Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

OpenVPN Delegationen

Mitglied: agowa338

agowa338 (Level 2) - Jetzt verbinden

22.09.2016, aktualisiert 08.12.2016, 5859 Aufrufe, 3 Danke

Hallo,

in dieser Anleitung möchte ich nur kurz erklären, wie man OpenVPN (unter Windows) am besten für
  1. Außendienst Mitarbeiter (Client-To-Site) und
  2. Supporter, die häufig die Verbindungen wechseln müssen (Client-To-Site) konfiguriert.
Alle schritte wurden mit Windows 7 getestet, es sollte aber prinzipiell mindestens ab Windows Vista wenn nicht sogar XP Pro funktionieren, aber hey XP hat sowieso genug andere Lücken, hier ist das Nachfolgende wohl eher vernachlässigbar. Da hat man andere Probleme .

Natürlich könnte man den Benutzern Administrative Rechte geben, aber der sinn dieser Anleitung besteht darin, die Berechtigungen so klein wie möglich zu halten.

1. Außendienst Mitarbeiter

1. OpenVPN herunterladen link
2. Installieren, benötigte Features sind: OpenVPN selbst, OpenVPN Service, TAP Device und die Dependencies
3. Powershell als Administrator öffnen
4. Service auf Autostart setzen
5. Die .ovpn Konfiguration bearbeiten, folgende Werte sollten gesetzt sein (Pfade zu z. B. dem Zertifikat nicht vergessen anzupassen):
6. Alle Dateien in das Verzeichnis "%ProgramFiles%\OpenVPN\config" verschieben.
7. Eine Lokale Gruppe "OpenVPN Administratoren" anlegen.
8. NTFS-Berechtigungen dieses Ordners setzen:
    • Nicht von Übergeordneten Element erben
    • System: Vollzugriff
    • Aktueller Benutzer: Vollzugriff
    • Untergeordnete Berechtigungen ersetzen
9. NTFS-Besitzer ändern auf "System"
10. NTFS-Berechtigungen, so setzen, dass nur "System" und "OpenVPN Administratoren" Vollzugriff haben und alle anderen keine Berechtigungen.

2. Supporter, die häufig die Verbindungen wechseln müssen

Hier ist die Berechtigungsvergabe etwas anders, weil nicht Administratoren ja die Konfiguration ändern und den Dienst neustarten können sollen.
  1. Bitte die Schritte aus 1. bis zum Kopieren der Dateien in das "config" Verzeichnis befolgen.
  2. Lokal eine Gruppe mit dem Namen "OpenVPN-Verwaltungsbenutzer" mit der Beschreibung "Erlaubt das Starten und Stoppen des OpenVPN-Dienstes sowie die Bearbeitung der Konfigurationsdateien" anlegen.
  3. Je nach eurem Berechtigungskonzept könnt ihr z. B. in diese Gruppe eine Domänen Lokale Gruppe aufnehmen, welche eine Globale Gruppe mit den Benutzer enthält, dies ist für die Funktion nicht erforderlich, jedoch in manchen Anwendungsfällen ratsam.
  4. Die Berechtigungen des OpenVPN-Dienstes bearbeiten, dies geht am einfachsten entweder per GPO (Computerkonfiguration, Richtlinien, Windows-Einstellungen, Sicherheitseinstellungen, Systemdienste, OpenVPNService) oder mittels "Process Hacker" (Tab Services, OpenVPNService, Sicherheit)
    • Gruppe "OpenVPN-Verwaltungsbenutzer" hinzufügen und die Berechtigungen "Query status", "Start", "Stop" zuweisen.
  5. Die Berechtigungen des "config" Verzeichnisses bearbeiten
    • Nicht von Übergeordneten Element erben
    • System: Vollzugriff
    • OpenVPN-Verwaltungsbenutzer: Ändern
    • Aktueller Benutzer: Vollzugriff
  6. NTFS-Besitzer ändern auf "System"
  7. NTFS-Berechtigungen, den Vollzugriff für den aktuellen Benutzer entfernen.

