Extranet met Active Directory - Serversoftware en clouddiensten

donderdag 6 februari 2003 10:53

Acties:

Verwijderd

Topicstarter

Hallo,

Ik ben een extranet aan het ontwikkelen met ASP.NET. Nu kan je met Active Directory een Organizational Unit aanmaken voor deze applicatie. Deze verzorgd dan de login van de users. Alleen als ik nu users aanmaak, dan hebben deze ook rechten om in te loggen op de machine zelf!! Weet iemand hoe ik de rechten van deze organizational unit kan veranderen, zodanig dat deze alleen rechten hebben tot de internet applicatie? Ik heb al gezocht bij Microsoft, maar hier wordt niet aangegeven hoe je dit kan doen. Ik hoop dat iemand mij een zetje in de goede richting kan geven.

donderdag 6 februari 2003 10:57

Acties:

Arno

PF5A

Is het niet mogelijk om op die OU een GPO te zetten waar de users beperkt worden

Ik heb nu geen Windows 2000 machine bij de hand om dit te testen, maar er zal vast wel zoiets in de AD staan

"Supercars are made to mess around with G-forces, hypercars are made to mess around with G-strings"
Jeremy Clarkson

donderdag 6 februari 2003 11:04

Acties:

Verwijderd

Topicstarter

Ja dat heb ik al uitgezocht, ik heb geen idee hoe je met een GPO (=Group policy) alleen de gebruikers rechten kan geven tot 1 internet applicatie, en dus geen andere dingen mogen doen zoals inloggen op de WIN2000 machine. Microsoft heeft daar geen info over. Meerdere zoekacties bij google leveren ook geen resultaat op.

donderdag 6 februari 2003 11:13

Acties:

Arno

PF5A

Wat wel kan is een userobject beperken tot het aanloggen van een bepaalde groep machines. Wat gebeurt er als je daar een niet bestaande naam invult

"Supercars are made to mess around with G-forces, hypercars are made to mess around with G-strings"
Jeremy Clarkson

donderdag 6 februari 2003 11:23

Acties:

Smurff

wat bedoel je prcs met aanloggen op de machine zelf ?

donderdag 6 februari 2003 11:25

Acties:

Verwijderd

Topicstarter

De user rights assignments do the trick (GPO). Ik kan via terminal services niet meer lokaal inloggen(dus als member van de group voor de extranet applicatie) !! Dat gaat dus nu goed. Ik kan me alleen voorstellen dat een beetje hacker hier omheen kan.

donderdag 6 februari 2003 11:31

Acties:

Arno

PF5A

Verwijderd schreef op 06 February 2003 @ 11:25:
Ik kan me alleen voorstellen dat een beetje hacker hier omheen kan.

Zoals de waard is, vertrouwd hij zijn gasten

Maar zolang mensen niet die GPO kunnen aanpassen, kunnen ze ook niet lokaal aanloggen op een machine.

"Supercars are made to mess around with G-forces, hypercars are made to mess around with G-strings"
Jeremy Clarkson

donderdag 6 februari 2003 11:36

Acties:

Verwijderd

Topicstarter

Ja daar heb je gelijk in. Alleen de extranet applicatie is niet alleen bedoeld voor gasten die de waard kennen

Maar mij probleem is dat hackers niet alleen via terminal services naar binnen kunnen komen. Er zijn natuurlijk nog wat leuke poorten waardoor ze naarbinnen kunnen komen. Of is de hierboven genoemde policy genoeg?

donderdag 6 februari 2003 11:46

Acties:

Arno

PF5A

Een GPO voorziet niet in dichtzetten van TCP of UDP poorten. Zolang een DC niet vanaf internet benaderbaar is, dan is het ook niet mogelijk om ook maar in de buurt van een GPO te komen. Hoe bied je je applicatie aan, een IIS machine aan internet, of achter een firewall (ISA bijvoorbeeld)

"Supercars are made to mess around with G-forces, hypercars are made to mess around with G-strings"
Jeremy Clarkson

donderdag 6 februari 2003 11:54

Acties:

Verwijderd

Topicstarter

Via een IIS machine(met daarop zijn eigen AD) aan internet.

donderdag 6 februari 2003 12:09

Acties:

Arno

PF5A

Dus zonder firewall

IMO is dat vragen om gehacked worden. Als dat ding perse AD moet hebben en je hebt maar één machine, dan kun je IMO veel beter een hardware firewall oplossing gebruiken. Een Windows machine met AD direct aan het internet hangen is nu niet echt de meest veilige oplossing

"Supercars are made to mess around with G-forces, hypercars are made to mess around with G-strings"
Jeremy Clarkson

donderdag 6 februari 2003 13:00

Acties:

Zwelgje

Traag schreef op 06 February 2003 @ 12:09:
Dus zonder firewall

IMO is dat vragen om gehacked worden. Als dat ding perse AD moet hebben en je hebt maar één machine, dan kun je IMO veel beter een hardware firewall oplossing gebruiken. Een Windows machine met AD direct aan het internet hangen is nu niet echt de meest veilige oplossing

tcp/ip filtering gebruiken op die bak, dan zet je alleen poortje 80 open (bijvoorbeeld) dan kun je dus rustig zonder firewall die doos aan het internet hangen

1 nadeel, als het systeem 2 interface's heeft dan is die filter rule ook van toepassing op die andere kaart...

A wise man's life is based around fuck you

donderdag 6 februari 2003 13:33

Acties:

Arno

PF5A

zwelgje schreef op 06 February 2003 @ 13:00:
1 nadeel, als het systeem 2 interface's heeft dan is die filter rule ook van toepassing op die andere kaart...

IMO niet echt een nette oplossing daardoor

"Supercars are made to mess around with G-forces, hypercars are made to mess around with G-strings"
Jeremy Clarkson

donderdag 6 februari 2003 14:09

Acties:

Zwelgje

Traag schreef op 06 februari 2003 @ 13:33:
[...]
IMO niet echt een nette oplossing daardoor

dan zou ik er gewoon ISA server op zetten, en dan de desbetreffende poortjes dichtzetten/openzetten

[ Voor 3% gewijzigd door Zwelgje op 06-02-2003 14:09 ]

A wise man's life is based around fuck you