schmidtshauser
Goto Top

SMB Freigaben für VPN-User auf Windows Server 2003 sperren

Ich habe einen Win 2003 Terminalserver der über lokale Freigaben verfügt, die mit Benutzerrechten eingeschränkt sind.

Wenn die Benutzer sich per VPN anmelden sollen die lokalen Freigaben nur über den Terminalserver, aber nicht über SMB auf dem Computer zu erreichen sein. Wie stelle ich das am besten an?

Content-Key: 144173

Url: https://administrator.de/contentid/144173

Ausgedruckt am: 29.03.2024 um 06:03 Uhr

Mitglied: aqui
aqui 04.06.2010 um 13:16:50 Uhr
Goto Top
Ganz einfach: Für die VPN Benutzer einfach nur Port TCP 3389 erlauben in der Firewall ! Dann können sie nur noch TS Zugriffe machen und nix anderes mehr !
Mitglied: schmidtshauser
schmidtshauser 04.06.2010 um 14:05:54 Uhr
Goto Top
Ja danke, hab ich auch schon überlegt eine Richtlinie für die Gruppe der VPN User anzulegen.
Doch die Einschränkung soll aufgehoben werden, wenn sich die selben User in der Firma an einem Rechner anmelden. Dort sollen sie natürlich SMB Zugriff haben.
Mitglied: FishersFritz
FishersFritz 04.06.2010 um 14:33:09 Uhr
Goto Top
In diesem Fall kannst Du es ja so machen, wie bei www.gruppenrichtlinien.de beschrieben, und für den VPN-Zugang separate Nutzer anlegen. Diese User haben dann nur die VPN-Berechtigung, aber keine Möglichkeit zur lokalen Anmeldung bzw. zum Zugriff auf Freigaben.

Falls der Zugriff benötigt wird, dann können die User natürlich mit Ihrem Standard-Benutzer auf die Freigaben zugreifen, indem Sie Ihren normalen Benutzer und Passwort angeben. Wenn dies auch nicht gewünscht ist, dann kannst Du wie von @aqui empfohlen, nur den Port 3389 in der Firewall öffnen.
Mitglied: schmidtshauser
schmidtshauser 04.06.2010 um 14:41:48 Uhr
Goto Top
Mir ist noch eine Alternative eingefallen, die gerade testen möchte.

Ich beschränke die VPN-Einwahl auf einen bestimmten IP Bereich und erstelle für diesen Bereich eine Firewallregel (GPO), die alles blockt außer Port 3389.

Nachtrag:

Das ist wohl ziemlicher Schwachsinn, weil das ja eine Maschinenrichtlinie ist und die VPN-Rechner in der Regel nicht Mitglied der Domäne sind. Also klappt das wohl eher nicht.
Mitglied: drehzahlmatze
drehzahlmatze 04.06.2010 um 16:32:50 Uhr
Goto Top
Was für eine Firewall verwendest du denn, bei unserer Firewall kann man Objekte bilden (IP Adressen VPN Benutzer etc...) und diesen dann Regeln zuweisen, wir haben das so gelöst das unse VPN User als ein Objekt zusammengefasst wurden und nur an einige IP Adressen herran kommen, könntest du ja auch machen, dann würden die VPN User nur an den Terminalserver harran kommen aber nicht an die Server die die SMB Freigaben haben.
Mitglied: schmidtshauser
schmidtshauser 04.06.2010 um 16:41:27 Uhr
Goto Top
Hi,

ich verwende die Windows Firewall und hab auch eine Regel: Port 139 und 445, TCP wird geblockt, wenn der IP-Bereich zwischen x.x.x.x-x.x.x.y liegt. Leider lässt die sich nur bei den Computerkonfiguration definieren, die gilt aber für Computer die Mitglied der Domäne sind.
Ein VPN-User benutzt seinen mobilen Laptop der Zuhause steht und für den gelten keine Domänenkonfigurationen.
Da ist der Hund begraben.
Mitglied: drehzahlmatze
drehzahlmatze 04.06.2010 um 16:48:25 Uhr
Goto Top
Nochmal von vorne, mit firewall meine ich nicht die windowsfirewall, ich meine eine richtige firewall die das firmennetzwerk schützt z.b. watchguard firebox, mircosoft isa server und wie sie alle heißen
Mitglied: schmidtshauser
schmidtshauser 04.06.2010 um 16:59:33 Uhr
Goto Top
Die Firmenfirewall wird von Tomato (Router) übernommen, da gibt es leider keine objektbezogenen Einstellungen.
Mitglied: dog
dog 04.06.2010 um 17:05:29 Uhr
Goto Top
Was aqui meinte und was auch die konsequente Lösung ist, ist die Firewall auf oder hinter dem VPN-Server.
Dort musst du einfach nur eine Regel für VPN-Clients anlegen, dass die nur 3389 dürfen.