2
TS User verbieten lokale Programme auszuführen
Hallo,
wir haben 2 Terminalserver bei denen die lokalen Laufwerke der User gemappt werden. Wir ermöglichen den Usern, dass Sie Dateien auf Ihrem lokalen PC speichern. In die andere Richtung möchte ich dies jedoch verbieten. Der User darf keine Dateien über die lokalen Laufwerke auf den Terminalserver kopieren bzw. ausführen.
Kann ich das per Richtlinie verwalten?
Gruß Jan
wir haben 2 Terminalserver bei denen die lokalen Laufwerke der User gemappt werden. Wir ermöglichen den Usern, dass Sie Dateien auf Ihrem lokalen PC speichern. In die andere Richtung möchte ich dies jedoch verbieten. Der User darf keine Dateien über die lokalen Laufwerke auf den Terminalserver kopieren bzw. ausführen.
Kann ich das per Richtlinie verwalten?
Gruß Jan
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 203991
Url: https://administrator.de/contentid/203991
Printed on: April 25, 2024 at 23:04 o'clock
2 Comments
Latest comment
Hallo,
da gibts eine Richtlinie:
Benutzerkonfiguration -> Richtlinien -> Administrative Vorlagen -> Windows-Komponenten -> Datei-Explorer:
Zugriff auf Laufwerke vom Arbeitsplatz nicht zulassen.
Diese Richtlinie ist sehr ungenau. Ggf. hilft die ein Zusatztool weiter:
http://www.hidecalc.co.uk/
Hiermit kannst du eine ADM bzw. ADMX-Vorlage erstellen, in der expliziete Laufwerke verborgen bzw. verboten werden können.
Gruß,
Florian
da gibts eine Richtlinie:
Benutzerkonfiguration -> Richtlinien -> Administrative Vorlagen -> Windows-Komponenten -> Datei-Explorer:
Zugriff auf Laufwerke vom Arbeitsplatz nicht zulassen.
Diese Richtlinie ist sehr ungenau. Ggf. hilft die ein Zusatztool weiter:
http://www.hidecalc.co.uk/
Hiermit kannst du eine ADM bzw. ADMX-Vorlage erstellen, in der expliziete Laufwerke verborgen bzw. verboten werden können.
Gruß,
Florian
Hallo Florian und Jan.
Ausblenden von Laufwerken ist Käse - es ist hier nicht passend und war nie als Sicherheitsfunktion gedacht - man kann auch auf ausgeblendete LWs stets per Kommandozeile usw. zugreifen, ebenso durch bloßes Eingeben von c: in die Adresszeile - unbrauchbar als Schutz.
Deine Anforderung ist einfach gelöst: Du kannst Über applocker/Software restriction policies Pfade angeben, die der Nutzer danach nicht mehr nutzen kann, um bestimmte Dateitypen auszuführen - die Lust auf Kopieren wird ihm schnell vergehen, wenn das alle Pfade betrifft, auf die er speichern kann.
Ein weiterer Ansatz wäre, den TS mit einer Transferfreigabe auszustatten, die vom Client aus nicht beschreibbar ist, nur vom Server, haben wir so umgesetzt. Dann muss man aber noch einiges mehr verbieten, inklusive RDP-Zwischenablage, Mails und Internet am TS.
Ausblenden von Laufwerken ist Käse - es ist hier nicht passend und war nie als Sicherheitsfunktion gedacht - man kann auch auf ausgeblendete LWs stets per Kommandozeile usw. zugreifen, ebenso durch bloßes Eingeben von c: in die Adresszeile - unbrauchbar als Schutz.
Deine Anforderung ist einfach gelöst: Du kannst Über applocker/Software restriction policies Pfade angeben, die der Nutzer danach nicht mehr nutzen kann, um bestimmte Dateitypen auszuführen - die Lust auf Kopieren wird ihm schnell vergehen, wenn das alle Pfade betrifft, auf die er speichern kann.
Ein weiterer Ansatz wäre, den TS mit einer Transferfreigabe auszustatten, die vom Client aus nicht beschreibbar ist, nur vom Server, haben wir so umgesetzt. Dann muss man aber noch einiges mehr verbieten, inklusive RDP-Zwischenablage, Mails und Internet am TS.
