Terminal Server' a Dışardan Bağlanmayı Engellemek

Tam olarak anlamamkla birlikte modemden NAT ı kapatırsanız dışarıdan bağlanamazlar.

Tam olarak anlamamkla birlikte modemden NAT ı kapatırsanız dışarıdan bağlanamazlar.

Sinan Bey,

Merkezime bağlı şubelerimde, Terminal server' ıma bağlanan Uzak masaüstü kullanıcılarım var. Bu kullanıcıların kendilerine özel kullanıcı adı ve parola ları mevcut. Bu kullanıcıların Ofis dışında hiç bir yerden terminal server' a bağlantı yapmalarını istemiyorum. Static ip çözümünü düşünmüştüm fakat şubelerimden bazıları statik ıp veremeyeceğim yerlerden bağlantı kuruyorlar.

Teşekkürler,

Merhaba,

Kullanıcı bazlı sınırlandırma getirmek istiyorsanız.

• Active Directory User and Computers açın


• İlgili user ın propertiesini açın


• Terminal Services profile tabından Deny this user permission to logon to any Terminal server ın yanındaki işareti tıklayın ve aktif edin.

Keyifli çalışmalar

 

Merhaba,

Kullanıcı bazlı sınırlandırma getirmek istiyorsanız.

• Active Directory User and Computers açın


• İlgili user ın propertiesini açın


• Terminal Services profile tabından Deny this user permission to logon to any Terminal server ın yanındaki işareti tıklayın ve aktif edin.

Keyifli çalışmalar

 

Ama bunu yaptığımda hiç bağlanamayacak ben örneğin evindeki bilgisayarından bağlanmasın istiyorum. Yani ofis' de kullanabilsin ama ofis dışında bağlanamasın .böyle bir englleme mevcutmudur.

merhabalar

eğer tüm kullanıcılar şirket dışından bağlanamasın istiyorsanız  dışarıya 3389 portunu kapatırsınız.

sadece belli kullanıcılar bağlanamasın istiyorsanız eğer kullanıcılara çalışma saati belirleyebilirsiniz veya  uzak masaüstü yapacak kullanıcıların vpn ile terminal servera erişmelerini sağlayabilirsiniz.

iyi çalışmalar 

Merhabalar,

 

biraz araştırma yaptıktan sonra vbscript kullanarak bağlanan kullanıcıların ip adresini öğrenerek eğer sizin ip bloğunuza uygun değilse kullanıcıyı logoff edebiliyormuşuz.

kullanılan toolun kötü bir özelliği var bağlanan makinenin local ip adresini gösteriyor. 🙁 firmaya durumu ilettim ama değiştirirler mi bilemiyorum. Ama toolu kullanarak şöyle yapabilirsiniz örneğin sizin terminal sunucunuzun bulunduğu ip bloğu 10.0.5.xx   gibi bir bloksa. 10.0.5 ile başlamıyorsa kullanıcıyı logoff edebilirsiniz.    kullanıcının local ip adresi genelde 10.0.0.x / 192.168.1.x/192.168.2.x  şeklinde (standart adsl modemlerin dağıtımı, en çok kullanılan bloklar bunlar.)  

 

Toolu  http://www.ctrl-alt-del.com.au/CAD_Utils.htm   adresinden indirebilirsiniz. adı GETTSCIP  

kontrol etmek istediğiniz kullanıcıların logon scriptine

 Mantığı: Kullanıcının belgelerim klasörüne k.adı.txt isimli bi dosyaya GETTSCIP ile bağlanan kullanıcının ip adresini kayıt ettiriyoruz. Sonra programın verdiği çıktıdan (WTSClientAddress: 192.168.2.51) ip adresini ve adresin ilk 7 karakterini alıyoruz. Sonra bizim ip bloğumuz ile karşılaştırıyoruz tutmuyorsa kullanıcı logoff oluyor.

 

 

Set oShell = Wscript.CreateObject("Wscript.Shell")

kullanici = oShell.ExpandEnvironmentStrings("%USERNAME%")

masaustu = oShell.SpecialFolders("MyDocuments")

tamyol= """" &  masaustu & "\" & kullanici &  ".txt" & """"

komut = "cmd /K ipal.exe > " & tamyol &  " & exit"

oShell.run (komut)

tamyol2=masaustu & "\" & kullanici &  ".txt"

Set objFSO = CreateObject("Scripting.FileSystemObject")

Set objFile = objFSO.OpenTextFile(tamyol2, ForReading)

Const ForReading = 1

ip=objFile.ReadLine

Dim arrFileLines()

objFile.Close

MyArray = Split(ip, ": ", -1, 1) 

ip=MyArray(1) 

ip=Mid(ip, 1, 7)

if ip = "10.0.5." then

msgbox "Localden geliyor" 

else
oShell.run ("logoff")

end if 

 

belki başka çözümlerde vardır. 
umarım işinizi görür.

İyi çalışmalar. 

