none
RDP auf nur einen Client RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo zusammen,

    folgendes: 

    Ein Benutzer macht eine RDP-Sitzung aus einem anderen Netz auf einem vordefinierten Client.
    Hier gilt bereits eine Beschränkung über das Gateway (Firewall). Lediglich der Arbeitsplatzrechner darf auf die IP-Adresse im anderen Netz.

    Was ich nun verhindern möchte ist, dass sich dieser Benutzer von dem aufgeschalteten Client auf einen anderen Client remote verbindet. 

    Sein Client ist einer von x weiteren Clients der selben Art. Die Clients erhalten die selben GPOs. "Anmelden über Terminaldienste zulassen" ist also für diverse Gruppen definiert (lokale Sicherheitseinstellungen). Diese sind auch in Mitglied der Gruppe Remotedesktopbenutzer.

    Jedoch soll dieser Benutzer (betrifft noch andere) nicht berechtigt sein, sich auf die anderen Clients zu schalten. Wie kann ich so eine Ausnahme realisieren? Mir fällt da nichts funktionales ein, da die lokalen Sicherheitseinstellungen bei allen Clients gleich ist. 

    Ich hoffe ich konnte ich verständlich ausdrücken.

    Vielen Dank und Grüße!

    Montag, 15. November 2021 11:19
    |

Alle Antworten

  • Question
    Anmelden
    1
    Anmelden

    Moin,

    den zu beschränkenden User aus den allgemeinen RDP-berechtigten Gruppen rausschmeißen und per GPP mit Item Level Targeting in die "Remote Desktop Users" Gruppe auf dem betreffenden Zielrechner stecken.

    Evgenij Smirnov

    http://evgenij.smirnov.de

    Montag, 15. November 2021 11:44
    |
  • Question
    Anmelden
    0
    Anmelden

    Danke für den Hinweis. 

    Ich hatte bereits über Item Level Targeting nachgedacht, bin aber auf keine adäquate Lösung gekommen.

    Gebaut habe ich nun folgendes:
    Aus der Computer-GPO habe ich die betroffene Personengruppe aus den "Eingeschränkte Gruppen" = Remotedesktopbenutzer genommen. Zusätzlich eine neue Berechtigungsgruppe erstellt, diese Mitglieder hinzugefügt und für RDP zugelassen (Lokale Richtlinien/Zuweisen von Benutzerrechten). 

    Ich habe eine neue Computer-GPO erstellt, welche nur die neue Berechtigungsgruppe zu "Eingeschränkte Gruppen" (Remotedesktopbenutzer) hinzufügt. Abschließend ILT über WMI-Filter auf betroffenen Client.

    Dieser Denkanstoß hat gefehlt. Tut was es soll. Dankeschön!

    Montag, 15. November 2021 14:37
    |
  • Question
    Anmelden
    0
    Anmelden

    Per Microsoft Defender Firewall den ausgehenden RDP Traffic ins interne Subnetz verbieten

    Sonntag, 5. Dezember 2021 18:27
    |