Zugriff für bestimmte Benutzer

23/12/2008 - 23:36 von Martin Meyer | Report spam
Hallo,

ich möchte auf einem ISA Server (2006 Standard auf W2K3 Standard) bestimmte
Funktionen nur für ausgewàhlte Benutzer freigeben. Genauer gesagt:

Der Zugriff auf die CTI-Software der Telefonanlage soll nur für bestimmte
Benutzer erlaubt sein, die sich an allen zur Domàne zugehörigen
Arbeitsstationen anmelden können. Dies scheint gemàß erstem Test mit einer
nutzerspezifischen Einschrànkung (Benutzer A + B + C anstelle von "Alle
Benutzer") möglich zu sein.

Zusàtzlich soll ein Zugriff mit "privaten Laptops" auf bestimmte Server
möglich sein. Diese sind nicht Mitglied der Domàne. Testweise habe ich die
gesamte Active Directory Regel für meinen Laptop mit freigegeben - ein
Zugriff war sofort möglich. Die Anmeldedaten (Benutzername und Kennwort sind
gleich). Eine nutzerspezifische Einschrànkung scheint in diesem Fall trotz
installiertem Firewallclient nicht möglich zu sein. IP-basierte Regeln will
ich keinesfalls einsetzen.

Eine Idee, wie ich das Vorhaben am elegantesten umsetzen kann?

Danke und frohe Festtage,

Martin
 

Lesen sie die antworten

#1 Jens Mander
24/12/2008 - 00:31 | Warnen spam
hai martin,

Der Zugriff auf die CTI-Software der Telefonanlage soll nur für bestimmte
Benutzer erlaubt sein, die sich an allen zur Domàne zugehörigen
Arbeitsstationen anmelden können. Dies scheint gemàß erstem Test mit einer
nutzerspezifischen Einschrànkung (Benutzer A + B + C anstelle von "Alle
Benutzer") möglich zu sein.



genau, je nachdem wie der zugriff auf dein cti funktioniert (sprich welches
protkoll dort genau verwendet wird), realisierst du die mit webproxyclients
oder firewallclients.

Zusàtzlich soll ein Zugriff mit "privaten Laptops" auf bestimmte Server
möglich sein. Diese sind nicht Mitglied der Domàne. Testweise habe ich die
gesamte Active Directory Regel für meinen Laptop mit freigegeben - ein
Zugriff war sofort möglich. Die Anmeldedaten (Benutzername und Kennwort
sind gleich). Eine nutzerspezifische Einschrànkung scheint in diesem Fall
trotz installiertem Firewallclient nicht möglich zu sein. IP-basierte
Regeln will ich keinesfalls einsetzen.



die firewallclientsoftware ist meiner meinung nach nur elegant einsetzbar,
wenn deine user auch passend an der domain angemeldet sind. ich kenne sonst
nur "bastellösungen", mit denen du dem firewallclient user-credentials
mitgeben kannst, die aber ab einer bestimmten anzahl sicherlich eher nervig
denn produktiv sind.
möglichkeiten dem fwc authentifizierungsinfos mitzugeben ohne
domànenmitglied zu sein (zumindest die ich kenne, vielleicht gibts noch
andere) wàren: impersonation, fwcred.exe (funzt die überhaupt noch? lang
ists her) und control userpasswords2.

dann hàttest du noch die ip-basierten regeln, aber da gibts halt kein
userbasiertes regelwerk (secure-nat-client).

vielleicht hat einer der hochgeschàtzten kollegen noch eine idee?

gruss, jens mander...
www.aixperts.de
www.hentrup.net
|<-|

Ähnliche fragen