 

 

Bu bahsettiğiniz local deki user lar için geçerli ama.

nasıl local deki userlar için geçerli sorunuzu anlamadım? uzaktan bağlanan kullanıcılar içinde geçerli ancak tek kötü yanı uzaktan bağlanan kullanıcınında local ip adresini veriyor. Firmadan gelen yanı Citrix üzerinde uzaktan gelenlerin ip adresleri alınabiliyormuş TS üzerinde ise bağlı olanların sadece local adresleri.

Bu arada   GETTSCIP.zip dosyası içerisinden çıkan GETTSCIP.exe dosyasını ben terminal server üzerinde system32 klasörü altına ipal.exe olarak attım. Siz işlemleri kendinize göre değiştirebilirsiniz.

birde dosyanın oluşmasını biraz beklemek için bu iki satırın arasına  WScript.Sleep 1000  eklerseniz dosyanın oluşmasını beklemiş olarak daha sağlıklı script elde edilir. 

oShell.run (komut)

tamyol2=masaustu & "\" & kullanici &  ".txt" 

Bu arada ekleme yapayım.

 

Eğer illa kullanıcı dışarıdan bağlanamasın diyorsanız localde bağlandığı ip adresi sabit ise eğer

örneğin localde 192.168.2.68 nolu ip ile bağlanıyorsa. scriptteki 7 karakteri değil tüm ip adresini alırsınız if karşılaştırmasına öyle koyarsınız.

yani kullanıcı diyelim internet kafeye gitti ve rdp ile bağlandı sunucuya kullanıcının internet kafedeki makinesinin local ip adresinin de 192.168.2.68 olması gerekli scripten geçebilmesi için

böyle birşey milyonda bir ihtimal bence. illa engellemekse script ile bunu yapabilirsiniz.

iyi çalışmalar. 

şubelerden bağlanırken interneti mi kullanıyorlar yoksa noktadan noktaya devre mi var? noktadan noktaya devre üzerinden geliyorlarsa 3389 portunu nete kapat olsun bitsin. anlamadığım bir diğer konu evden bağlanmalarını istememe sebebin ne? kullanıcılar server masa üstüne mi log on oluyorlar? doğrusu genelde heryerden bağlanabileyim şeklinde istekler gelir:)

şubelerden bağlanırken interneti mi kullanıyorlar yoksa noktadan noktaya devre mi var?

10 ŞUBE NET ÜZERİNDE 2 ŞUBE NOKTADAN NOKTAYA. BI İKİ BÜYÜK ŞUBE YÜZÜNDEN BU OLAMİCAK 🙂

noktadan noktaya devre üzerinden geliyorlarsa 3389 portunu nete kapat olsun bitsin. anlamadığım bir diğer konu evden bağlanmalarını istememe sebebin ne?

PATRON ÖLE İSTER 🙂

kullanıcılar server masa üstüne mi log on oluyorlar?

EVET.

doğrusu genelde heryerden bağlanabileyim şeklinde istekler gelir:)

 

MÜDÜR LER VE GENEL MÜDÜR YARDIMCILARI İÇİN KESİNLİKLE 🙂

 

İlgin için teşekkürler.  🙂

masa üstüne log on oldukları için free zamanlarda kullanmalarını istemiyorsun... peki kullanıcılar bağlandığında nasıl bir uygulamayı kullanıyor? bu uygulamayı AD de environmentin'e yazıp masaüstünü görmeden çalışmasını denedin mi? bu durumda nerden bağlanırsa bağlansın sadece senin programın çalışacak dolayısı ile risk ortadan kalkacak. yada bağlandığında kullandığı uygulamanın içerisinden bir takım permissionlar yapılabilir fakat uygulamanın ne olduğuna bağlı... bir diğer yöntem birkaç policiy ile kullanıcı bağlandığında bazı yetkileri elinden alınabilir örneğin start butonu kaldırılabilir yerel sürücüleri görmesi engellenebilir... internetten gelen istekler direk modeme mi geliyor yoksa cisco asa gibi bir fw'a mı geliyor? fw'a geliyorsa sadece bu ipden/iplerden gelen isteklere izin ver diyebilirsin... şeklinde uzar gider:) sadece sesli düşünüyorum 🙂

bence bunların hepsi yada birkaçı çözüm olabilir senin senaryona bağlı

kolay gelsin

Sana iki seçenek sunayım, Her ikisi de makbul bence.

1. Bağlanmasını istemediğin kullanıcılar için, Terminal server bağlantısı için saat sınırlaması koy. (AD'de ilgili kullanıcıyı sağ tıkla, HESAP tabında Oturum açma  saatlerinde mesela mesai saatlerini işaretle.Mesai saati dışında, kullanıcı nerde olursa olsun bağlanamayacaktır.)

2. Firewall'unuz varsa, dışarıdan gelecek bağlantıların uzaktan erişim portunu, başka bir porta yönlendir. (ben kullanıyorum)

Portu sadece sen bileceğin için, dışarıdan sadece sen bağlanabileceksin.

Şubelerin için de ayrı port yönlendirmesi yaparsın, böylece istediğin zaman, şubelerin erişimini de kapatabilirsin.

Kolay gelsin