Benutzer mit den meisten Antworten
Domänenstruktur

Frage
-
Hallo.
Wir (kleines Unternehmen) wollen uns endlich von der mehrfach (seit NT 3.51) "portierten" Domäne "befreien" und diese neu aufsetzen. Da bin ich mir jedoch mit ein paar DIngen unsicher:
- Ich möchte eine (mehr oder weniger leere) "Stammdomäne" als Wurzel des gesamten Forests haben: "meinefirma.de".
Spricht etwas dagegen, wenn die so heißt, wie meine externe URL? - Hierin möchte ich eine Subdomäne "heimat.meinefirma.de" für die tägliche Arbeit mit den lokalen Nutzern anlegen.
Ich habe die Hoffnung, hiermit die beiden "Verwaltungsebenen" zu trennen, und außerdem kann ich dann eine weitere DOmäne "parallel" dazu anlegen (siehe nächster Punkt). - In Kürze möchte ich in einer geplanten Außenstelle (neuer Standort) eine andere Subdomäne "auslandsdependance.meinefirma.de" anlegen. Die beiden Standorte sollen als VPN miteinander verbunden werden. Sollte ich für den neuen Standort ein anderes Subnetz verwenden? Oder ist das "egal"m wenn sowieso das Internet daziwischen liegt?
- Jetzt mein eigentliches Bedenkenstück:
Ich möchte am zweiten Standort einen Teil meiner Software (effektiv einen Rechner) per RDP zugänglich machen, und zwar auch für meine Kunden (also externe Menschen). Die Idee ist nun, hier eine weitere Subdomäne "kundenbereich.meinefirma.de" anzulegen.
Wie sicher sind nun die beiden (bzw. alle drei) Domänen gegeneinander "abgeschirmt"? Macht es Sinn, ist es notwendig, oder hilft es überhaupt, wenn die "kundenbereich"-Domäne ein anderes Subnetz belegt?
Ganz platt gefragt: Wie groß ist die Gefahr, dass jemand, der in den "kundenbereich" einbricht, sich in die "aussenstelle" oder gar nach "heimat" weiterschleicht?
Oder ist es tatsächlich notwendig, den "kundenbereich" in einem neuen Forest neu aufzusetzen?
- Ich möchte eine (mehr oder weniger leere) "Stammdomäne" als Wurzel des gesamten Forests haben: "meinefirma.de".
Antworten
-
Machen wir es kurz:
- Erstelle eine Single-Domain-Forest mit mehreren Sites
- Erstelle eine DMZ für die eine gesonderte Authentifizierung unabhängig von Active Directory benötigt wird (Stichwort: 2-Factor Authentication)
- Platziere einen RODC in die DMZ und richte diesen dementsprechend ein (s. http://technet.microsoft.com/en-us/library/dd728028.aspx)
- Platziere einen RDS-Server in die DMZ und vergebe den zugehörigen Domänen-Benutzer das Benutzerrecht "Allow log on through Remote Desktop Services" (s. http://technet.microsoft.com/en-us/library/dn221985.aspx)
--
Tobias Redelberger
StarNET Services (HomeOffice)
Frankfurter Allee 193
D-10365 Berlin
Tel: +49 (30) 86 87 02 678
Mobil: +49 (163) 84 74 421
Email: T.Redelberger@starnet-services.net
Web: http://www.starnet-services.net- Bearbeitet Tobias Redelberger Mittwoch, 29. Mai 2013 16:12
- Als Antwort markiert pichocki Mittwoch, 29. Mai 2013 19:20
Alle Antworten
-
Am 28.05.2013 schrieb pichocki:
Hallo.
Wir (kleines Unternehmen)1. Ich möchte eine (mehr oder weniger leere) "Stammdomäne" als Wurzel des gesamten Forests haben: "meinefirma.de".
Spricht etwas dagegen, wenn die so heißt, wie meine externe URL?Du willst als "kleines Unternehmen" eine multidomain Umgebung aufbauen?
