8
Benutzer mit stark eingeschränkten Rechten zum Programmstart
Hallo,
wie erstelle ich mir am cleversten einen Benutzer für einen Server 2008 SBS, welcher sich über die Terminaldienste anmelden kann, aber im Idealfall nur ein einziges Programm (Branchensoftware) in ihrer Sitzung starten können soll. Sonst sollte der Benutzer keine Daten sehen und verändern dürfen.
Welches Vorgehen bietet sich hierfür an?
wie erstelle ich mir am cleversten einen Benutzer für einen Server 2008 SBS, welcher sich über die Terminaldienste anmelden kann, aber im Idealfall nur ein einziges Programm (Branchensoftware) in ihrer Sitzung starten können soll. Sonst sollte der Benutzer keine Daten sehen und verändern dürfen.
Welches Vorgehen bietet sich hierfür an?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 165653
Url: https://administrator.de/contentid/165653
Printed on: April 20, 2024 at 07:04 o'clock
8 Comments
Latest comment
Hi,
Würde eine GPO konfigurieren und diese so weit es geht voll einschränken. Was nicht über GPO geht kannst du immer noch über Regedit machen. z.B Internet Explorer Icon oder Media Player.
Die Verknüpfung zur Software kannst du dann z.B über vb script kopieren oder einfach mit dem Administrator ins All Users Profile legen.
Was macht der Server? Nur TS oder DC,...?
lg
Würde eine GPO konfigurieren und diese so weit es geht voll einschränken. Was nicht über GPO geht kannst du immer noch über Regedit machen. z.B Internet Explorer Icon oder Media Player.
Die Verknüpfung zur Software kannst du dann z.B über vb script kopieren oder einfach mit dem Administrator ins All Users Profile legen.
Was macht der Server? Nur TS oder DC,...?
lg
Der Server ist der einzige Server und verwaltet auch die Domäne.
Es ist aber auch möglich über den RDP Client eine SOftware zum starten zuzuweisen und anch Beendigung desselben meldet der Rechner sich automatisch ab.
SO habe ich in meinem früheren Arbeisteben das immer mit den WTS-Programmen gemacht, ob der SBS sich da anders verhält , als ein herkömmlicher WTS wiess ich zwar nicht, aber es kann ja sein, dass der nicht fpür Terminalsessions ausgelegt ist (wegen Lizenzen).
Gruß
Carsten
SO habe ich in meinem früheren Arbeisteben das immer mit den WTS-Programmen gemacht, ob der SBS sich da anders verhält , als ein herkömmlicher WTS wiess ich zwar nicht, aber es kann ja sein, dass der nicht fpür Terminalsessions ausgelegt ist (wegen Lizenzen).
Gruß
Carsten
Zitat von @cardisch:
Es ist aber auch möglich über den RDP Client eine SOftware zum starten zuzuweisen und anch Beendigung desselben meldet
der Rechner sich automatisch ab.
SO habe ich in meinem früheren Arbeisteben das immer mit den WTS-Programmen gemacht, ob der SBS sich da anders verhält ,
als ein herkömmlicher WTS wiess ich zwar nicht, aber es kann ja sein, dass der nicht fpür Terminalsessions ausgelegt ist
(wegen Lizenzen).
Es ist aber auch möglich über den RDP Client eine SOftware zum starten zuzuweisen und anch Beendigung desselben meldet
der Rechner sich automatisch ab.
SO habe ich in meinem früheren Arbeisteben das immer mit den WTS-Programmen gemacht, ob der SBS sich da anders verhält ,
als ein herkömmlicher WTS wiess ich zwar nicht, aber es kann ja sein, dass der nicht fpür Terminalsessions ausgelegt ist
(wegen Lizenzen).
Mh... ich wollte darüber das ganze machen und habe im AD bei dem Benutzer, dass entsprechende Programm angegeben, dass es direkt ausgeführt werden soll. Das interessiert den 2008er aber überhaupt nicht, er meldet den Benutzer einfach normal an. zeigt ihm den Desktop mit allen Programmen und auch sonst hat er überall drauf Zugriff. Und das Programm wird auch nicht geöffnet...
Ne Idee wo der Fehler liegt?
Mahlzeit
@elknipso,
auf einem SBS sind nur RDP-Verbindungen für administrative Zwecke erlaubt.
