none
Autenticazione su Windows Server 2019 - DC - per utenti VPN RRS feed

  • Domanda

  • Salve, 

    abbiamo un DC Windows server 2019 su cui abbiamo installato Active Directory e creato un dominio che chiamo MIODOMINIO.

    Abbiamo creato gli utenti, i gruppi, le Policies. Va tutto ok, ogni utente accede alle cartelle dedicate nella forma stabilita, se accede o non accede.

    Abbiamo poi l'esigenza di permettere ad alcuni di lavorare su alcune cartelle da casa in VPN. Abbiamo 3 utenti VPN, utente 1, utente 2 e utente3. Ad ognuno di essi abbiamo associato su DC il suo utente di dominio: utente1 ha X1, utente2 ha X2 e utente3 ha X3.

    La VPN è stata creata e l'accesso avviene solo che non riusciamo a far loggare i tre utenti VPN sul DC.

    Mi spiego,

    vorremmo che una volta stabilita la connessione VPN, allorquando utente1 punti all'IP del server DC, lo stesso risponda chiedendogli autenticazione usando X1, X2 e X3. Invece, non lo fa. Lo chiede una volta, non spunti la memorizzazione, e poi non te lo richiede più: al prossimo accesso VPN l'utente va direttamente nel server DC e vede le cartelle utilizzate dagli utenti di dominio. E' come se memorizzasse e non chiede più il log in. E quindi non solo non  ho garanzie di sicurezza ma per farlo accedere ad una cartella non posso usare le metodologie di assegnazione tipiche dei domini. Magari X1 può solo leggere il documento che un utente di dominio mette nella cartella, ma non modificare...Ma se non riesco a farlo loggare dal server, non posso assegnargli o negargli diritti su cartella.

    In cosa erriamo? Cosa non abbiamo configurato nel server? Esiste una forma di utente di dominio tipo visitatore che possa sì andare in una cartella ma non far nulla sui doc contenuti?

    Ringraziandovi in anticipo, auguriamo a  tutti buon lavoro

    Piero&Gino

    lunedì 19 aprile 2021 14:51

Risposte

  • di solito non si procede come hai descritto ossia non è necessario rimappare degli utenti vpn su altri utenti di dominio.

    semplicemente usando le NAP network access policies stabilisci che alcuni utenti del tuo dominio potranno connettersi in vpn, una volta connessi potranno accedere alle cartelle condivise e ai files contenuti in base ai permessi ntfs del file system.

    gli utenti vengono identificati già quando si autenticano alla vpn, non serve chiedere nuovamente le credenziali.


    Edoardo Benussi
    e[dot]benussi[at]gmx[dot]com

    lunedì 26 aprile 2021 12:59
    Moderatore

Tutte le risposte

  • Salve, 

    Ho un po 'di confusione riguardo al tuo obiettivo.Se vuoi un utente specifico vedrà solo la cartella specifica a cui ha accesso. Access-based Enumeration può raggiungere il tuo obiettivo.

    Per tua referenza:

    Access-based Enumeration

    Riguardi migliori,

    Candy


    Please remember to mark the replies as an answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com 
      


    martedì 20 aprile 2021 06:48
  • di solito non si procede come hai descritto ossia non è necessario rimappare degli utenti vpn su altri utenti di dominio.

    semplicemente usando le NAP network access policies stabilisci che alcuni utenti del tuo dominio potranno connettersi in vpn, una volta connessi potranno accedere alle cartelle condivise e ai files contenuti in base ai permessi ntfs del file system.

    gli utenti vengono identificati già quando si autenticano alla vpn, non serve chiedere nuovamente le credenziali.


    Edoardo Benussi
    e[dot]benussi[at]gmx[dot]com

    lunedì 26 aprile 2021 12:59
    Moderatore