locked
Remote Access Policy - help me please! RRS feed

 > 

  • Question

  • Question
    Sign in to vote
    0
    Sign in to vote

     

    Sziasztok!

     

    A következő proléma megoldásban kérem a segítségeteket:

     

    Van egy SBS-em egy csomó klienssel. Azt kell megoldanom, hogy lokálisan mindenki be tudjon jelentkezni bármelyik gépre, de távolról csak egyetlen egy gépre (nevezzük ezt konzol gépnek) tudjanak belépni. Viszont az adminisztrátorok kívülről is elérjék az összes gépet.

     

    Sajna nem vagyok még nagyon otthon a policyk írkálásában, ezért kérném a segítségeteket.

     

    Üdv,

     

    Oliwier

    paulik@pck.hu

     

     

    Tuesday, May 20, 2008 12:18 PM

Answers

  • Question
    Sign in to vote
    0
    Sign in to vote

    A RWW minden domain tag gépet szerepeltet a listájában, ezt nem tudom hogyan lehet megváltoztatni. Az igényedet viszont sokféle képpen megvalósíthatod, íme néhány példa:

     

    Sima (nem Prémium) SBS esetén, ha van egy sima routered, akkor azon beállíthatsz egy másik portszámra egy forwardot az adott kliensgépre. A normálisabb routerek tudnak "portot léptetni" is, tehát kintről mondjuk a 3390-en jönnek be, de bent már az adott IP:3389-re fognak be esni. (Láttam mondjuk olyan routert, ami ezt nem tudta.) Ez a legkevésbé biztonságos, viszont így nem zavarodnak össze a userek, hogy melyik gépre kell bejelentkezniük! :-)

    Ez Prémium SBS-nél szépen és biztonságosan megoldható, publikálni kell az ISA-n adott kliensgépet.

     

    Akár így érik el a gépe(ke)t, akár a RWW-en keresztül, a már említett Allow logon terminal services beállítás fogja meghatározni, hogy kik termiálhatnak be a gépre. Ezt minden kliens gép lokális policy-jában megtalálod (gpedit.msc), és alapból a következő usereknek engedi a beterminálást: Administrators, Remote Desktop Users; Én pl ezt bővítettem ki azzal a tartományi csoporttal, akiknek engedni akartam a bejelentkezést. De felveheted a csoportot/usereket magába a Remote Desktop Users lokális csoportba is, a végeredmény ugyanaz.

     

    Ha sok gépre kell alkalmazni, akkor érdemes egy tartományi házirendet csinálni, ahol szintén vagy az Allow logon terminal services tartalmát bővíted, vagy a Remote Desktop Users csoporthoz rendeled hozzá a usereidet/csoportjaidat (Restricted Groups nevű házirend opció)

     

    Üdv: Balázs

    • Marked as answer by Othorvath Saturday, March 28, 2009 8:35 PM
    Tuesday, May 20, 2008 7:26 PM

All replies

  • Question
    Sign in to vote
    0
    Sign in to vote
    Ugye van nekünk olyan a házirendben (GP), hogy allow logon through terminal services.

     

    Tuesday, May 20, 2008 12:57 PM
  • Question
    Sign in to vote
    0
    Sign in to vote

    Par dolgot elore tisztaznek.

    Mivel SBS, gondolom van tartomany, hiszen szorosan osszefuggnek (gondolom 2k3). A helyi bejelentkezes az azt jelenti, hogy adott gep ele leull, s beuti a nev/jelszo parost, s bejelentkezik, vagy helyi felhasznalora gondolsz? Ha elobbi, akkor azon kivul, hogy a gepeket tartomanyba lepteted, nincs semmi feladatod.

    A tavoli eleres problemasabb. Ehhez tudni kell, hogy adott munkaallomasra akarod bejelentkeztetni, vagy a szerverre. Ha szerverre, akkor kell egy masik szerver, az SBS-t futtato gep nem lehet Terminal-kiszolgalo. Ha munkaallomas, akkor VPN, majd utana az adott gep "Tavoli asztali felhasznalok" csoportjaba felveszed az illetot.

    Ahhoz, hogy az adminok kivulrol is elerjek a gepeket, VPN, majd barmely gepre csatlakoznak.

