Windows Server 2003: Einschränkungen für Externe Dienstleister

[Zwerg82]

Hallo zusammen,

ich habe ein kleines Problem.

Folgendes Szenario:

Ein externer Dienstleister soll mittels VPN auf Server im Intranet zugreifen können.

Um seine Arbeit erledigen zu können braucht dieser lokale Administrationsrechte.

Dadurch wäre es Ihm möglich, mit etwas Know-How, auf andere Server im Intranet zuzugreifen.

Da es sich um eine Produktivumgebung handelt, kann ich nicht alle Server mal schnell in ne DMZ stellen und somit das Server-Hopping unterbinden.

Hat jemand eine Idee wie man sowas geschickt lösen kann?

Bin für jeden Lösungsansatz dankbar.

[DocInfra]

Er soll dir detailliert sagen welche Rechte er braucht. Ansonsten verpass ihm einen lokalen Benutzer, der Mitglied der lokalen Administratorengruppe ist.

[Thanks-and-Goodbye]

Zudem kann man einem User auch die Einschränkung "anmelden nur an folgenden Arbeitsstationen / Servern" verpassen.

[Zwerg82]

Erstmal danke für die Antworten.

Die Benutzer sind in der lokalen Adminstrationsgruppe.

Sie müssen auf den Servern Software installieren können.

Diese lokalen Kennungen sind sowieso nur auf den zu administrierenden Servern eingerichtet.

Trotzdem können sie sich mit ein bisschen Geschick, Passwörter erspähen und sich via Remote Desktop oder ähnlichen Tools auf anderen Servern einloggen.

[DocInfra]

Also wenn du denen so wenig traust, lass sie besser gar nicht erst remote auf die Maschine.

[Zwerg82]

Es liegt nicht daran, dass ich Ihnen nicht traue.

Es ist eine Anforderung unserer Sicherheitsleute dass wir das Server Hopping unterbinden müssen.

Deshalb kam der Vorschlag mit einem Firewall-Konzept.

Da dieses aber Kosten im 6 Stelligen Bereich verursachen würde, suche ich nach möglichen Alternativen.