Ich hoffe ihr konntet mit dieser Anleitung die Verwendung von lokalen Administratoren etwas weiter einschränken bzw. verhindern.

Mit freundlichen Grüßen,
agowa338
Ähnliche Inhalte
Firewall
PfSense OpenVPN beschleunigen
Tipp von 108012Firewall

Hallo zusammen, ich nutze zwar nur ausschließlich IPSec VPN aber habe gerade mit einem Bekannten zusammen ein paar OpenVPN ...

Verschlüsselung & Zertifikate

Ein besserer Weg zur Delegation of Control für Bitlocker Recoverykeys

Anleitung von DerWoWussteVerschlüsselung & Zertifikate1 Kommentar

Will man Supportmitarbeitern ermöglichen, Bitlocker-Recoverykeys auszulesen, dann bietet sich eigentlich der Delegation of Control Wizard an. Ich zeige zunächst ...

Netzwerkgrundlagen

PfSense - Kopplung dreier Netze via OpenVPN

Erfahrungsbericht von FA-jkaNetzwerkgrundlagen

Wer mich kennt weiß, ich lasse nicht locker :-) Ich habe die letzten Wochen eingehend damit verbracht, drei Netze ...

iOS

IOS 12 beta 2 und OpenVPN iPad und iPhone

Erfahrungsbericht von magicteddyiOS2 Kommentare

Moin, kleiner Hinweis an die experimentierfreudigen unter Euch: Bei der aktuellen beta gibt es ein Problem im Zusammenspiel zwischen ...

Neue Wissensbeiträge
Microsoft Office

Office 365 Makro Schutz nicht immer per GPO möglich

Information von sabines vor 2 TagenMicrosoft Office5 Kommentare

Der zum Schutz gegen Verschlüsselungstrojaner wichtige Makroschutz lässt sich wohl in Office 365 nicht immer per GPO einstellen. Für ...

Netzwerkmanagement
How To Mikrotik Netinstall
Erfahrungsbericht von areanod vor 4 TagenNetzwerkmanagement

Jedes Mal wenn ich Netinstall längere Zeit nicht benutzt habe stolpere ich über die „Besonderheiten“ dieser Software. Das ist ...

Microsoft
Microsoft: LDAPS per Update als Default
Information von em-pie vor 4 TagenMicrosoft2 Kommentare

Hallo, Microsoft wird mit einem der zukünftigen Updates LDAP auf LDAPS per Default umstellen. Admins von angebundenen Systemen die ...

Humor (lol)

Funny: Warum es immer schwieriger wird, die richtigen Produkte online zu finden

Information von Dilbert-MD vor 6 TagenHumor (lol)21 Kommentare

Wir befinden uns in der Rubrik "Off Topic - Humor" und in 15 Minuten ist Freitag. und ja, es ...

Heiß diskutierte Inhalte
Netzwerkgrundlagen
Reichweite bei Netzwerkdruckern mit Kupfer
gelöst Frage von OIOOIOOIOIIOOOIIOIIOIOOONetzwerkgrundlagen32 Kommentare

Guten Tag, aus gegebenem Anlass, möchte ich euch fragen, was aus eurer Sicht, eine akzeptable Reichweite bei einem Netzwerkdrucker ...

Visual Studio
Aufgabenplaner führt Programm inkorrekt aus
Frage von TallerBiskusVisual Studio22 Kommentare

Hallo Leute :) Ich habe ein sehr seltsames Phänomen. Folgende Gegebenheiten : Wir haben einen Windows Server 2012 R2 ...

Windows Tools
Autologoff Local User Windows 10 bei idle Time von 900 Sekunden
Frage von Hendrik2586Windows Tools19 Kommentare

Hallo ihr lieben. :) Ich hatte das Thema schon mal vor einer Weile, aber nun muss ich es nochmal ...

Server-Hardware
Neuer Server - Meinung
gelöst Frage von hukimanServer-Hardware18 Kommentare

Hallo Zusammen, für einen Kunden stelle ich aktuell den ersten Server zusammen, den ich selbst verkaufe. Es soll ein ...