none
RDP Anmeldung beschränken? RRS feed

  • Frage

  • Hallo zusammen,

    ich suche nach Möglichkeiten, unter Windows 10 die Anmeldung über RDP folgendermaßen zu beschränken:

    a) 'vor Ort' Anmeldung hat Vorrang vor RDP Anmeldung

    Ich hätte hier gerne folgendes Verhalten:

    - wenn ein User 'vor Ort' an der Maschine angemeldet ist, kann sich ein kein anderer User über RDP anmelden.
    - wenn ein User über RDP angemeldet ist, kann ein anderer User 'vor Ort' dessen Sitzung beenden.

    oder:

    b) RDP Anmeldung nur zu bestimmtem Uhrzeiten

    Zur Erklärung: meine Organisation geht wieder in den Präsenzbetrieb, trotzdem werden einige Veranstaltungen auch online stattfinden. Generell sollten meine User über RDP zugreifen können, während Präsensveranstaltungen aber nicht.

    Danke ;)

    Montag, 20. September 2021 11:48

Alle Antworten

  • Moin,

    ich glaube, natives RDP ist nicht das richtige Vehikel, um derart granulare Anforderungen umzusetzen.

    Den Punkt b. kriegst Du vielleicht noch gelöst, wenn Du z.B. einfach die Firewall-Regel, die Port 3389 eingehend blockt, zu Beginn der Veranstaltung aktivierst, aber das ist krude und verspricht mehr Ärger, als dass es hilft.

    Wenn die "bestimmten Uhrzeiten" fix sind, kannst Du das natürlich eleganter lösen, indem Du einen RD Gateway vorschaltest und in den dortigen Authorization Policies eine zeitliche Beschränkung einführst.

    Punkt a. ist so definitiv nicht vorgesehen - wenn ein User bereits eine aktive Session hat und ein anderer sich verbinden will, erfolgt eine Rückfrage an den angemeldeten User, ob er sich anmelden möchte. Der User vor Ort kann natürlich jede Session beenden, indem er den Rechner einfach neu startet ;-)


    Evgenij Smirnov

    http://evgenij.smirnov.de

    Montag, 20. September 2021 12:12
  • Danke...

    Ein RD Gateway liegt ausserhalb meiner Befugnisse.

    Eleganter als die Aktivierung und Deaktivierung der entsprechenden Firewall Regel wäre wohl die Anpassung der entsprechenden AD Sicherheitsgruppe, welche den RDP Zugriff erlaubt, aber das läßt sich wohl nicht zeitgesteuert automatisieren.

    Montag, 20. September 2021 13:11
  •  aber das läßt sich wohl nicht zeitgesteuert automatisieren.

    Warum nicht? Wenn Dein AD auf 2016 ist, kannst Du die Mitgliedschaften sogar automatisch ablaufen lassen ;-)

    Evgenij Smirnov

    http://evgenij.smirnov.de

    Montag, 20. September 2021 13:43
  •  aber das läßt sich wohl nicht zeitgesteuert automatisieren.

    Warum nicht? Wenn Dein AD auf 2016 ist, kannst Du die Mitgliedschaften sogar automatisch ablaufen lassen ;-)


    Würdest Du mir sagen wie?

    Edit: ok, ich habe es gefunden, müßte per GPO über einen Zeitbereich bei der Zielgruppenadressierung gehen. Mal sehen ob das klappt. Leider habe ich genau mit dieser Einstellung (Computerkonfiguration -> Einstellungen -> Systemsteuerungseinstellungen -> lokale Benutzer und Gruppen) seit geraumer Zeit ein grundsätzliches Problem, welches ich mit einem Workaround umschifft habe. Muss ich dann wohl mal generell lösen ;)
    • Bearbeitet HTW-F4-IMI Montag, 20. September 2021 14:58
    Montag, 20. September 2021 14:19
  • Hallo,

    Ihr Szenario ist sehr spezifisch und ich kann mir keine bestimmte Einstellung in Remotedesktop oder Active Directory vorstellen, die dies tun kann.

    für a) würde ich die 3389-Port-Kommunikation von den Clients im internen Netzwerk auf Switch-Ebene einschränken, während Sie Ihren Router so konfigurieren, dass er eine Portweiterleitung an den RDS-Server speziell für die externen Verbindungen durchführt. Dies kann jedoch die Verbindungen von vor Ort ständig einschränken.