Warum denn? Und lohnt sich der Mehraufwand? Nein, man kann die durchaus so
nennen wie die extern registrierte Domain. Hat dann aber immer das "Problem"
von Split-DNS.2. Hierin möchte ich eine Subdomäne "heimat.meinefirma.de" für die tägliche Arbeit mit den lokalen Nutzern anlegen.
Aha, und welchen Vorteil versprichst du dir davon?
Ich habe die Hoffnung, hiermit die beiden "Verwaltungsebenen" zu trennen, und außerdem kann ich dann eine weitere DOmäne "parallel" dazu anlegen (siehe nächster Punkt).
3. In Kürze möchte ich in einer geplanten Außenstelle (neuer Standort) eine andere Subdomäne "auslandsdependance.meinefirma.de" anlegen. Die beiden Standorte sollen als VPN miteinander verbunden werden. Sollte ich für den neuen Standort ein anderes Subnetz verwenden? Oder ist das "egal"m wenn sowieso das Internet daziwischen liegt?Du willst also drei Domains haben und das soll dann "übersichtlicher/besser"
werden?Wie sicher sind nun die beiden (bzw. alle drei) Domänen gegeneinander "abgeschirmt"?
Nach MS ist der Forest die Sicherheitsgrenze. Reicht dir das als Aussage?
Macht es Sinn, ist es notwendig, oder hilft es überhaupt, wenn die "kundenbereich"-Domäne ein anderes Subnetz belegt?
Woher soll man das wissen?
Ganz platt gefragt: Wie groß ist die Gefahr, dass jemand, der in den "kundenbereich" einbricht, sich in die "aussenstelle" oder gar nach "heimat" weiterschleicht?
Oder ist es tatsächlich notwendig, den "kundenbereich" in einem neuen Forest neu aufzusetzen?Mit den paar Infos kann man kaum so ein Design in einem Forum entwickeln. Im
Forum sind solche Grundsatzdesignfragen meiner Meinung nach sowieso
schwierig zu bearbeiten. Wäre für mich ganz klar Thema für externes
Consulting.Bye
Norbert
Dilbert's words of wisdom #34:
When you don't know what to do, walk fast and look worried. -
Hallo,
Das Multidomain Modell ist heute überholt. Zu NT Zeiten war es üblich Ressourcen Domains zu verwenden da die zu verwaltenden Objekte pro Domain sehr begrenzt waren. Mittlerweile sind die Grenzen einer Domain sehr schwer zu sprengen.
Für deine beschrieben Umgebung würdest du mit Redundanz mindestens sechs Domaincontroller benötigen!
Dein Verwaltungsmodell kannst du sehr gut mit Organisationseinheiten abbilden, daher würde ich so wie heutzutage üblich mit einer Domäne meinefirma.de arbeiten.
Zu drei, ja einen Domaincontroller mit einer Site macht hier Sinn da die Client´s bei richtiger Konfiguration den standortlokalen DC verwenden.
Zu vier, Server in eine DMZ, eventuell mit einem RODC dann schleicht da niemand irgendwo hin
Viele Grüße
Philipp Halbedel
MCP 2003,MCITP EA Server 2008,MCITP EA Windows 7,MCSA2008,MCSA2012
Meine Antwort war hilfreich? ich freu mich über eine Bewertung. If my answer was helpful, I'm glad about a rating!
I do not represent the organisation I work for, all the opinions expressed here are my own.
- Bearbeitet Philipp Halbedel Dienstag, 28. Mai 2013 12:54
-
Zu drei, ja einen Domaincontroller mit einer Site macht hier Sinn da die Client´s bei richtiger Konfiguration den standortlokalen DC verwenden.
Zu vier, Server in eine DMZ, eventuell mit einem RODC dann schleicht da niemand irgendwo hin
Hallo, Philipp.
Danke, das hilft mir schon einmal weiter. Ich frage aber noch mehr ;-)
"Zu drei": Aber Du empfiehlst, das trotzdem in der selben Domäne anzusiedeln?
"Zu vier": Auch hier meinst Du die selbe Domäne, aber eben "außerhalb", also vor dem DSL-Router?