    Illetve egy dolog meg szukseges: hazirendbol beallitod, hogy a belso ip-cimmel rendelkezok tudjanak tavoli asztallal csatlakozni: Computer settings/Admin templates/Windows config/Terminal services - Allow users to connect using TS.

     

    A.

     

    Tuesday, May 20, 2008 1:00 PM
  • Question
    Sign in to vote
    0
    Sign in to vote

    No, akkor a rendszer részletesebben:

    -server: SBS2003

    -kliensex: XP és Vista vegyesen

    -mindenki tartományi bejelenkezést használ (a klienseken helyi user csak a built-in admin, ami nincs használva), a usererek a géphez ülve a tartománynév/usernév + jelszóvalé logolnak be, bárki bármelyik géphez ülve bejelentkezhet

    - távolról (pl. internet) viszont csak egyetlen egy géphez kellene, hogy hozzáférjenek (konzol gép).

    -jelenleg ha beütik a böngészőbe a szerver domain nevét akkor előjön a remote work place ahonnan ugye be tudnak logolni a kiválasztott kliensre. itt kellene valahogy megszabni, hogy csak a konzol gépet ajánlja fel. Pontosabban itt is, mert annak sem örülnék, ha a cégen belül nyitogatnák a remote desktop connectionoket... Smile

     

     

     

     

     

    Tuesday, May 20, 2008 1:16 PM
  • Question
    Sign in to vote
    0
    Sign in to vote

    Ja, meg esetleg a tuzfalat kell "kilyukasztani": Computer/Admin Templates/Network/Network connections/Windows firewall/domain profile - Allow remote admin exception (erre gondoltam az elobb, hogy szabalyozod a hozzaferest, itt beteszed a belso halozatot), pl. 192.168.1.0/24.

     

    A.

     

    Tuesday, May 20, 2008 1:18 PM
  • Question
    Sign in to vote
    0
    Sign in to vote

    Jelenleg mindenki eléri kintről a szervert, ami kell is nekem (remote workplace, owa) és ha jól értem, te azt mondod, hogy fordítsam meg a dolgot, és az admin kivételével mindenkinek tiltsam a remote accesst? De akkor hogy endedem be őket a konzol gépre?

    Tuesday, May 20, 2008 2:35 PM
  • Question
    Sign in to vote
    0
    Sign in to vote

    A RWW minden domain tag gépet szerepeltet a listájában, ezt nem tudom hogyan lehet megváltoztatni. Az igényedet viszont sokféle képpen megvalósíthatod, íme néhány példa:

     

    Sima (nem Prémium) SBS esetén, ha van egy sima routered, akkor azon beállíthatsz egy másik portszámra egy forwardot az adott kliensgépre. A normálisabb routerek tudnak "portot léptetni" is, tehát kintről mondjuk a 3390-en jönnek be, de bent már az adott IP:3389-re fognak be esni. (Láttam mondjuk olyan routert, ami ezt nem tudta.) Ez a legkevésbé biztonságos, viszont így nem zavarodnak össze a userek, hogy melyik gépre kell bejelentkezniük! :-)

    Ez Prémium SBS-nél szépen és biztonságosan megoldható, publikálni kell az ISA-n adott kliensgépet.

     

    Akár így érik el a gépe(ke)t, akár a RWW-en keresztül, a már említett Allow logon terminal services beállítás fogja meghatározni, hogy kik termiálhatnak be a gépre. Ezt minden kliens gép lokális policy-jában megtalálod (gpedit.msc), és alapból a következő usereknek engedi a beterminálást: Administrators, Remote Desktop Users; Én pl ezt bővítettem ki azzal a tartományi csoporttal, akiknek engedni akartam a bejelentkezést. De felveheted a csoportot/usereket magába a Remote Desktop Users lokális csoportba is, a végeredmény ugyanaz.

     

    Ha sok gépre kell alkalmazni, akkor érdemes egy tartományi házirendet csinálni, ahol szintén vagy az Allow logon terminal services tartalmát bővíted, vagy a Remote Desktop Users csoporthoz rendeled hozzá a usereidet/csoportjaidat (Restricted Groups nevű házirend opció)

     

    Üdv: Balázs

    • Marked as answer by Othorvath Saturday, March 28, 2009 8:35 PM
    Tuesday, May 20, 2008 7:26 PM