunneling

Information von transocean vor 1 TagiOS

Moin, seit dem letzten Update hat iOS für iPhone und iPad ein Problem mit der Verschlüsselung. Lest selbst. Grüße ...

Sicherheit
Corona Malware über manipulierte Router
Information von sabines vor 1 TagSicherheit

Heise berichtet über Malware, die in Zusammenhang zum Suchethema Corona steht und über DNS Einstellungen bei D-Link und Linksys ...

Windows 10
Windows 10 Update KB4535996 fehlerhaft
Information von Frank vor 1 TagWindows 101 Kommentar

Laut Microsoft ist das Update KB4535996 die Ursache für aktuelle Verbindungsprobleme bei Virtual Private Networks (VPNs). Microsoft arbeitet bereits ...

Administrator.de Feedback
Entwicklertagebuch: Der neue Ticker ist da
Information von admtech vor 1 TagAdministrator.de Feedback3 Kommentare

Hallo User, mit dem aktuellen Release haben wir den neuen "Ticker" zur Seite hinzugefügt. Oben im Hauptmenü findet ihr ...

Heiß diskutierte Inhalte
SAN, NAS, DAS
Hilfe bei der Einrichtung vom QNAP Nas Server
gelöst Frage von Chris.21SAN, NAS, DAS18 Kommentare

Hallo, ich benötige Hilfe bei der Einrichtung meines neuen NAS Servers von QNAP. ich möchte eine Verbindung vom Internet ...

KVM
Best Practice für Fileserver auf Proxmox Cluster
gelöst Frage von maichelmannKVM14 Kommentare

Hallo, derzeit laufen in einer Firma, dessen Netzwerk ich betreue, zwei Windows Server Hyper-V Hosts, jeweils mit einem recht ...

Drucker und Scanner
OCR Erkennung auf Server
Frage von KodaCHDrucker und Scanner14 Kommentare

Guten Morgen Bisher habe ich einen HP LaserJet Pro MFP M426fdw. Da es nicht viele Dokumente zum Scannen gibt ...

Router & Routing
Vigor 165 vs. Fritzbox 7590
Frage von servilianusRouter & Routing13 Kommentare

Liebe Fachleute, bisher betreibe ich folgende Konstellation Büro: 50.000er-Leitung VDSL Telekom -> Fritzbox 7590 Exposed Host -> Vigor Draytek ...