Vermutlich benutze ich falsche Begriffe, deshalb hier die "Architekturidee":
Am "heimat"-Standort haben wir DSL, daran hängt eine Fritzbox, dahinter ein TMG auf eigener Hardware und intern unser Netz.
In der "aussenstelle" soll es genau so aussehen: Breitband - "DSL-Modem" - Internes Netz. Dort möchte ich aber nach Möglichkeit nicht mehrere physische Rechner stehen haben, sondern alles auf einem Hyper-V realisieren (ggf. mit mehreren physischen Netzwerkkarten).Ist es also denkbar, die Firewall, das interne Netz (auf dem nicht viel passiert!) sowie das "externe Netz/DMZ" auf einem Host aufzusetzen - oder ist das dann automatisch "löchrig"? Reicht es, wenn ich die Netze logisch trenne (Subnetze), oder ist der Hyper-V selbst durhlässig?
Wenn das so geht, sollte dann der TMG auf der Hardware laufen, oder kann der genausogut virtuell sein (TMG und Hyper-V auf einer Maschine fände ich komisch)?Danke für weitere Tipps.
-
Du brauchst dringend Beratung, da Du mit Deinem Halbwissen mehr Lücken als Lösungen aufzeigst.
Das erste wäre ein sauberes Active Directory Design.
Das zweite ist ein sauberes Netzwerkdesign.
Darauf aufbauend wird dann die Sites in AD angelegt.
Die Sicherheit erreicht man durch Vergabe von Rechte nach dem "least privilege principle" und nicht durch Blockieren (Firewall etc.) von erteilten Rechten.
Der Einsatz von RODC und DMZ wäre denkbar, aber benötigt weitere Planung und erweitert die Komplexität (Stichwort: Password Replication Policy, Filtered Attribute Set, Windows Server 2003/XP compatibility pack etc.)
Dies alles sollte durch fundiertes Praxis-Wissen mit euren Anforderungen zusammen erarbeitet und nicht mal schnell in einem Forum abgehakt werden.
Sonst kannst Du vermutlich auch gleich Deine alte Umgebung behalten..
--
Tobias Redelberger
StarNET Services (HomeOffice)
Frankfurter Allee 193
D-10365 Berlin
Tel: +49 (30) 86 87 02 678
Mobil: +49 (163) 84 74 421
Email: T.Redelberger@starnet-services.net
Web: http://www.starnet-services.net- Bearbeitet Tobias Redelberger Donnerstag, 30. Mai 2013 10:09
-
Hallo pichocki,
Ich schließe mich Tobias an. Hol dir jemanden in Haus der dir die Abhängigkeiten zwischen deinen Anforderungen skizzieren kann.
Für ein Forum ist der Umfang zu groß und daher nicht leistbar.
Viele Grüße,
Philipp Halbedel
MCP 2003,MCITP EA Server 2008,MCITP EA Windows 7,MCSA2008,MCSA2012
Meine Antwort war hilfreich? ich freu mich über eine Bewertung. If my answer was helpful, I'm glad about a rating!
I do not represent the organisation I work for, all the opinions expressed here are my own.
-
Oh, entschuldigt bitte, ich habe offenbar den Sinn dieses Forums völlig falsch verstanden:
Wenn jemand (in einem anderen Thread) ganz spezifisch fragt, erhält er die Antwort, das sei zu speziell, er brauche individuelle Beratung.
Wenn ich hier Grundsätzliches frage, dann erhalte ich die Antwort, das sei zu grundlegend, ich brauche individuelle Beratung.Deshalb jetzt meine Frage:
Welche Art von Fragen auf welchem Niveau darf man hier stellen, um konstruktive nicht-patzige Antworten zu erhalten und nicht Ziel von Akquisition für Beratungsleistung zu werden? Vielleicht solltet Ihr mal in Programmierforen stöbern - dort habe ich NOCH NIE als Antwort gelesen, der Fragende habe keine Ahnung, er solle sich seine Lösung doch besser extern programmieren lassen...
Trotzdem bedanke ich mich ganz herzlich, dass Ihr Euch die Zeit genommen habt, mir mein Unwissen aufzuzeigen. Danke!
-
Weitere Informationen zum Selbststudium findest Du u.a. hier:
Infrastructure Planning and Design Guide - Active Directory Domain Services
http://go.microsoft.com/fwlink/?LinkId=157704Hinweis in eigener Sache:
Wir sind nur ehrlich und sagen, dass Deine Frage nicht zufriedenstellend hier im Forum beantwortet werden kann - ebenso wenig ein seriöser Arzt eine Diagnose über ein Forum erstellen würde.
Wir können Dir nur Anreize und Hintergrundinformationen zu Deiner Frage geben - aber aus unser Sicht nicht abschließend beantworten.
Wir (nicht von Microsoft bezahlte Freiwillige) versuchen Antworten auf Fragen zu geben, die wir abschließend, in einem angemessenen Zeitrahmen und für alle zufriedenstellend beantworten können.
Sind die Fragen zu umfangreich/komplex, verweisen wir gerne auf externe Dienstleistung, die besser vor Ort zusammen mit euch ein Konzept erarbeiten können.
Sind die Fragen zu speziell, verweisen wir gerne auf den Microsoft Support, da nur dort ggf. eine Lösung erarbeitet werden kann.
Für alles andere dazwischen geben wir unser Bestens kostenlos Hilfestellung zu geben... das sollte aber vom Hilfesuchenden nicht als Selbstverständlichkeit angesehen werden.
--
Tobias Redelberger
StarNET Services (HomeOffice)
Frankfurter Allee 193
D-10365 Berlin
Tel: +49 (30) 86 87 02 678
Mobil: +49 (163) 84 74 421
Email: T.Redelberger@starnet-services.net
Web: http://www.starnet-services.net -
Danke, Tobias. Genau so habe ich es auch verstanden, würde nur persönlich die Grenzen zu "zu allgemein" und zu "zu speziell" etwas anders sehen. Auf alle Fälle bedanke ich mich für den Link; ich bin nicht fies vor dem Lesen (hatte genau diese Datei sogar gestern schon gefunden), und SOLCHE Hilfe finde ich richtig gut.
Was mein eigentliches "Problem" angeht wollte ich auch keine Detailplanung "abgreifen", sondern war ich (oder eher: bin ich nach wie vor) interessiert an einer Diskussion über grundsätzliche Herangehensweisen. Man könnte dann über Fragen "philosophieren", wieso das Multidomänenmodell überholt ist? An vielen Stellen, auch bei MS, steht die Empfehlung, mit einer "leeren Stammdomäne" zu beginnen.
(Anekdötchen zwischendurch: Das ist bei Visual Studio ähnlich. Ich würde NIE ein Projekt zusammen mit seiner Solution erstellen lassen, weil dann nämlich alles in einem Directory steht. FÜR MICH muss es immer eine leere Solution sein und DARIN dann die verschiedenen Projekte, so dass eben NICHT ein Projekt als das erste irgendwie ausgezeichnet ist. Und genau so ist es ja mit der ersten Domäne eines Forests, die wird man dann später nie wieder los...)
Ist der Aufwand in diesem Modell tatsächlich so viel größer, wenn die "leere Stammdomäne" nur als "Container" oder "Wurzel des Waldes" genutzt wird?
Tatsächlich habe ich nur ein Halb- oder sogar nur Viertelwissen, und genau deshalb frage ich ja hier, um Tips und Anregungen (auch zum Lesen) zu erhalten. Z.B. habe ich noch nicht verstanden, was eine "Vertrauensstellung" (automatisch innerhalb eines Forests) überhaupt "bewirkt"? Kann ich damit als Admin lediglich auf alle Benutzer zugreifen und Benutzern einer Nachbardomäne Zugriff auf meine Resourcen geben? Oder ist ein Domänenadmin der Nachbardomäne automatisch auch Domänenadmin bei seiner Nachbarin? Im MS-Press-Wälzer über W2k8R2 finde ich darüber nichts.