Da der SBS ein DC ist, sind standardmäßig auch nur Anmeldungen von Domänenadmins möglich.
Du musst hier einiges konfigurieren, damit sich dein eingeschränkter User überhaupt am SBS remote anmelden kann.
Die RDP-Datei kann anschließend schon so bearbeitet werden, wie es von Carsten beschrieben wurde. Auch kann man dafür sorgen, dass der Benutzer die Einstellungen nicht verändert.
Aber auch wenn der User mit einem automatisch gestarteten Programm auf dem TS ist, kann er über Tastenkombinationen oder das Kontextmenü der Maus andere Programme öffnen/starten.
Das muss ebenfalls unterbunden werden.
@elknipso,
auf einem SBS sind nur RDP-Verbindungen für administrative Zwecke erlaubt.
Da der SBS ein DC ist, sind standardmäßig auch nur Anmeldungen von Domänenadmins möglich.
Du musst hier einiges konfigurieren, damit sich dein eingeschränkter User überhaupt am SBS remote anmelden kann.
Die RDP-Datei kann anschließend schon so bearbeitet werden, wie es von Carsten beschrieben wurde. Auch kann man dafür sorgen, dass der Benutzer die Einstellungen nicht verändert.
Aber auch wenn der User mit einem automatisch gestarteten Programm auf dem TS ist, kann er über Tastenkombinationen oder das Kontextmenü der Maus andere Programme öffnen/starten.
Das muss ebenfalls unterbunden werden.
Das hat sich wohl gerade mit dem Edit von mir überschnitten 
.
Also generell kann sich der gewünschte Benutzer, nachdem er die Berechtigung dazu per Gruppenrichtlinie bekommen hat (keine Ahnung warum das nicht direkt ging wenn man ihn der Gruppe "Remotebenutzer" hinzufügt...) durchaus anmelden.
Nur leider ignoriert der Server die Anweisung im AD das entsprechende Programm auszuführen und stellt stattdessen den ganz normalen Desktop dar. Wenn das so erreicht wird, dass nur das Programm geöffnet wird und die Verbindung beim schließen des Programmes geschlossen wird wäre das schon ideal. Der Benutzer der auf diesem Weg Zugriff erhält ist auch durchaus zu einem gewissen Grad vertrauenswürdig, also es darf davon ausgegangen werden, dass er nicht irgendwie versuchen wird seine Sperre zu umgehen durch Tastenkombinationen etc. Er soll halt nicht direkt die anderen Daten, Programme usw. sehen können.
.Also generell kann sich der gewünschte Benutzer, nachdem er die Berechtigung dazu per Gruppenrichtlinie bekommen hat (keine Ahnung warum das nicht direkt ging wenn man ihn der Gruppe "Remotebenutzer" hinzufügt...) durchaus anmelden.
Nur leider ignoriert der Server die Anweisung im AD das entsprechende Programm auszuführen und stellt stattdessen den ganz normalen Desktop dar. Wenn das so erreicht wird, dass nur das Programm geöffnet wird und die Verbindung beim schließen des Programmes geschlossen wird wäre das schon ideal. Der Benutzer der auf diesem Weg Zugriff erhält ist auch durchaus zu einem gewissen Grad vertrauenswürdig, also es darf davon ausgegangen werden, dass er nicht irgendwie versuchen wird seine Sperre zu umgehen durch Tastenkombinationen etc. Er soll halt nicht direkt die anderen Daten, Programme usw. sehen können.
Ich bin für weitere Ideen offen .
.
So habs gelöst bekommen, eine Kleinigkeit wurmt mich allerdings noch, ich komm absolut nicht mehr drauf wo sich dieser Punkt versteckt an dem ich einen Punkt in den Gruppenrichtlinien (z.B. das komplette ausblenden des "Alle Programme" Eintrags im Startmenü was es ja als administrative Vorlage gibt) versteckt, mit dem ich diese Anpassung in den Gruppenrichtlinien nur für einen bestimmten Benutzer übernehmen kann.
Helft mir da mal grad bitte jemand auf die Sprünge wo ich den Punkt nochmal finde.
Helft mir da mal grad bitte jemand auf die Sprünge wo ich den Punkt nochmal finde.
