Homeoffice mit Remotedesktop und VPN einrichten

In Zeiten des Corona Virus bekomme ich sehr oft die Anfrage Homeoffices einzurichten. Da teilweise jedoch Anwendungen genutzt werden, welche nicht über eine VPN Verbindung genutzt werden können richte ich gerne auf einem bestehenden Homerechner ein VPN mit einer RDP Verbindung auf dem Arbeitsplatz PC ein.

Lösungen wie Terminalserver oder VDI sind oft zu kostspielig (Windows Serverlizenz, RDP Lizenzen und vor allem die Officelizenzen) um nur temporär zur Verfügung gestellt zu werden.

Als Voraussetzungen wird eine adequate Internetanbindung (Up- UND Download beachten!) und ein VPN Gateway. Ich verwende oft Sophos UTM Gateway, es wäre aber auch eine temporäre Lösung mit einem Raspi als SSL Gateway möglich.

Bei den VPNs richte ich es so ein, das ein ggf. bestehendes VPN nur noch die bisherigen User komplett ins gesamte LAN lassen (VPN Pool Zugriff auf das LAN umstellen auf eine Gruppe der bisherigen User) und die neue SSL Gruppe bekommt kein Autopacketfilter und nur den RDP-/DNS-Zugriff erlaubt auf das LAN.

Das vorgehen teilt sich in folgende Bereiche ein:

  • Gruppenrichlinienkonfiguration (Konfiguration der Arbeitplatzrechner)
  • Firewallkonfiguration
  • Konfiguration der Heimarbeitsplätze
  • Austeilen eines Infohandouts

Gruppenrichtlinienkonfiguration:

Die Rechner müssen permanent eingeschaltet bleiben, Firewallausnahmen definiert werden und RDP aktiviert mit entsprechender Userberechtigung.

Ich erstelle im dsa.msc in den OU’s der Workstations eine Unter-OU mit dem Namen HOMEOFFICES-RDP-ONLY und verschiebe die Rechner die per Remote genutzt werden in diese Gruppe.

Dann erstelle ich in der Gruppenrichtlinienverwaltung eine neue Gruppenrichtlinie HOMEOFFICES-RDP-ONLY und verlinke diese mit der neuen OU.

Die Gruppenrichtlinie enthält folgende Einstellungen:

Computerkonfiguration > Richtlinien > Administrative Vorlagen: Vom lokalen Computer abgerufene Richtliniendefinitionen (ADMX) > Windows-Komponenten > Remotedesktopdienste > Remotedesktopsitzungs-Host > Verbindungen > „Remoteverbindungen für Benutzer mithilfe der Remotedesktopdienste zulassen“ öffnen und den Punkt auf „Aktiviert“ setzen. 
Computerkonfiguration > Richtlinien > Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Zuweisen von Benutzerrechten > Anmelden über Remotedesktopdienste zulassen (Anmelden über Terminaldienste zulassen) öffnen, bei „Diese Richtlinieneinstellungen definieren“ ein Haken rein und via dem Button „Benutzer oder Gruppe hinzufügen …“ die Benutzer bzw. Gruppen hinzufügen (ich verwende die Gruppe Domänen-Benutzer). 
Computerkonfiguration > Richtlinien > Administrative Vorlagen: Vom lokalen Computer abgerufene Richtliniendefinitionen (ADMX) > Netzwerk > Netzwerkverbindungen > Windows-Firewall > Domänenprofil > Windows Firewall: Eingehende Remotedesktopausnahmen zulassen > Aktiviert - * eingeben.
Computerkonfiguration > Einstellungen > Systemsteuerungseinstellungen > Lokale Benutzer und Gruppen > Neu > Lokale Gruppe > Aktualisieren (Empfohlen) > Gruppenname: Remotedesktopbenutzer (integiert) auswählen > unten auf „Hinzufügen…“ klicken und die Benutzer/Gruppe auswählen (auch hier verwende ich die Gruppe Domänen-Benutzer).
Computerkonfiguration > Administrative Vorlagen > System > Energieverwaltung > Aktivierten Energiesparplan auswählen > Aktiviert - Höchstleistung

Firewallkonfiguration:

Folgt noch …

Infoblatt:

Sie können diese Vorlage verwenden und entsprechend anpassen.

Weitere Infos: