Ich habe ein Windows-Dienstrollen-VPN richtig eingerichtet. Der nächste Schritt ist die Einschränkung des Zugriffs auf das Benutzerkonto der VPN-Sitzung. Einige Ordner sollten vom Client nicht angezeigt werden (z. B. Systemordner, Programmdateien, Benutzerprofile), andere sollten zugelassen werden. Ich habe nicht vor, Active Directory dieses Mal zu verwenden, es ist nicht aktiviert.
Könnte es sein, dass ich alle Ordnerfreigaben und NTFS-Berechtigungen (Registerkarte „Sicherheit“) mit Vollzugriff oder „Ändern für authentifizierte Benutzer“ auswähle, mit Ausnahme derjenigen, denen ich Zugriff auf das Windows-Standardbenutzerkonto für die VPN-Verbindung gewähre. Oder andersherum?
Und die Benutzergruppe aus diesen Ordnern mit Freigabe- und NTFS-Berechtigungen für die Gruppe „Authentifizierte Benutzer“ entfernen?
Antwort1
Vielleicht.
Bitte beachten Sie, dass ohne globale AD-Sicherheit alles, was Sie mit Datei-ACLs zu steuern versuchen, nur auf dem einen Server funktioniert, der VPN implementiert, d. h. ohne AD haben Sie nur LOKALE Konten sowohl für die VPN-Authentifizierung als auch für die DATEI-ACLs, die Sie festlegen möchten.
AD wäre hierfür vielleicht eine Überlegung wert …
Solange es sich bei VPN und Dateiserver also um dieselbe Maschine handelt, können Sie es auf diese Weise angehen, der größte Trick besteht allerdings darin, den Zugriff auf alles zu sperren und erst dann den Zugriff auf das Wenige zu aktivieren, auf das das VPN Zugriff haben soll (d. h. nicht-ACL-Sicherheitseinstellungen wie „Verzeichnisse durchlaufen“ müssen ebenfalls berücksichtigt werden.)
Eine allgemeine Checkliste zur Planung einer solchen PN finden Sie hier: https://technet.microsoft.com/en-us/library/cc725734(v=ws.10).aspx