Die Zugriffskontrolle ist ein zusätzlicher Sicherheitsmechanismus von NetMan Desktop Manager. Sie verwenden die Zugriffskontrolle, wenn eine explizite Anmeldung am System nicht erfolgt oder nicht erwünscht ist, z.B. bei anonymisiertem Zugriff über anonyme Benutzer. Mit der Zugriffskontrolle definieren Sie, welche Gruppen auf NetMan Desktop Manager zugreifen dürfen. Die Zugriffskontrolle gilt entweder für definierte Gruppen, oder für alle Benutzer und Gruppen, die nicht in den definierten Gruppen enthalten sind. Die Zugriffskontrolle regelt den Zugriff auf Basis von AD-Benutzergruppen oder IP-Adressen bzw. DNS-Namen. Für IP-Adressen bzw. DNS- Namen definieren Sie erlaubte und nicht erlaubte Adressen und Bereiche. Für erlaubte IP- und DNS-Bereiche definieren Sie außerdem, unter welchem Benutzernamen zugreifen dürfen. Auf diese Weise definieren Sie komplexe Regelwerke, die unerlaubte Zugriffe verhindern. Die Verwendung der Zugriffskontrolle empfiehlt sich vor allem, wenn Sie anonyme Benutzer verwenden. Denn mit der Zugriffskontrolle haben Sie trotz anonymisierter Anmeldung die Kontrolle, wer sich von wo anmelden darf und wer nicht.
Achten Sie bei der Definition der Gruppen und Zugangsbereiche darauf, dass der Administrator immer Zugriff Ihr NetMan Desktop Manager System hat. Sie können den Start des NetMan Clients auch für den Administrator unterbinden. Damit wäre dann keine Administration von NetMan Desktop Manager mehr möglich!
Nach der Installation ist die Zugriffskontrolle zunächst nicht aktiv. Sie aktivieren und konfigurieren die Zugriffskontrolle in den NetMan Einstellungen in der Sektion NetMan auf der Seite Zugriffskontrolle:
Um die Zugriffskontrolle zu verwenden, aktivieren Sie das Kontrollkästchen Zugriffskontrolle für den NetMan Client aktivieren. Welche Bedeutung die Optionen der Seite im Einzelnen haben, lesen Sie im Kapitel „NetMan Einstellungen/NetMan/Zugriffskontrolle".
Zum Erstellen von IP-Adressbereichen verwenden Sie die CIDR-Notation (z.B. „192.168.0.0/16" statt „192.168.0.0-192.168.255.255").
Im Folgenden lesen Sie zwei Beispiele für die Konfiguration der Zugriffskontrolle:
Beispiel 1
Ein Remotedesktop-Sitzungshost soll Anwendungen einem bestimmten Benutzerkreis zur Verfügung stellen, ohne dass die Benutzer sich an diesem Server anmelden müssen. Es werden deshalb anonyme Benutzer verwendet. Gleichzeitig möchten Sie die IP-Bereiche der zugreifenden Stationen kontrollieren.
Die Zugangskontrolle wird deshalb für die AD-Benutzergruppe „MNAnon" angewendet:
Durch die oben vorgenommene Konfiguration werden die Benutzernamen der anonymen Benutzer (NMANON001, NMANON002 usw.) durch die drei IP-basierten Benutzernamen ersetzt. Diese sind für die Protokollierung der Anwendungen und die Vergabe von Rechten geeigneter, da nun zumindest eine IP- bzw. DNS spezifische Zuordnung der anonymen Benutzer möglich ist. Gleichzeitig können die Benutzer HHIPANON und HHANON normalen Benutzergruppen zugeordnet werden, die bestimmte NetMan Skripte nutzen können.
Werden die Standardregeln (0.0.0.0/0 und ::/0) entfernt, dürfen nur noch Rechner aus den in Regel 1 und 2 genannten Bereichen zugreifen.
Beispiel 2
Benutzer der Active Directory Services (ADS) sollen alle zugreifen dürfen, Benutzer lokaler Konten sollen aber in der Benutzung eingeschränkt sein oder gar nicht zugreifen dürfen. Es wird festgelegt, dass die Zugangskontrolle für die nicht konfigurierten Benutzer gilt, und die ADS-Benutzer werden als konfigurierte Benutzer eingetragen:
Startet nun ein Benutzer eines lokalen NT-Kontos NetMan – z.B. der Benutzer Administrator auf der Station XYZ – wird er nicht als der Benutzer „Administrator" bzw. „XYZ\Administrator" sondern als HHANON identifiziert oder auch – entsprechend seiner IP-Adresse – gänzlich zurückgewiesen.