Jetzt wird's knifflig: Kennt sich hier jemand gut mit Small Business Server 2003 aus?
Wir würden gerne externen Mitarbeiter über VPN Zugriff auf bestimmte Verzeichnisse gewähren. Sie sollen aber wirklich nur auf diese Verzeichnisse zugreifen können und auf nichts anderes.
Nur leider hab ich keine Ahnung, welche Rechte ich verteilen muss und welche nicht.
Kann jemand helfen?
Eingeschränkter VPN-Zugriff unter Small Business Server 2003
Moderatoren: Krallzehe, Quickkiller
Ich kenn mich zwar jetzt nicht spezifisch mit 2003 aus, aber der VPN stellt ja nur die Verbindung zu deinem Netzwerk her. Die im Netz freigegebenen Verzeichnisse sollten ja hoffentlich eh nur Zugriff auf Benutzer/Gruppenebene bieten und der Zugriff für den Benutzer "jeder" sollte nur in Ausnahmefällen gewährt werden. Also entweder eine Gruppe anlegen, wenn die Benutzer alle auf die gleichen Daten Zugriff bekommen sollen und die Verzeichnisse unter Sicherheitseinstellungen für die Benutzer freischalten oder eben die Verzeichnisse einzeln für die jeweiligen Nutzer freischalten. Vorsicht, hier nicht mit "Freigegeben für" arbeiten sondern mit den Sicherheitseinstellungen der jeweiligen Verzeichnisse.
Versteh ich leider nicht so ganz.
Also es ist so: Ich habe jetzt einen neuen User eingetragen und ihm ein Passwort zugeteilt und Einwahlrechte gegeben.
Jetzt ist der User ja nu leider automatisch Mitglied von "Domänen-Benutzer" und hat damit Zugriff auf nahezu alles. Was genau muss ich als nächstes tun, damit der User nur auf zwei bestimmte Verzeichnisse Zugriff hat?
Also es ist so: Ich habe jetzt einen neuen User eingetragen und ihm ein Passwort zugeteilt und Einwahlrechte gegeben.
Jetzt ist der User ja nu leider automatisch Mitglied von "Domänen-Benutzer" und hat damit Zugriff auf nahezu alles. Was genau muss ich als nächstes tun, damit der User nur auf zwei bestimmte Verzeichnisse Zugriff hat?
Eigentlich sollte der Domänen Benutzer noch keinen Zugriff auf alle Dateien erhalten. Für den Zugriff auf die Daten auf dem Server solltet ihr eigentlich entweder Benutzergruppen anlegen, die dann ensprechend in den Sicherheitseinstellungen für bestimmte Verzeichnisse freigeschaltet werden, oder wenn es nur eine Hand voll User insgesamt sind, kannst du das auch pro User machen.
Also nochmal langsam zum mitschreiben.
Man legt ein Verzeichnis an, daß ich im Netzwerk sichtbar haben will. Das gebe ich dann frei, entweder für den Benutzer "jeder" oder eben für Domänenbenutzer, je nachdem wie restriktiv ich das handhaben will. Alternativ kannst du das auch mit einer kompletten Festplattenpartition machen. Bei den Unterordnern, in die dann die eigentlichen Daten kommen. Dabei ist wichtig, daß bei den Unterordnern in den Sicherheitseinstellungen der Haken bei "vererbbare übergeordnete Berechtigungen übernehmen" entfernt wird. Dann kannst du in den Sicherheitseinstellungen entweder einzelnen Usern, oder von Dir angelegte Usergruppen Zugriffsrechte vergeben.
/edit: Achso und wenn du verhindern willst, daß sich er Benutzer auch auf localen Maschinen einloggen kann (zum Beispiel auf dem Server über die Terminal Server Console, solltest du in den Benutzereigenschaften auf dem Server unter dem Reiter "Konto" noch definieren, auf welchen Maschinen sich der Benutzer anmelden darf
Man legt ein Verzeichnis an, daß ich im Netzwerk sichtbar haben will. Das gebe ich dann frei, entweder für den Benutzer "jeder" oder eben für Domänenbenutzer, je nachdem wie restriktiv ich das handhaben will. Alternativ kannst du das auch mit einer kompletten Festplattenpartition machen. Bei den Unterordnern, in die dann die eigentlichen Daten kommen. Dabei ist wichtig, daß bei den Unterordnern in den Sicherheitseinstellungen der Haken bei "vererbbare übergeordnete Berechtigungen übernehmen" entfernt wird. Dann kannst du in den Sicherheitseinstellungen entweder einzelnen Usern, oder von Dir angelegte Usergruppen Zugriffsrechte vergeben.
