none
DirectAccess / User Beschränkung RRS feed

 > 

  • Allgemeine Diskussion

  • Discussion
    Anmelden
    0
    Anmelden

    Hallo,

    ich habe momentan DirectAccess 2012 in einer Testumgebung am laufen, Windows 7 und Winodws 8 Clients können sich problemlos connecten.

    Eine Frage die sich mir stellt wie kann ich die User einschränken welche sich mit DirectAcces verbinden können? Wenn ich es richtig verstehe ist es userunabhänig ob der Tunnel aufgebaut oder nicht.

    Dass ich einschränken kann welcher Client sich über DirectAccess verbinden kann ist klar, aber wie kann ich die User einschränken?

    Bin für jeden Tip dankbar.

    Gruß


    • Bearbeitet HAL2012 Freitag, 23. November 2012 09:12
    • Typ geändert Alex Pitulice Montag, 10. Dezember 2012 11:13 Diskussion: Direct Access
    Freitag, 23. November 2012 09:11
    |

Alle Antworten

  • Discussion
    Anmelden
    2
    Anmelden

    Hi,

    Am 23.11.2012 10:11, schrieb HAL2012:

    Wenn ich es richtig verstehe ist es userunabhänig ob der Tunnel
    aufgebaut oder nicht.

    Richtig. Das kann jede "Enterprise/Ultimate" Edition.

    Dass ich einschränken kann welcher Client sich über DirectAccess
    verbinden kann ist klar, aber wie kann ich die User einschränken?

    Das kannst du über den NPS (Network Policies Server) regeln, darin kannst du RAP (Ressource) und CAP (Connection Access Policies) definieren, also praktisch sagen "wer" sich "wann" "wohin" verbinden darf.

    Tschö
    Mark

    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

    Freitag, 23. November 2012 10:11
    |
  • Discussion
    Anmelden
    0
    Anmelden

    Hi,

    ich habe mi mal NPS kurz angeschaut, leider ist es nicht ganz so intuitiv wie DirectAccess.

    Gibt es vielleicht dazu ein kleines HowTo wie DirectAccess mit NPA betreibe?

    Montag, 26. November 2012 07:20
    |
  • Discussion
    Anmelden
    0
    Anmelden

    Hallo HAL2012,

    vielleicht helfen Dir die folgenden Artikel weiter:

    [1]Test Lab Guide: Demonstrate DirectAccess with Network Access Protection

    [2]Windows Server 2012 DirectAccess: How to Quickly and Easily Deploy Your Next Generation Remote Access Experience

    Siehe bitte auch:

    [3]Microsoft DirectAccess Connectivity Assistant 2.0

    [4]Microsoft DirectAccess Connectivity Assistant 2.0 Now Available

    [5]Designing Windows Server 2012 DirectAccess

    Gruss,

    Alex

    Alex Pitulice, MICROSOFT 
    Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.

    Montag, 26. November 2012 11:02
    |
  • Discussion
    Anmelden
    0
    Anmelden

    Ich habe mir das Thema NPS angeschaut und finde es etwas oversized für meinen Zweck.

    Was ich nicht verstehe warum die Möglichkeit des UserAccess nicht analog zum ComputerAccess implementiert wurde. Im DA kann ich auswhälen welche ComputerGruppe sich verbinden kann, warum nicht auch das für user abbilden?

    Mittwoch, 28. November 2012 09:14
    |
  • Discussion
    Anmelden
    0
    Anmelden

    Hi,

    Am 28.11.2012 10:14, schrieb HAL2012:

    Was ich nicht verstehe warum die Möglichkeit des UserAccess nicht
    analog zum ComputerAccess implementiert wurde.

    Weil DA eine Computerkonfiguration ist, die die Benuzter nicht berückscihtigt. Für das erweiterte Regelwerk gibt es NPS.

    Im DA kann ich auswhälen welche ComputerGruppe sich verbinden kann,
    warum nicht auch das für user abbilden?

    Wraum das Rad ein 2tes mal erfinden? Das macht der  NPS.
    Der NPS ist die zentrale Verwaltung für alle zugangsregeln:
    WLan, Radius, VPN, DA, NAP, TS-CAP, TS-RAP ...

    Warum sollte man für jedes Feature ein eigenes Süppchen kochen, wenn jedes Feature auch das vorhandene Werkzeug nutzen kann?

    Das "eigene Süppchen" haben sie mit der Computergruppe für 98% aller
    Erstkonfigurationswünsche ja schon gemacht. Du gehörst zu der Gruppe, die es "extra" wollen und die wenigen nehmen den NPS, da sie ihn sowieso schon für x andere Features im Einsatz haben. Diese fragen sich eher, warum ist das nicht gleich alles zentralisiert in nur einem Werkzeug?

    ;-) SCNR

    Tschö
    Mark

    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

    Mittwoch, 28. November 2012 21:34
    |
  • Discussion
    Anmelden
    0
    Anmelden

    Hallo Marc,

    vielen Dank für deinen Beitrag. Ich stehe momentan vor dem gleichen Problem, bekomme das mit der benutzer-/gruppenbasierten Zugriffbeschränkung über NPS aber einfach nicht zum Laufen. Ich habe es schon mit verschiedenen Policies auf dem NPS-Server probiert, aber leider greifen die einfach nicht. Hast du eventuell eine Anlaufstelle für mich, wo man das Thema nachlesen kann.

    Wie sage ich dem DirectAccess 2012 Server z.B. dass er auf den NPS zurückgreifen soll?

