Yeeps beste Ict-talkers,

'Kzit met enkele vragen...

We hebben een externe lev. die op bepaalde servers mag inloggen vanaf één bepaalde IP-adres.

User in AD-aangemaakt en de nodige rechten op ssl-box ingesteld.

Volgend probleem doet zich nu nog voor:

Als de gebruiker, die via ssl-box een netwerk connect heeft gekregen, naar de server X wil gaan dan krijgt hij de foutmelding:

"w2k3 to log on to this remote console session, you must have administrative permissions on this computer"

De groep Remote desktop users behoort tot local policy "allowed to logon via Terminal Service"

Dit blijkt nog niet voldoende te zijn om de desbetreffende "info fout" weg te krijgen. De gebruiker dient op die pc local administrator gemaakt te worden,
dan lijkt het probleem wel opgelost.

Het probleem is als die user local administrator is op die server dat hij alle client computers kan benaderen via \\pc....\c$

Vraag 1: Hoe kunnen we ervoor zorgen dat hij dit niet zou kunnen?

Vraag 2: Hoe stellen we in dat hun niet aan de "run" kan?

Vraag 3: Hoe stellen we best in dat voor hem remote desktop op die server
              zelf niet werkende is zodat hij niet naar andere servers kan gaan?

Hopelijk kan iemand me hiermee helpen...

Vraag 1: Hoe kunnen we ervoor zorgen dat hij dit niet zou kunnen?

=> dit is alleen mogelijk als zijn account niet alleen local admin is op de server maar ook op de clients. Als je hem admin maakt, ben je hem dan Domain admin of zo aan het maken? Enkel local admins op de pc's kunnen de default $ shares gebruiken!

Vraag 2: Hoe stellen we in dat hun niet aan de "run" kan?

via gpo > user configuration > administrative templates > start menu and taskbar > remove run menu from start menu.

Let wel dat dit security door obscurity is en eignelijk dus 0,0 security is. Iemand die windows kent kan daar zo omheen werken want eigenlijk wil je waarschijnlijk niet dat ze een cmd box en zo kunnen openen. Als de user admin is op de server is hij owner van de server en zal hij altijd op de server alles kunnen. Betere security zal dus zijn om hem geen admin te maken.

Vraag 3: Hoe stellen we best in dat voor hem remote desktop op die server
              zelf niet werkende is zodat hij niet naar andere servers kan gaan?

Als de user geen rechten heeft om in te loggen via TS op andere servers of clients dan is dat uw security en heb je niet meer nodig. Het enige wat je kan doen om het iet of wat fancy te maken is via een software policy mstsc.exe blocken op diverse manieren maar terug de echte security zit hem erin de user geen local admin te maken op de server + zeker geen rechten geven op andere servers.

grt

Tom 

Vraag 1: Bleek te zijn omdat ik mstsc / console deed
dan moet een gebruiker wel local admin zijn. Maar het is de bedoeling dat ze gewoon via mstsc werken (dus rdp ipv console).

Vraag 2: Is opgelost doordat user geen admin meer moet zijn door oplossing in vraag 1. Het concept van elementen wegdoen is ook niet de beste oplossing. Beter is dat ik toegang naar andere servers toezet vanaf die andere servers.

Vraag 3: antwoord zit omvat in vraag 2

Het lezen van boek "W2k3 Admin. Pocket Consultant" heeft me meer inzicht gegeven in het uitwerken van concepten zoals TM en RDP,...

Goed boek, Thanx to onze vaste MS-man op de meetings (z'n naam vergeten  :-) )

Tom,

Ik ben het desbetreffende boek aan het lezen en de belangrijkste elementen
in document aan het verwerken met o.a. eigen printscreens enz.

... kan ooit nog eens gebruikt worden voor een meeting ofzo.

Is zeker bruikbaar, als je wil kunnen we ook een document library maken op deze site en daar dergelijk papers op beginnen posten?

mvg

Tom