יש לי שרת בארגון שהוא member server שרת sap

אני רוצה לתת למשתמש מרוחק שיתחבר דרך logmein הרשאות לעבוד רק על השרת הנ"ל ולהגביל אותו עד כמה שניתן רק לשרת הנ"ל.

איזה הרשאות אני צריך לתת ליוזר בAD לצורך הנ"ל?

מז"א, תתקין logmein רק על השרת ואז הוא יוכל להתחבר רק לשם.

מה הצורך של ההתחברות לשרת? ברמת העקרון כל עוד אתה לא נותן למשתמש Domain Admin,

באותו שרת המשתמש המקומי לא יוכל לעשות יותר מדי(בעיקר אם הוא Dummy).

אני אישית, לא אוהב logmein. זו מבחינתי פירצת אבטחה, בעיקר לשרתים.

מה רע ב-VPN שמגביל אותו להתחבר רק לשרת ספציפי?(ניתן להגדרה בכל FW נורמאלי,

לפי הרשת משתמש דרך הפיירוול).

מז"א, תתקין logmein רק על השרת ואז הוא יוכל להתחבר רק לשם.

מה הצורך של ההתחברות לשרת? ברמת העקרון כל עוד אתה לא נותן למשתמש Domain Admin,

באותו שרת המשתמש המקומי לא יוכל לעשות יותר מדי(בעיקר אם הוא Dummy).

אני אישית, לא אוהב logmein. זו מבחינתי פירצת אבטחה, בעיקר לשרתים.

מה רע ב-VPN שמגביל אותו להתחבר רק לשרת ספציפי?(ניתן להגדרה בכל FW נורמאלי,

לפי הרשת משתמש דרך הפיירוול).

אם אתה ברשת להשיג יוזר חזק לוקח בערך רבע שעה...

טוב האקר :

אז שיעבוד עם logmein? שזו לא פרצת אבטחה?

כל עוד יודעים להקשיח את זה נכון זה לא, לא להריץ אותו עם הרשאות local system, ולא לתת ליוזר הרשאות מעבר להתחברות לרשת, והרשאה נקודתית למשהו שהוא צריך. וכן אתה חושב שקשה להשיג היום דומיין אדמין? ואני לא מדבר על שטויות כמו NTLM Auth DG שעדיין כמעט לא ראיתי שום מקום שבו מוגדרת מדיניות של Refuse LM/NTLMv1(ועד כמה שזה עצוב בד"כ הDC הכי פריץ לזה) שמאפשר לך בקלות לחייב אנשים להתאמת מול ה-DC בצורה לא מאובטחת, ברמה שאפשר להסניף את הHASH בשניות ולהוציא את הסיסמא(תמצא Session קיים מול שרת, תעשה לו reset תיישם auth downgrade וחכה לאימות מחדש).

ב-99.9% מהארגונים אתה תמצא על איזשהו שרת Sched Task שרץ כDomain Admin שמריץ איזשהו סקריפט שכוח אל שהרשאות הכתיבה אליו הם Everyone.. תוסיף לסקריפט כל פקודת DS שאתה רוצה וסע...

vpn לשרת לא אפשרי כי זה יוצר לנו בעיות עם הsap (הם אומרים שזה באג ידוע)

יש לנו fw של juniper בתמיכה של בזק והם רוצים כסף עבור כל משתמש vpn (אם הבנתי נכון הNetScreen-Remote VPN Client של juniper עולה כסף?!)

איזה הרשאות אני צריך לתת ליוזר בAD לצורך הנ"ל?

למה ליצור משתמש ב-AD אתה יכול ליצור לו משתמש על המכונה הלוקאלית... (ניהול משתמשים של המכונה NTLM )

למה ליצור משתמש ב-AD אתה יכול ליצור לו משתמש על המכונה הלוקאלית... (ניהול משתמשים של המכונה NTLM )

לא ניתן במכונה שהיא DC

יש לי שרת בארגון שהוא member server שרת sap

אז בא ונחליט מהו השרת

vpn לשרת לא אפשרי כי זה יוצר לנו בעיות עם הsap (הם אומרים שזה באג ידוע)

יש לנו fw של juniper בתמיכה של בזק והם רוצים כסף עבור כל משתמש vpn (אם הבנתי נכון הNetScreen-Remote VPN Client של juniper עולה כסף?!)

עולה לך Seat, תבדוק כמה משתמשים קיבלת עם הרשיון שלך(אם בכלל).

לא מבין למה Point to Point VPN ברשת עצמו יעשה לך בעיות(הבעיה הגדולה היא שאם זה לא 2K8 הVPN דיי לא מאובטח).

עולה לך Seat, תבדוק כמה משתמשים קיבלת עם הרשיון שלך(אם בכלל).

לא מבין למה Point to Point VPN ברשת עצמו יעשה לך בעיות(הבעיה הגדולה היא שאם זה לא 2K8 הVPN דיי לא מאובטח).

סליחה על הבורות אבל מה זה seat?

vpn p2p יוצר בעיות כבר ניסיתי וזה ממש מפיל תSAP זו בעיה ידועה אצלם

שוב פעם בלי להעליב אבל שום אין בעיה עם SAP וVPN, רוב ההטמעות של SAP משתמשות ב-VPN על מנת להתחבר לרשת אם זה להשתמש בקליינט המלא, או באם זה לקבל גישה בשביל שרת הWEBC. שום דבר לא מפיל SAP, בטח שלא משהו שלא קשור בכלל למערכת עצמה, זה שאתה ככל הנראה יוצר בעיות בתקשורת "שמפילות" את שרת ה-SAP בצורה כלשהי זה משהו אחר. להגיד שSAP לא תומך ב-VPN זה כמו להגיד שOFFICE לא תומך ב-VPN אין להם שום קשר ברמה המדוברת ל-VPN ולא אכפת להם איך אתה מגיע לשרת.