lehrling24
Goto Top

VPN-Einwahlclient hat Zugriff auf alle Ordner, wie definieren

Hallo Leude,

habe mal eine Frage zu den Benutzerberechtigungen bei einem VPN-Client.

Ein Windows 2003 Server auf dem ein bestimmter Benutzer eingerichtet ist. Auf dem Server ist ein einziger Ordner für diesen Benutzer eingerichtet, auf den er Zugriff haben soll, auf alle anderen nicht.

Es gibt eine VPN-PPTP-Einwahlverbindung, für den derselbe Benutzer mit denselben Benutzerdaten angelegt ist. Die VPN-Verbindung läuft durch einen Lancomrouter.

Jetzt die Frage:

Wenn sich der Client einwählt, hat er, im Gegensatz zum Lan volle Benutzerberechtigung auf alle Ordner. Wie kann man die Berechtiungen für den VPN-Client definieren und denen des Windows Clienst gleichsetzen?

Danke für Eure Tips

Greetz
Der Lehrling

Content-Key: 207649

Url: https://administrator.de/contentid/207649

Ausgedruckt am: 29.03.2024 um 09:03 Uhr

Mitglied: benpunkt
benpunkt 06.06.2013 um 21:59:37 Uhr
Goto Top
Handelt es sich um das exakt dasselbe Benutzerkonto oder nur um eines, welche gleich heißt und die gleichen Zugangsdaten hat, aber woanders angelegt ist?
Mitglied: Pjordorf
Pjordorf 06.06.2013 um 22:01:40 Uhr
Goto Top
Zitat von @lehrling24:
Hallo,

Hallo Leude,
Ein Windows 2003 Server auf dem ein bestimmter Benutzer eingerichtet ist.
In einer Domäne oder ist das nur ein Workgroupserver mit lokalen konten?

Es gibt eine VPN-PPTP-Einwahlverbindung, für den derselbe Benutzer mit denselben Benutzerdaten angelegt ist.
Wo? Im Lancom Router? Dann ist es Technsich nicht der gleiche Benutzer wie auf dein Server 2003. Warum nicht per AD?

Wenn sich der Client einwählt, hat er, im Gegensatz zum Lan volle Benutzerberechtigung auf alle Ordner
Wundert dich das?

Wie kann man die Berechtiungen für den VPN-Client definieren
Im Lancom direkt per AD Authentifizieren?

und denen des Windows Clienst gleichsetzen?
Benutzername? Benutzergruppe? Freigaberechte? NTFS Rechte. Aber falls du keine Domäne (AD) hast, wie soll dein Server 2003 wissen wer dieser Benutzer auf dein Lancom ist? Der kennt den nicht.

Gruß,
Peter
Mitglied: lehrling24
lehrling24 06.06.2013 um 22:54:08 Uhr
Goto Top
Es ist ein 2003 DC in einer Domäne.

Der VPN-Client ist im Lancomrouter angelegt.Wie kann ich den VPN Benutzer im Lancom via AD definieren?
Mitglied: benpunkt
benpunkt 07.06.2013 aktualisiert um 09:07:50 Uhr
Goto Top
Ich kenn mich jetzt mit Lancom nicht aus, aber wenn gibts dan Einstellungsmöglichkeiten zur Authentifizierung.
die Einstellungen heißen entweder Active Directoty, LDAP oder Verzeichnisdienst etc. Schau mal in der Doku!

Aber was anderes: wenn der User sich mit einem LANCOM Benutzerkonto authentifiziert und damit Zugriff auf alle Ordner hat,
dann hast Du Deine Berechtigungen falsch konfiguriert! Das heißt ja erstmal, dass Jeder Zugriff hat und Du nur mit Verweigern bestimmte User ausschließt.

Wie hast Du denn die Berechtigungen für die Freigaben definiert? Freigabeberechtigung oder NTFS Berechtigung?
Freigabeberechtigung solltest Du für Jeden Vollzugriff bzw. Ändern erlauben. Differenzierte Berechtigungen auf NTFS Ebene (Sicherheitseinstellungen des Ordners).
Vermeide Verweigern-Berechtigungen!
Schau, dass dann Einstellungen so sind wie Du möchtest: ohne Verweigern-Rechte, nur den Usern das erlauben, was Du möchtest. Wer kein Zugriff haben soll, nicht aufführen. Entferne das Jeder aus den Sicherheitseinstellungen. So dass nur dass erlaub ist, was Du definierst.

Am Besten, Du erstellst für den Zugriff Domänlokale Gruppen á la

ORDNERNAME_LESEN
ORDNERNAME_SCHREIBEN
ORDNERNAME_etc etc

Diese Gruppen berechtigst Du dann auf die Ressource. Die User werden dann Mitglied dieser Gruppen, so erleichterst Du Dir die Arbeit enorm, weil Du nur die Gruppenmitgliedschaften verwalten musst.

Administratoren können/sollen Vollzugriff haben. Es dürfen halt keine "normalen" Benutzer in der Admingruppe sein.
Mitglied: Pjordorf
Pjordorf 07.06.2013 um 12:58:53 Uhr
Goto Top
Hallo,

Zitat von @lehrling24:
Wie kann ich den VPN Benutzer im Lancom via AD definieren?
Ohne jetzt dein Lancom zu kennen, aber steht dort in der Doku nicht immer was von RADIUS Server drin? Auch dein Server 2003 kann Radius (IAS).

Gruß,
Peter