    Auf dem NPS möchte ich dann konfigurieren, dass die Benutzergruppe A nur auf das Netzwerk X und die Benutzergruppe B nur auf das Netzwerk Y zugreifen kann.

    Ich habe ein Default-Setup mit DirectAccess 2012 und NPS auf einem Server. Der Server hat eine IP und ist hinter einem NAT-Device.

    LG

    Horst

    Montag, 31. Dezember 2012 11:35
    |
  • Discussion
    Anmelden
    1
    Anmelden

    Hast Du Dir das von "Alex Pitulice" oben erwähnte Test-Szenario schon mal komplett angeschaut?

    Test Lab Guide: Demonstrate DirectAccess with Network Access Protection
    http://technet.microsoft.com/en-us/library/jj651023.aspx

    Dazu dann ggf. noch die zugehörigen Hintergrundinformationen unter studiert:

    Remote Access (DirectAccess, Routing and Remote Access) Overview
    http://technet.microsoft.com/en-us/library/hh831416.aspx

    --
    Tobias Redelberger
    StarNET Services (HomeOffice)
    Frankfurter Allee 193
    D-10365 Berlin
    Tel: +49 (30) 86 87 02 678
    Mobil: +49 (163) 84 74 421
    Email: T.Redelberger@starnet-services.net
    Web: http://www.starnet-services.net

    Montag, 31. Dezember 2012 12:34
    |
  • Discussion
    Anmelden
    0
    Anmelden

    @Tobias: Ich hatte mir das angeschaut und das hatte so ausgesehen als könnte man mit dem NAP (Network Access Protection) nur überprüfen ob ein Client Compliant ist oder nicht (AV, FW aktiviert und aktuelle Updates installiert, etc) und den dann z.B. bei deaktiviertem AV in ein restriktives Netz den Zugriff erlauben kann bis das Problem behoben wurde.

    In dem Guide von Microsoft ist auch nur von NAP die Rede und nicht von einer Zugriffsbeschränkung auf Benutzer-/Gruppenebene.

    Ich werde am Mittwoch mal die NAP-Integration testen. Vielleicht lässt sich dort neben den Compliance-Gechichten und den Health-Checks doch noch zusätzlich eine Zugriffsbeschränkung konfigurieren. Oder ist das so zu verstehen, dass die NPS-Policies dann auch ziehen wenn dass mit dem NAP korrekt konfiguriert wurde?

    Hat den schon mal jemand erfolgreich getestet ob sich tatsächlich konfigurieren lässt 'wer', 'wann' genau 'wohin' bei einem Connect per Direct Access 2012 zugreifen darf?

    Zu den Schlagworten RAP (Ressource) und CAP (Connection Access Policies) habe ich nichts gefunden. (Post oben von Mark)

    Montag, 31. Dezember 2012 14:45
    |
  • Discussion
    Anmelden
    0
    Anmelden

    Hallo zusammen,

    ich habe die telefonische Aussage von Microsoft, dass eine Kopplung von DirectAccess 2012 an NPS nicht möglich ist. Unter Verwendung von DirectAccess gäbe es keine Möglichkeit eine Zugriffssteuerung auf Benutzerebene vorzunehmen. Alle Benutzer dürfen auf die gleichen internen Ressourcen zugreifen.

    Gruß

    Horst


    Donnerstag, 3. Januar 2013 16:42
    |
  • Discussion
    Anmelden
    0
    Anmelden

    Hallo zusammen,

    ich habe die telefonische Aussage von Microsoft, dass eine Kopplung von DirectAccess 2012 an NPS nicht möglich ist. Unter Verwendung von DirectAccess gäbe es keine Möglichkeit eine Zugriffssteuerung auf Benutzerebene vorzunehmen. Alle Benutzer dürfen auf die gleichen internen Ressourcen zugreifen.

    Gruß

    Horst


     Hallo Horst,

    kurze Kommentare zu deinem Post:

    - eine Kopplung von DirectAccess 2012 an NPS ist nicht möglich um Zugriff von User auf bestimmte Ressourcen, basierend auf AD Group Zugehörigkeit, zu steuern.
     
    - Unter Verwendung von DirectAccess gäbe es schon eine Möglichkeit den User Zugriff zu steuern, ob diese über DA auf interne Ressourcen zugreifen konnten.
    Das ist machbar, indem folgende Schritte durchgeführt werden:

    1.Bei der DA Server Policy, die Connection Security Regel anpassen, um Tunnel Authorization zu aktivieren:
    Per Powershell, sieht das dann so aus:

    get-netipsecrule -PolicyStore 'contoso.com\DirectAccess Server Settings' -DisplayName 'DirectAccess Policy-DAServerToCorp'|Set-netipsecrule -RequireAuthorization $true


    2. Auf den DA Server 2012, : Windows Firewall With Advanced Security -> IPsec Setings -> IPSec tunnel authorization -> Customize.
     Hier haben wir die Möglichkei, User / Computer gruppen hinzuzufügen die dann autorisiert werden, den vorhergenannten Tunnel zu benutzen

    - Alle Benutzer, die erlaubt sind über DA auf interne Ressourcen zuzugreifen, dürfen dann gleich auf internen Ressourcen zugreifen.

    Ioan Corcodel

    Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip  „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.


    • Bearbeitet ioanc Montag, 7. Januar 2013 16:31 .
    Montag, 7. Januar 2013 16:15
    |