    für b) Ich bin mir zu 99,9% sicher, dass es keine spezifische zeitbasierte Einstellung gibt, die RDP-Verbindungen speziell einschränken oder aktivieren würde. Ich weiß es genau, da dies eine Einstellung ist, nach der viele Kunden während der "Zurück zur Normalität" fragen. Die einzige anwendbare Option ist aus den Eigenschaften des AD des Benutzers auf der Registerkarte "Konto"> Anmeldezeiten, aber dies würde sich auf RDP und andere Anmeldungen auswirken.

    Mit freundlichen Grüßen,
    Montag, 20. September 2021 14:37
  • ...dann leider nicht. Man braucht dafür FFL 2016.

    Es gab auch früher Mittel und Wege etwas Ähnliches umzusetzen, aber sie hatten nicht die Verbindlichkeit.

    Das Problem besteht ja nicht darin, den User aus der Gruppe zu schmeißen (PowerShell, dsmod, VBS, das ist alles keine Kunst), sondern darin, dass seine Anmeldesitzung dadurch ja noch lange nicht invalidiert wird. Und da hat eben Server 2016 etwas neues mitgebracht.


    Evgenij Smirnov

    http://evgenij.smirnov.de

    Montag, 20. September 2021 14:58
  • Hallo wieder,

    Zusätzlich,

    Sie können die Einstellungen für die Benutzeranmeldungszeiten aus den Einstellungen der AD-Benutzereigenschaften verwenden, damit sie sich während eines bestimmten Zeitraums anmelden können.

    Außerdem können Sie die GPO-Einstellungen zum Abmelden erzwingen verwenden, nachdem die Anmeldezeiten des Benutzers abgelaufen sind.

    Bitte werfen Sie einen Blick auf den folgenden Microsoft-Artikel.

    https://docs.microsoft.com/de-DE/windows/security/threat-protection/security-policy-settings/network-security-force-logoff-when-logon-hours-expire

    Dankeschön.
    Montag, 20. September 2021 19:26
  • Hallo wieder,

    Zusätzlich,

    Sie können die Einstellungen für die Benutzeranmeldungszeiten aus den Einstellungen der AD-Benutzereigenschaften verwenden, damit sie sich während eines bestimmten Zeitraums anmelden können.

    Außerdem können Sie die GPO-Einstellungen zum Abmelden erzwingen verwenden, nachdem die Anmeldezeiten des Benutzers abgelaufen sind.
    Danke, aber das hilft mir nicht weiter. Ich habe auf die AD Benutzereigenschaften keine Zugriffsrechte (die User kommen aus einer anderen Domäne, zu der 'meine' eine Vertrauensstellung hat), und der Ansatz unterscheidet IMHO auch nicht zwischen einer Anmeldung 'vor Ort' und der Anmeldung per RDP. 
    Dienstag, 21. September 2021 07:38
  • ...dann leider nicht. Man braucht dafür FFL 2016.

    Es gab auch früher Mittel und Wege etwas Ähnliches umzusetzen, aber sie hatten nicht die Verbindlichkeit.


    Ich habe einen Weg per GPO gefunden:

    Computerkonfiguration->Einstellungen->Systemsteuerungseinstellungen->Lokale Benutzer und Gruppen, dort eine neue Aktion für die Grupp 'Remotedesktopbenutzer (integriert)', und dort eine AD Sicherheitsgruppe hinzufügen, das ganze über Zielgruppenadressierung auf Elementebene mit einem Zeitbereich versehen.

    Das funktioniert auch mit mehreren unterschiedlichen Zeitbereichen, und ich kann darüber auch für einen Zeitbereich gar keine RDP User zulassen (einfach nur die Haken bei 'Alle Mitgliederbenutzer löschen' und 'Alle Mitgliedergruppen löschen' setzen und keine AD Sicherheitsgruppe hinzufügen).

    Der Haken bei der Sache ist natürlich: das ganze wirkt auf den Clients erst, wenn dort jeweils die Richtlinie aktualisiert wurde, was standartmäßig etwas unbestimmt ist :(

    Dienstag, 21. September 2021 11:21