Goedemiddag,
ik zit nu al een aantal dagen met een dilema, heb misschien al die tijd verkeerd gezocht maar dit is het probleem:
Ik moet een aanpassing in een bestaand netwerk doorvoeren, er moet vanuit thuis gewerkt worden via een VPN.
Ik heb een Windows 2003 server (active directory), daar heb ik nu tijdelijk als test de RRAS service draaien, ik heb een gebruiker aangemaakt die de lokale policy gebruikt, deze gebruikers mogen bijvoorbleed geen netwerkinstellingen etc. wijzigen, dat is dus allemaal ingesteld in de GPMC, en werkt, (lokaal).
Op een of andere manier, ik weet niet hoe, de systeembeheerder ook niet, kan ik lokaal niet bij de SYSVOL, NETLOGON mappen, ook kan ik de server via zijn ip, bijv: \\10.0.0.25 niet benaderen, dit is express zo ingesteld, daarentegen worden de logon scripts wel netjes geladen bij het opstarten, dus leesrechten zijn er...
Zoals het hierboven werkt hoort het te werken, gebruikers mogen de SYSVOL mappen etc. niet zien, ook de shares niet direct benaderen.
Nu verbind ik vanuit thuis naar het netwerk via een VPN verbinding, nu kan ik wel bij de SYSVOL mappen, de servers direct benaderen, shares bekijken etc.
Ik weet dat er geen script aan VPN gebruikers toegepast kunnen worden, tenminste, niet geladen worden bij het tot stand brengen van de verbinding?
Maar goed, mijn vraag is dus, welke regel zorgt ervoor dat de lokale gebruikers niet bij deze mappen kunnen komen en VPN gebruikers wel, terwijl er via dezelfde gebruikersnaam/wachtwoord wordt ingelogd?
Ik heb hiervoor niets kunnen vinden, als ik wat vind is het vaak "SYSVOL etc. kunnen niet worden verborgen omdat er toegang tot die mappen nodig is..."
Nu kom ik net een programma tegen in de NETLOGON map, Kixtart, deze kan scripts starten, commando's uitvoeren etc. lijkt mij niet dat deze die regels regelt, maar misschien kan iemand mij anders vertellen..
(een eventuele oplossing zou kunnen zijn om de VPN gebruikers alleen aan te laten melden via het domein, dan worden de rechten wel goed geladen, maar of dat in te stellen is weet ik niet, omdat de verbinding ook eerst buiten het domein om gemaakt moet worden.)
(de reden waarom deze map niet zichtbaar mag zijn is omdat er wachtwoorden in de scripts staan, volgens mij is dit sowieso niet de bedoeling, maar dat is nu eenmaal zo ingesteld)
Ik hoop dat iemand dit bekend in de oren klinkt, als het onduidelijk is hoor ik het graag dan vul ik het aan.
Alvast bedankt,
ik zit nu al een aantal dagen met een dilema, heb misschien al die tijd verkeerd gezocht maar dit is het probleem:
Ik moet een aanpassing in een bestaand netwerk doorvoeren, er moet vanuit thuis gewerkt worden via een VPN.
Ik heb een Windows 2003 server (active directory), daar heb ik nu tijdelijk als test de RRAS service draaien, ik heb een gebruiker aangemaakt die de lokale policy gebruikt, deze gebruikers mogen bijvoorbleed geen netwerkinstellingen etc. wijzigen, dat is dus allemaal ingesteld in de GPMC, en werkt, (lokaal).
Op een of andere manier, ik weet niet hoe, de systeembeheerder ook niet, kan ik lokaal niet bij de SYSVOL, NETLOGON mappen, ook kan ik de server via zijn ip, bijv: \\10.0.0.25 niet benaderen, dit is express zo ingesteld, daarentegen worden de logon scripts wel netjes geladen bij het opstarten, dus leesrechten zijn er...
Zoals het hierboven werkt hoort het te werken, gebruikers mogen de SYSVOL mappen etc. niet zien, ook de shares niet direct benaderen.
Nu verbind ik vanuit thuis naar het netwerk via een VPN verbinding, nu kan ik wel bij de SYSVOL mappen, de servers direct benaderen, shares bekijken etc.
Ik weet dat er geen script aan VPN gebruikers toegepast kunnen worden, tenminste, niet geladen worden bij het tot stand brengen van de verbinding?
Maar goed, mijn vraag is dus, welke regel zorgt ervoor dat de lokale gebruikers niet bij deze mappen kunnen komen en VPN gebruikers wel, terwijl er via dezelfde gebruikersnaam/wachtwoord wordt ingelogd?
Ik heb hiervoor niets kunnen vinden, als ik wat vind is het vaak "SYSVOL etc. kunnen niet worden verborgen omdat er toegang tot die mappen nodig is..."
Nu kom ik net een programma tegen in de NETLOGON map, Kixtart, deze kan scripts starten, commando's uitvoeren etc. lijkt mij niet dat deze die regels regelt, maar misschien kan iemand mij anders vertellen..
(een eventuele oplossing zou kunnen zijn om de VPN gebruikers alleen aan te laten melden via het domein, dan worden de rechten wel goed geladen, maar of dat in te stellen is weet ik niet, omdat de verbinding ook eerst buiten het domein om gemaakt moet worden.)
(de reden waarom deze map niet zichtbaar mag zijn is omdat er wachtwoorden in de scripts staan, volgens mij is dit sowieso niet de bedoeling, maar dat is nu eenmaal zo ingesteld)
Ik hoop dat iemand dit bekend in de oren klinkt, als het onduidelijk is hoor ik het graag dan vul ik het aan.
Alvast bedankt,
[ Voor 7% gewijzigd door Keess op 03-10-2008 13:33 ]
