[2000] Rechten gebruikers beperken op terminal server*

volgens mij snap ik je niet helemaal.

wat heeft een VPN te maken met profielen
VPN is een manier om een beveiligde IP tunnel op te zetten over/door een publiek netwerk (internet).
Heeft niks met profielen te maken.

Hoe loggen de mensen via VPN in op de school?

Is de "DOT" server een terminal server waar ze via vpn verbinding mee maken of loggen ze gewoon op netwerk niveau in om met hun bestanden te gaan werken?

Is heel goed te regelen met terminal services. En anders gewoon aan de slag met GPO's.

even samenvatten.

Op school gebruiken ze een lokaal profiel , dus GEEN terminal services.
Thuis maken ze een VPN verbinding en starten ze terminal services op

Je moet desbetreffende Terminal Servers in een apparte OU zetten en die dichtspijkeren.

Move PNS > WOS

een vpn zet je op om toegang te krijgen tot bestanden op een pc, op een "bveiligde"manier, zodat je op je eigen pc kunt werken met bestanden op de server.

extern bureaublad is heel iets anders, en een beetje raar om dat door een vpn tunnel te gebruiken vindt ik zelf. daarvoor moet je terminal server gebruiken.

nu nemen al die werknemers elke keer, en allemaal tegelijk de server over.

met terminal services krijgen ze volgens mij allemaal slechts een desktop die ze kunnen sluiten, maar kunnen ze dan niet de server uitzetten.
de rechten die ze hebben op een terminal zijn denk ik ook beter te beheren, en volgens mij standaard al beperkt tot de "client/ bureaublad omgeving"

extern bureaublad kun je ook perfect zonder vpn gebruiken overigens. misschien is het dan iets minder veilig, maar dat betwijfel ik, een vpn of extern bureaublad is volgens mij altijd met ipsec beveiligd. of heeft jou server dat niet? met windows xp en windows 2003 server in ieder geval wel.

Verwijderd schreef op woensdag 21 december 2005 @ 12:22:
Dus:

DOT verplaatsen van de Domain Controllers naar bijv. de OU 'VPN'
En vervolgens op de OU 'VPN' rechtermuisknop Eigenschappen en dan naar
het tabblad Group Policy en ik kan de boel gaan dicht timmeren?

volgens mij snap jij het verschil tussen een VPN en een Terminal server niet.

Waarom wil je die OU nu VPN gaan noemen je gaat toch geen VPN policy's maken
Je wilt Terminal Server policy's maken !

je moet heel snel dat hele VPN verhaal uit je hoofd halen, want dat werkt dus al, je moet je gaan richten op het dichtspijkeren van je Terminal Servers

Goole maar eens op Loopback Policies. Da's alles wat jij wilt.

Wimdutch.

Een VPN is alleen een netwerk verbinding van punt A naar punt B met eventueel bij punt B een compleet segment erachter waar je naar toe kan.

Als je eenmaal op de Terminal Server inlogt met remote desktop kun je hier allemaal policies op zetten. Je kan het jezelf zo eenvoudig of moeilijk maken als jezelf wilt (ik prefereer het laatste dus volledig dicht gezet).

Verder zoek eens op Lookback Group policy processing dit voorkomt dat je die betreffende high restrictive policies ook op de gebruikers zet als ze op de school inloggen wat je natuurlijk weer niet wilt.

Leesvoer
Windows 2000 hardening guide

[ Voor 8% gewijzigd door mutsje op 21-12-2005 14:05 ]

Verwijderd schreef op woensdag 21 december 2005 @ 02:27:
Echter moeten ze in het gebouw bijv. in het configuratie scherm kunnen komen en kunnen afsluiten, maar thuis op de VPN server niet.

Een normale user kan sowieso de server niet uitzetten

tja maar de leraren zijn natuurlijk nooit normale gebruikers. wat denken die systeembeheerders wel niet zeg ! hehe
maar goed. vpn log je dus aan alsof je thuis pc op het schoolnetwerk is aangesloten, correct, je kunt dan gewoon de bestenden op het schoolnetwerk benaderen alsof je op school bent. je kunt echter geen programmas gebruiken die op de pc (client) op de school geinstalleerd staat.

daarvoor kun je extern bureaublad gebruiken, maar voor extern bureablad heb je geen vpn nodig, ook net qua beveiliging, want het is beide keren een ipsec verbining bij winxp en windows 2003 (/ windows 2000?) maar dat kun ej met wondows 2000 vast ook wel voor elkaar krijgen zonder rompslomp.

extra nadeel van extern bureaublad is dat applicaties trag reageren omdat het beeld steeds helemaal over de netwerkverbinding moet worden getransporteerd, dus het ziet er traag uit, qua reactie. ook belast je zo de serverof client stel dat er dan nog meer mensen inloggen dan wordt die ook erg traag. ook kun je een tekort aan client acces licenties krijgen evt ?


inderdaad heb ej bij externe beureaubladen die je nu gebruikt( wat je eigenlijk zowiezo niet wilt in jou ituatie, en jij ook niet) omdat je dan gewoon de server overneemt.
je kunt ook een client op de school overnemen, als die aan staat.
het is beter gewoon de applicaties van de leraar thuis te gebruiken ( word, excel, whatever
die hebben toch wel een makkelijke schoollicentie???)
kan dit echt niet dan is een terminal server veel handiger, die logt niet in op de server zelf, maar geeft je een bureablad en de mogelijkeid applicaties te gebruiken op de terminal server, en dat is heel iets anders dan een domeincontroler, of een andere fiesieke machine

een terminal server is dus zowiezo al veiliger. je kunt er ook geen machines mee uitzetten.