Ganz konkret (hoffentlich nicht ZU konkret ;-): Parallele Subdomänen rdp.meinefirma.de und lan.meinefirma.de. Wenn jemand als Benutzer in rdp.meinefirma.de an einen Adminaccount dieser Domäne kommt, hat er dann auch Rechte auf lan.meinefirma.de? Er kann sich an einem Rechner von lan.meinefirma.de anmelden, so wie ich verstanden habe, aber kann er diesen automatisch auch verwalten? Ich hoffe, dass nicht...
So!
Nun hoffe ich, dass meine erste Frage nicht zu allgemein ist und meine letzte nicht zu speziell.
Auf alle Fälle bin ich dankbar für Tipps, auch wenn es "nur" Links zu Literaturstellen sind. Danke!
- Bearbeitet pichocki Mittwoch, 29. Mai 2013 10:26
-
Vorab: Eine File-Struktur (nichts anderes ist erst mal Deine VisoalStudio Beispiel) und eine AD-Struktur ist evtl. zu vergleichen wie mit einer Seite Papier und einer Bibliothek.
Kurze Gegenfrage - was ist einfacher:
Das Anschaffen/Konfigurieren/Verwalten/Monitoring von 2 Domain Controller
- oder -
Das Anschaffen/Konfigurieren/Verwalten/Monitoring von 2*X Domain Controller
(X == Anzahl der zu erwartenden Domänen eines Forest)
Es gibt u.U. Gründe mehr als nur eine Single-Domain-Forest anzulegen, jedoch sollten die daraus entstehen Nachteile genau durch Vorteile begründet sein.
Allein Sicherheit ist für kleine Unternehmen eher kein wirklicher Grund sich die Komplexität von mehreren Domänen anzutun. Allein das saubere Konfigurieren mehrerer Domänen birgt an sich ein Sicherheitsrisiko.
Merke: Sicherheit ist reziprok zur Komplexität.
Bzgl. Rechte: Rechte vergibt man immer auf Ressourcen wie Files, Folders, Dienste, Anwendungen, Processe, Computer/Server usw. - Active Directory verwaltet in diesem Zusammenhang lediglich die Gruppen-Zugehörigkeiten eines Benutzers und präsentiert der Ressource auf Anfrage die zugehörigen Mitgliedschaften als Security Identifier (SIDs) in einem Kerberos- oder NTLM-Token (s.a. http://technet.microsoft.com/nl-nl/library/cc780332.aspx).
Der Ressource (File-, Mail-, SQL-, IIS-, FTP-, RDP- usw. Server) obliegt es dann diese SIDs (Exkurs: "Access Token der lokalen LSASS" - s.a. http://technet.microsoft.com/en-us/library/cc759267.aspx) den eingestellten Berechtigungen zuzuordnenden und die daraus resultierenden Aktion abzuleiten (Access granted/denied).
Bzgl. Vertrauensstellungen findest Du die zugehörigen Hintergrundinformationen u.a.hier:
Active Directory - Trusts
http://technet.microsoft.com/en-us/library/cc771568.aspx--
Tobias Redelberger
StarNET Services (HomeOffice)
Frankfurter Allee 193
D-10365 Berlin
Tel: +49 (30) 86 87 02 678
Mobil: +49 (163) 84 74 421
Email: T.Redelberger@starnet-services.net
Web: http://www.starnet-services.net- Bearbeitet Tobias Redelberger Mittwoch, 29. Mai 2013 10:56
-
Hallo, Tobias.
Ok, wenn ich also davon ausgehe, dass ich niemals aus meiner Domäne meinestadt.meinefirma.de eien Domäne meineneuestadt.meinefirma.de "machen" muss, dann kann ich mich vollständig in "meinefirma.de" bewegen - was den Aufwand verringert. Habe ich verstanden.
Ich würde dann die zu erwartende Außenstelle in einem neuen Standort betreiben und die DCs sich replizieren lassen. Ok, danke!Wo mir aber die Kenntnisse fehlen, das beurteilen zu können, ist nach wie vor mein Rechner, den ich über RDP zugänglich machen will.
