Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

RDP Client-PCs auf Benutzer zuordnen (Benutzer mit Client taggen)

Frage Netzwerke Netzwerkmanagement

Mitglied: Vulkaano

Vulkaano (Level 1) - Jetzt verbinden

14.11.2014 um 12:13 Uhr, 985 Aufrufe, 7 Kommentare, 1 Danke

Hallo,

ich habe folgendes Testszenario:

Domain-Controller WIN 2008 R2 -> Rollen: AD, DNS-Server

Terminal-Server WIN 2008 R2 mit 2 Testbenutzern -> Rollen: Dateidienste, RD+RDG, Webserver, NPS

Test-Client PC1 WIN7 64 BIT Prof. SP1

Test-Client PC2 WIN7 64 BIT Prof. SP1

Es soll ein Abgleich erfolgen: Wenn sich Benutzer1 über RDP anmeldet, dann darf er das nur vom Test-Client PC1. Wenn sich Benutzer2 über RDP anmeldet, dann darf er das nur vom Test-Client PC2.

Wenn also Benutzer1 die Login-Daten von Benutzer2 hat, soll er sich nicht über Remote einloggen können, es sei denn er hat auch die Hardware von Benutzer2.

Es werden auch Remote-Apps benutzt, die sich dann dementsprechend verhalten sollen.

Die Lösung soll nicht über Gruppenrichtlinien erfolgen.

Das sind die Bedingungen und diese können nicht geändert werden, bitte dazu keine Kommentare sondern nur Lösungsansätze, denn ich bin nicht in der Lage die Bedingungen zu verhandeln. (sowas wie eine Prüfung)

Ich habe das jetzt schon einige Tage gegooglet und versucht über NPS und RDG Richtlinien zu erstellen, jedoch verzweifel ich langsam.

Ich bin für jede Hilfe dankbar und hoffe das es da draussen welche gibt die das lesen und mir helfen können.

Gruß

Vulkaano
Mitglied: DerWoWusste
14.11.2014 um 13:04 Uhr
Hi.

Du kannst das mit der internen Firewall des Servers erreichen. Dafür musst Du jedoch ipsec konfigurieren. Nur so geht es - ipsec kann genutzt werden um eine Verbindung zu rdp zuzulassen nicht nur rechnergebunden, sondern zusätzlich nutzergebunden.
Bitte warten ..
Mitglied: BirdyB
14.11.2014 um 13:39 Uhr
Hi,

alternativ kannst du für die Benutzer auch ein Loginscript anlegen, welches die Variable %clientname% prüft und den Benutzer direkt wieder abmeldet, falls es nicht passt.

Beste Grüße!

Berthold
Bitte warten ..
Mitglied: DerWoWusste
14.11.2014 um 13:56 Uhr
Ja, das wäre leider nur dann möglich, wenn in dieser Variable auch der PC drinstehen würde, von dem es ausgeht... es steht jedoch der Server drin.
Bitte warten ..
Mitglied: Vulkaano
14.11.2014 um 14:49 Uhr
Erstmal danke für die Lösungsansätze.

Ist es nicht über den Remotedesktopgateway Manager möglich eine Richtlinie für den Zugriff über RDP ob lokal oder nicht zu konfigurieren?

ich muss gestehen über die IPSec steig ich nicht ganz durch. ich sehe da keine Möglichkeiten Benutzern die nicht von Ihrem eigenen PC kommen die Verbindung zu blockieren...in diesem Bereich kenne ich mich gar nicht aus...

Ich sehe das ich die Verbindung über Remote blockieren kann und dann habe ich 7 Bereiche, davon je ein Bereich für Benutzer und ein Bereich für Computer. hier kann ich aber Benutzer "Autorisieren" und nicht blockieren und diese diese beiden sind auch nicht auf einander abgestimmt sonder es blockiert bzw. erlaubt dem genannten Benutzer UND dem genannten Computer. Jedenfalls verstehe ich das so. Suche ich an der falschen Stelle?

Danke
Bitte warten ..
Mitglied: DerWoWusste
14.11.2014 um 14:55 Uhr
ich muss gestehen über die IPSec steig ich nicht ganz durch. ich sehe da keine Möglichkeiten Benutzern die nicht von Ihrem eigenen PC kommen die Verbindung zu blockieren.
Nicht bei ipsec, sondern bei den Firewallregeln stellt man das ein. Und damit man diese Möglichkeiten auswählen kann, muss die Verbindung gesichert sein mit IPSec.
Aber ich gebe zu, die Einrichtung ist nicht einfach.

Vielleicht fällt noch eine andere Lösung ein, der Ansatz mit "gleich wieder abmelden unter Voraussetzung X" ist doch brauchbar, da finde ich noch was, warte einen Moment.
Bitte warten ..
Mitglied: DerWoWusste
14.11.2014 um 15:32 Uhr
So, ich hab mal was rausgesucht für die Powershell.
http://psterminalservices.codeplex.com/releases/view/65937 liefert Dir ein Modul für die Powershell.
->MSI runterladen, installieren nach c:\ordner
Importieren des Moduls:
Import-Module -Name C:\Ordner -verbose
Danach bekommst Du über
Get-TSSession |fl
die benötigten Infos (wer ist verbunden, von wo ist er verbunden) und kannst diese auswerten und dann handeln (Disconnect-TSSession ist mit in diesem Paket!).

Das Coden musst Du selbst machen, kannst das Resultat ja hier ausstellen. Es sollte jedenfalls über ein Loginskript machbar sein.
Bitte warten ..
Mitglied: Vulkaano
14.11.2014 um 16:18 Uhr
Danke, ich werde das auf jeden Fall testen und gebe Feedback. aber werde evtl. erst nächste Woche dazu kommen da ich noch Außendienst-Arbeiten erledigen muss jetzt.... DANKE
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Heiß diskutierte Inhalte
Windows Server
DHCP Server switchen (25)

Frage von M.Marz zum Thema Windows Server ...

SAN, NAS, DAS
gelöst HP-Proliant Microserver Betriebssystem (14)

Frage von Yannosch zum Thema SAN, NAS, DAS ...

Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Erkennung und -Abwehr
Spam mit eigener Domain (12)

Frage von NoobOne zum Thema Erkennung und -Abwehr ...