[ Voor 12% gewijzigd door engelbertus op 21-12-2005 20:30 ]

Ik zet nog even [2000] in de topictitel, omdat dat het primaire OS is waar we nu over praten. Dit per de Windows Operating Systems - Policy. Ik breid deze ook nog even uit.

Eigen VPN Policy > [2000] Rechten gebruikers beperken op terminal server*

[ Voor 6% gewijzigd door sanfranjake op 21-12-2005 21:00 ]

je kunt naast regels voor pc's toch ook regels voor personen toevoegen aan een ou ?

Verwijderd schreef op woensdag 21 december 2005 @ 21:12:
Bedankt voor jullie medewerking.
Ik heb de server in een OU gegooid Loopback, en hoppaa.

Het is de bedoeling dat je in je TerminalServerOU een Group Policy aanmaakt met Loopback Processing aan...
als je dit soort termen al door elkaar gaat gooien vrees ik het ergste.

Maar hoe verschaf ik mijzelf nu wel de volledige rechten?
Want dit past hij toe op alle gebruikers..

Dat ding zit toch wel in een domain?

Verwijderd schreef op donderdag 22 december 2005 @ 02:30:
Je snapt mij wel.
Het is de bedoeling dat je in je TerminalServerOU een Group Policy aanmaakt met Loopback Processing aan...
Dit heb ik dus gedaan.

En ja tuurlijk is er een domein. Ik heb nog nooit een active directory zonder domein gezien.
Maar goed de Loopback Processing wordt dus toegepast op alle users die inloggen op de TS.
Is het mogelijk users uit te sluiten?

maak jezelf domain admin en verander de scope van de Policies

Verwijderd schreef op donderdag 22 december 2005 @ 02:30:
Je snapt mij wel.
Het is de bedoeling dat je in je TerminalServerOU een Group Policy aanmaakt met Loopback Processing aan...
Dit heb ik dus gedaan.

En ja tuurlijk is er een domein. Ik heb nog nooit een active directory zonder domein gezien.
Maar goed de Loopback Processing wordt dus toegepast op alle users die inloggen op de TS.
Is het mogelijk users uit te sluiten?

tip 1, schaf je zelf een goed boek aan, ga op cursus, of huur iemand in die er wel verstand van heeft.

Je kunt je eigen user account (of admin group) deny rechten geven op de "apply this policy" optie.

GoT is natuurlijk niet bedoeld als vraagbaak - je mag best vragen stellen hier, maar aan de andere kant is dit geen vervanging voor een cursus of een goed boek. Bepaalde basis kennis wordt wel verwacht - en die basis kennis is natuurlijk anders naar gelang je een situatie hebt.

Bij het beheren van een terminal server is het helemaal niet zo gek dat als je zelfs vragen hebt over hoe je policies applied, dat mensen je aanraden om eens met een boek aan de slag te gaan

Verwijderd schreef op donderdag 22 december 2005 @ 10:27:
Of stel de vraag op een forum, want op deze manier leer ik het ook.
De rest kost geld dit niets.
En waarvoor bestaat er anders een forum?
Bedankt voor jullie hulp!

Het is niet zo dat adviezen die hier gegeven worden perse goed zijn

Een forum is er voor om vragen te stellen als je zelf ergens niet uitkomt (maar wel geprobeerd), kort gezegd.

Daarnaast is het natuurlijk ook zo dat goedkoop uiteindelijk duurkoop kan zijn, Straks gaat er wat mis..dan kom je er niet uit. Was het dan niet veel handiger geweest als je meer kennis gehad had? Dat scheelt die school uiteindelijk geld. En zo duur zijn boeken nou ook weer niet.

Group Policy Management Console. gpmc.

elevator schreef op donderdag 22 december 2005 @ 11:22:
Bij het beheren van een terminal server is het helemaal niet zo gek dat als je zelfs vragen hebt over hoe je policies applied, dat mensen je aanraden om eens met een boek aan de slag te gaan

Dit omdat terminal server een expertise an sich is waar meer bij komt kijken dan slechts het OS beheren maar ook applicaties in een multi-user environment.

Neem daarom de adviezen ter harte en schaf boeken aan mbt het OS en terminal server. Een goed boek voor Terminal Servers is bv van Brain Madden of van MS Press

Je kan niks uitsluiten uit een mandatory profile - zoek in je boek (of op GoT of oop Google) even naar folder redirection