Auf den ersten Blick sah es so aus, als wären die RDS (Remote Desktop Services) eine tolle Sache, um eine Applikation nach außen verfügbar zu machen (quasi als Online-Version unserer normalen Software), und das sogar ohne direktes RDP, sondern verpackt in HTTPS.
Jetzt zeigt sich jedoch, dass hier nur die Anmeldung mit einem Domänenkonto möglich ist. Die Idee, den Kunden hier nur Zugang mit Hilfe von lokalen Konten dieses Rechner zu gestatten, fällt also aus :-0 Wenn ich dann aber nur eine Domäne habe, ist jeder Besucher automatisch in meiner Domäne. Gibt es denn Möglichkeiten, dass sich dieser RDS-Rechner in einer DMZ befindet und ausschließlich die Authentifizierung in die Domäne hinein erlaubt ist? (Oder ist das wirr geredet von mir und widerspricht der Idee einer DMZ?) Würde es hier überhaupt helfen, für den RDS-Teil eine Subdomäne zu haben?Ich komme immer mehr zu der Überzeugung, dass es am sichersten ist, wenn der extern erreichbare Rechner in keiner Domäne steckt, in der DMZ steckt und nur über lokale Konten erreichbar ist. Kann es so einfach aber trotzdem "unbefriedigend" sein?
'Meine Idealvorstellung wäre, dass der RDS-Rechner sauber in meiner (von mir aus: einzigen) Domäne steckt, sich dort die Externen anmelden können, diese aber AUF DIESEN RECHNER beschränkt bleiben. Ist das überhaupt möglich? -
Am 29.05.2013 schrieb pichocki:
Hi,Auf den ersten Blick sah es so aus, als wären die RDS (Remote Desktop Services) eine tolle Sache, um eine Applikation nach außen verfügbar zu machen (quasi als Online-Version unserer normalen Software)
Mal von den lizenzrechtlichen Aspekten bei der Bereitstellung eurer Software
an Externe abgesehen, wo genau siehst du da ein Problem?Jetzt zeigt sich jedoch, dass hier nur die Anmeldung mit einem Domänenkonto möglich ist.
Ja, und?
Die Idee, den Kunden hier nur Zugang mit Hilfe von lokalen Konten dieses Rechner zu gestatten, fällt also aus :-0
Warum sollte man sich den lokale Konten antun, die man dann nicht mal
zentral verwalten könnte?Wenn ich dann aber nur eine Domäne habe, ist jeder Besucher automatisch in meiner Domäne.
Und warum ist das ein Problem? Wenn er keine Rechte auf Ressourcen hat und
per RDP soweit eingeschränkt wurde, dass er eben nur auf die notwendigen
Ressourcen Zugriff bekommt, was soll deiner Meinung nach passieren? Und wenn
das doch ein Hochsicherheitskonstrukt werden soll/muß (da sind wir beim
Thema "Anforderungen definieren"), dann kann ein eigener Forest durchaus
sinnvoll sein. Aber das wäre dann eben für hier Lesende mit deinen
gelieferten Informationen genauso schwer zu sagen.Gibt es denn Möglichkeiten, dass sich dieser RDS-Rechner in einer DMZ befindet und ausschließlich die Authentifizierung in die Domäne hinein erlaubt ist?
Ja, sowas gibts. Aber du müßtest eben erstmal definieren, warum sich dieser
RDS Rechner denn in einer DMZ befinden muß.Ich komme immer mehr zu der Überzeugung, dass es am sichersten ist, wenn der extern erreichbare Rechner in keiner Domäne steckt, in der DMZ steckt und nur über lokale Konten erreichbar ist. Kann es so einfach aber trotzdem "unbefriedigend" sein?
Siehe oben.
'Meine Idealvorstellung wäre, dass der RDS-Rechner sauber in meiner (von mir aus: einzigen) Domäne steckt, sich dort die Externen anmelden können, diese aber AUF DIESEN RECHNER beschränkt bleiben. Ist das überhaupt möglich?
Siehe oben. ;)
Bye
Norbert
Dilbert's words of wisdom #34:
When you don't know what to do, walk fast and look worried. -
Hallo, Norbert.