/edit: Achso und wenn du verhindern willst, daß sich er Benutzer auch auf localen Maschinen einloggen kann (zum Beispiel auf dem Server über die Terminal Server Console, solltest du in den Benutzereigenschaften auf dem Server unter dem Reiter "Konto" noch definieren, auf welchen Maschinen sich der Benutzer anmelden darf
Also ich hab's mir ausgedruckt und mehrmals durchgelesen und versucht nachzuvollziehen, leider vergebens.
Habe ne neue Sicherheitsgruppe angelegt und dem User zugeteilt, damit ich die Standardprimärzuordnung zu "Domänen-Benutzer" löschen konnte. Nu hat er aber immer noch Zugriff aus alles.
Wenn ich dich richtig verstehe, ist das Problem, dass "Jeder" Vollzugriff auf das Netzlaufwerk hat?
Habe ne neue Sicherheitsgruppe angelegt und dem User zugeteilt, damit ich die Standardprimärzuordnung zu "Domänen-Benutzer" löschen konnte. Nu hat er aber immer noch Zugriff aus alles.
Wenn ich dich richtig verstehe, ist das Problem, dass "Jeder" Vollzugriff auf das Netzlaufwerk hat?
Antares, alter VPN-Ruler, da hab ich gleich auch ein Prob.
Mein Zuhä...Arbeitgeber hat mir VPN-Zugriff eingeräumt, den ich korrekt installiert habe. Beim ersten Versuch lief alles glatt, seitdem gibt es immer die Fehlermeldungen 628 oder 800. Auch meine Firewall habe ich mal deinstalliert...bringt nix.
Bei uns in der Firma haben sie keine Ahnung.
Ne Idee? Du darfst mich zur Belohnung auch mal messern.
Mein Zuhä...Arbeitgeber hat mir VPN-Zugriff eingeräumt, den ich korrekt installiert habe. Beim ersten Versuch lief alles glatt, seitdem gibt es immer die Fehlermeldungen 628 oder 800. Auch meine Firewall habe ich mal deinstalliert...bringt nix.
Bei uns in der Firma haben sie keine Ahnung.
Ne Idee? Du darfst mich zur Belohnung auch mal messern.
TO SAVE TIME: ASSUME I KNOW EVERYTHING
Huch...äh...nix für ungut...
Ne, angeblich wird die Verbindung zum Server vor dem connecten bereits unterbrochen (Fehler 628) und seltsamerweise schliesst sich meine DSL-Verbindung.
Ich habe normalerweise eine Kerio Firewall, bin 35 Jahre alt und Linksträger.
Was ist denn ein Client? Ich bin der Super-DAU in dieser Beziehung. Wo finde ich den?
Die Fehlermeldung scheint aus dem Windows zu kommen.
Warum hat es beim ersten Versuch funktioniert? Warum danach nie wieder?
Leider bin ich zu unerfahren, um mehr Infos beizubringen...VPN...vorher kannte ich nur ÖPN...
Ne, angeblich wird die Verbindung zum Server vor dem connecten bereits unterbrochen (Fehler 628) und seltsamerweise schliesst sich meine DSL-Verbindung.
Ich habe normalerweise eine Kerio Firewall, bin 35 Jahre alt und Linksträger.
Was ist denn ein Client? Ich bin der Super-DAU in dieser Beziehung.
Wo finde ich den? Die Fehlermeldung scheint aus dem Windows zu kommen.
Warum hat es beim ersten Versuch funktioniert? Warum danach nie wieder?
Leider bin ich zu unerfahren, um mehr Infos beizubringen...VPN...vorher kannte ich nur ÖPN...
TO SAVE TIME: ASSUME I KNOW EVERYTHING
Erhm?? Malli, rennt dein VPN über das Internet?? 
Und der Client is das Programm, welches die Verbindung aufbaut. Hier auf der Uni haben wir was von Cisco, aber das klappt au so gut wie nie..
Also du gehst quasi ins internet(dein pc ist im internet), dann startest vpn und bist im firmenlan(dein pc ist nicht mehr in internet, sondern jetzt in der firma). Foglich muß die Vpn Software ja mit dem Fehler kommen oder?!
@ Krallzehe - an für sich ist VPN doch nix anderes als wenn die Selber im Lan sind -also an für sich genauso freigeben wie du das im Lan machen würdest... Also so rein von der Logik her.