Zunächst nochmal meinen Dank an Euch - solch eine Diskussion habe ich mir gewünscht. Wie geschrieben, erwarte ich keine Lösungen sondern nur Anregungen. Sic!
Tja, warum frage ich "so wirr"? Weil ich eben ein (un?)gesundes Halbwissen habe und mir von den Experten hier Bestätigung oder Widerspruch erhoffe.
Unsere erste Idee war tatsächlich, eine Gruppe "RDP-Nutzer" zu erstellen, die sich eben nur auf diesem einen Rechner anmelden darf und die "sonst keinen" Zugriff hat. Wenn ich dann aber selbst bei MS Geschichten lese wie die, wie sich ein Hauptbenutzer Admin-Rechte erschleichen kann (mit dem "net..."-Batch), dann habe ich eben die Befürchtung (ganz platt gesagt): Könnte die standardmäige Gruppe der Remote-Desktop-Benutzer Löcher haben, durch die ein externer Besucher auf meine Resourcen schlüpfen könnte? Oder ist Eurer Erfahrung nach diese Gruppe hinreichend eingeschränkt?
- Bearbeitet pichocki Mittwoch, 29. Mai 2013 12:24
-
Am 29.05.2013 schrieb pichocki:
Hi,Zunächst nochmal meinen Dank an Euch - solch eine Diskussion habe ich mir gewünscht. Wie geschrieben, erwarte ich keine Lösungen sondern nur Anregungen. Sic!
Sprach ja auch nichts dagegen, nur ob das wirklich zielführend ist, wage ich
auf die Dauer zu bezweifeln.Tja, warum frage ich "so wirr"? Weil ich eben ein (un?)gesundes Halbwissen habe und mir von den Experten hier Bestätigung oder Widerspruch erhoffe.
Und genau das wäre eben ein Grund zu "persönlicher" Beratung durch einen
Experten mit mehr als "gesundem Halbwissen". Der kann nämlich direkt vor Ort
eine Bestandsaufnahme und Anforderungsdefinition mit dir erstellen. Und
sowas geht eben nicht per Forum. Auch wenn du das möglicherweise nicht
magst. ;)Unsere erste Idee war tatsächlich, eine Gruppe "RDP-Nutzer" zu erstellen, die sich eben nur auf diesem einen Rechner anmelden darf und die "sonst keinen" Zugriff hat. Wenn ich dann aber selbst bei MS Geschichten lese wie die, wie sich ein Hauptbenutzer Admin-Rechte erschleichen kann (mit dem "net..."-Batch), dann habe ich eben die Befürchtung (ganz platt gesagt): Könnte die standardmäige Gruppe der Remote-Desktop-Benutzer Löcher haben, durch die ein externer Besucher auf meine Resourcen schlüpfen könnte? Oder ist Eurer Erfahrung nach diese Gruppe hinreichend eingeschränkt?
Als Berater sag ich jetzt mal: Das kommt darauf an. ;)
Bye
Norbert
Dilbert's words of wisdom #10:
I don't have an attitude problem. You have a perception problem. -
Am 29.05.2013 schrieb pichocki:
Hi,... und worauf bitte <ggg> ? Auch hier würde mir ein Link zum Artikel "Welche Rechte haben RDP-Benutzer defaultmäßig?" reichen :-p
Also ganz ehrlich, so wird das meiner Meinung nach nichts.
1. man sollte sich auf Anforderungen einigen und hier nicht "auf blauen
Dunst" diskutieren, da das eigentlich nicht zielführend ist.
2. Die Verwendung von Systemeigenen Gruppen versuche zumindest ich zu
vermeiden, da dort oft genug "Problemchen" auftreten, die aber weniger mit
Sicherheitsfragen zu tun haben, als mit Handling.Bye
Norbert
Dilbert's words of wisdom #32:
If it wasn't for the last minute, nothing would get done. -
Ja, ...
... aber: Wenn ich konkrete Anforderungen beschreibe, befürchte ich eine Antwort dert Art: "Das ist viel zu konkret gefragt, Du brauchst Beratung" ;-) Und "auf blauen Dunst" verstehe ich anders: wir diskutieren doch recht konkrete Fragen, die natürlich TEIL meines Szenarios sind.
Wenn ich schreibe: Ich möchte einen meiner Rechner (als RDS-Server) aus dem Internet heraus zugreifbar machen, ohne die Sicherheit meiner Domäne/Resourcen der Domäne zu kompromittieren, sind das dann "Anforderungen", die wir besprechen können, oder ist das dann der Versuch, unlautererweise "externe Beratung abzugreifen", ohne dafür zu zahlen. Kerlokiste, das scheint hier ein sehr schmaler Grat zu sein - Programmierforen sind da "großzügiger"...
Aber back to topic: Ich lese aus Deinem letzten Satz, dass ich eine Gruppe "OnlineUsers" definieren sollte, prima, danke.
Und für den Unwissenden: Welche Handlings-Probleme bescheren Dir denn vordefinierte Gruppen? Ist das Deine Meinung, oder ist das "Common Knowledge", die besser nicht zu verwenden?
- Bearbeitet pichocki Mittwoch, 29. Mai 2013 15:05
-
Am 29.05.2013 schrieb pichocki:
Hi,
Wenn ich schreibe: Ich möchte einen meiner Rechner (als RDS-Server) aus dem Internet heraus zugreifbar machen, ohne die Sicherheit meiner Domäne/Resourcen der Domäne zu kompromittieren, sind das dann "Anforderungen", die wir besprechen können, oder ist das dann der Versuch, unlautererweise "externe Beratung abzugreifen", ohne dafür zu zahlen.
Nein, das ist nur so allgemein als Anforderung, dass von "Installier dir nen
Virenscanner" über "schotte den Rechner vom Netz weitesgehend ab" bis zu
"Kauf dir %Sicherheits-Produkt-XY%" alles irgendwie als Lösung durchgeht.
Aber gerade das Thema Sicherheit kann man (auch wenns jetzt nach Phrase
klingt) nur ganzheitlich betrachten. Ich spar mir jetzt mal Autovergleiche.
;)Und für den Unwissenden: Welche Handlings-Probleme bescheren Dir denn vordefinierte Gruppen? Ist das Deine Meinung, oder ist das "Common Knowledge", die besser nicht zu verwenden?
u.a. http://technet.microsoft.com/en-us/magazine/2009.09.sdadminholder.aspx
beschreibt den AdminSDHolder. Der betrifft jetzt zwar nicht die Remote
Desktop User, aber er erklärt, warum solche Gruppen auch
"unerwünschtes/unerwartetes" Verhalten zeigen können. Und da verwende ich im
Allgemeinen lieber meine eigenen Gruppen, denn dann weiß ich definitiv, auf
welche Ressourcen ich dieser Gruppe Rechte gewährt habe und Delegationen
bleiben auch so, wie ich das will. ;)Bye
Norbert
Frank, I never thought I'd say this again. I'm getting the pig!
-
Machen wir es kurz:
- Erstelle eine Single-Domain-Forest mit mehreren Sites
- Erstelle eine DMZ für die eine gesonderte Authentifizierung unabhängig von Active Directory benötigt wird (Stichwort: 2-Factor Authentication)
- Platziere einen RODC in die DMZ und richte diesen dementsprechend ein (s. http://technet.microsoft.com/en-us/library/dd728028.aspx)
- Platziere einen RDS-Server in die DMZ und vergebe den zugehörigen Domänen-Benutzer das Benutzerrecht "Allow log on through Remote Desktop Services" (s. http://technet.microsoft.com/en-us/library/dn221985.aspx)
--
Tobias Redelberger
StarNET Services (HomeOffice)
Frankfurter Allee 193
D-10365 Berlin
Tel: +49 (30) 86 87 02 678
Mobil: +49 (163) 84 74 421
Email: T.Redelberger@starnet-services.net
Web: http://www.starnet-services.net- Bearbeitet Tobias Redelberger Mittwoch, 29. Mai 2013 16:12
- Als Antwort markiert pichocki Mittwoch, 29. Mai 2013 19:20