Und der Client is das Programm, welches die Verbindung aufbaut. Hier auf der Uni haben wir was von Cisco, aber das klappt au so gut wie nie..
Also du gehst quasi ins internet(dein pc ist im internet), dann startest vpn und bist im firmenlan(dein pc ist nicht mehr in internet, sondern jetzt in der firma). Foglich muß die Vpn Software ja mit dem Fehler kommen oder?!
@ Krallzehe - an für sich ist VPN doch nix anderes als wenn die Selber im Lan sind -also an für sich genauso freigeben wie du das im Lan machen würdest...
Also so rein von der Logik her.
@ Iob: Ist so nicht ganz richtig Dein PC ist immer noch im Internet, du baust nur einene verschlüsselten Tunnel zu deinem Firmennnetzwerk auf, über den du Zugriff hast. Bei vielen Clients kannst du dann eben alle anderen Subnetzte außer deinem Firmennetz lahmlegen,damit sich kein Trojaner oder ähnliches austoben kann
Dein PC ist immer noch im Internet, du baust nur einene verschlüsselten Tunnel zu deinem Firmennnetzwerk auf, über den du Zugriff hast. Bei vielen Clients kannst du dann eben alle anderen Subnetzte außer deinem Firmennetz lahmlegen,damit sich kein Trojaner oder ähnliches austoben kann 
Ja, VPN ist leider nicht so trivial, wie es auf den ersten Blick scheint., Deswegen hab ich bei uns in der Frima eine Security Aplliance mit integriertem VPN Server genommen. Und selbst die hat mit manchen Routern/Firewalls erhebliche Probleme.
@ Oma: Von wo aus hat der Zugang funktioniert? Habt ihr das aus dem lokalen Netz probiert gehabt? Oder ging das schon von Dir zuhause aus? Das Problem sieht für mich nahc ein wenig Recherche zu 99% nach einem Firewall Problem entweder bei Dir oder bei Dir in der Firma aus.
@ Oma: Von wo aus hat der Zugang funktioniert? Habt ihr das aus dem lokalen Netz probiert gehabt? Oder ging das schon von Dir zuhause aus? Das Problem sieht für mich nahc ein wenig Recherche zu 99% nach einem Firewall Problem entweder bei Dir oder bei Dir in der Firma aus.
Ich glaub sowas haben wir auch. Ist so ein Kasten der im Serverreck drinsteckt, von der Größe eines Switches. War wohl Sauteuer das Ding.Antares hat geschrieben:Deswegen hab ich bei uns in der Frima eine Security Aplliance mit integriertem VPN Server genommen.
„Wissen ist Nacht!“
Prof. Dr. Abdul Nachtigaller
Prof. Dr. Abdul Nachtigaller
Der eigene Sofwareclient hat eben auch den Vorteil daß der PSK sich mit der Verbindung exportieren lässt. Ansonsten mußt du externen Leuten immer nen Zettel ausdrucken, auf dem das Ding draufsteht oder den Key per Mail versenden und dann kannst du ihn auch gleich ans schwarze Brett heften. Was benutzt ihr an Firewalls? Wir haben die kleine Sonicwall in Verwendung und ich muß sagen, mit der bin ich schwer zufrieden.
TZ170Global VPN Client. Bin sehr zufrieden mit der Kombination, ist leicht einzurichten und funktioniert sehr stabil ( es sei denn irgendein Klugscheisser fummelt drann rum )
Einzige Negativerlebnisse: Hardware musste schonmal getauscht werden und das war ein ziemlicher Kampf mit dem Support. Regelmaessige unmotivierte Neustarts der Firewall und dann Supportaussagen wie "Begrenzen sie mal die Portgeschwindigkeits des Switches !"
Und der Client reagiert recht empfindlich wenn die MTU nicht korrekt eingestellt ist.
)Einzige Negativerlebnisse: Hardware musste schonmal getauscht werden und das war ein ziemlicher Kampf mit dem Support. Regelmaessige unmotivierte Neustarts der Firewall und dann Supportaussagen wie "Begrenzen sie mal die Portgeschwindigkeits des Switches !"
Und der Client reagiert recht empfindlich wenn die MTU nicht korrekt eingestellt ist.
Die hier auch nicht :
http://www.dooyoo.de/modem-isdn-dsl/shi ... over-plus/
"Alles über die Gottheit Shiva und Einführung in die indische..."
http://www.dooyoo.de/modem-isdn-dsl/shi ... over-plus/
"Alles über die Gottheit Shiva und Einführung in die indische..."