Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

GPO-Anpassungen im Explorer bei Server 2012R2

Mitglied: Modjo85

Modjo85 (Level 1) - Jetzt verbinden

17.12.2014, aktualisiert 12:08 Uhr, 2427 Aufrufe, 3 Kommentare

Hallo Zusammen,

ich bin momentan dabei Server2012R2 für RD-User so weit, wie es geht einzuschränken, wobei ich gerade beim Explorer an meine Grenzen stoße. Ich hoffe ihr könnt mir bei ein paar Anpassungen helfen, die ich per GPO nicht angepasst bekomme.

1. Explorer-> Datei-> "Eingabeaufforderungen öffnen"<- soll deaktiviert (ausgegraut oder entfernt) werden

2. Explorer-> Datei-> "Windows PowerShell öffnen"<- soll deaktiviert (ausgegraut oder entfernt) werden

b126651b32fa768c00bb04272fd42bbd - Klicke auf das Bild, um es zu vergrößern

3. Explorer-> Klick auf "Dieser PC"-> Verwalten-> "Optimieren"<- soll deaktiviert (ausgegraut oder entfernt) werden (Siehe Anhang Optimieren.jpg)

c4c326a78cf8052e61149e8c37877272 - Klicke auf das Bild, um es zu vergrößern

4. Explorer-> Klick auf "Dieser PC"-> Computer-> "Netzwerkadresse hinzufügen"<- soll deaktiviert (ausgegraut oder entfernt) werden (Siehe Anhang Netzwerkadresse.jpg)

1c465197dca6f737b288eaef57c60568 - Klicke auf das Bild, um es zu vergrößern

An diesen Punkten beiße ich mir echt die Zähne aus. Ich vermute, dass es sich hier im Registry-Einträge konzentiert. Diese kann ich dann aber per GPO ersetzen/erstellen/löschen

Vielen Dank im Voraus

Gruß
Mitglied: SeaStorm
17.12.2014 um 16:05 Uhr
Hi

als erstes: Eine Lösung für die ersten 2 Einstellungen habe ich auch nicht.


Aber ich sehe auch keinen Sinn darin:

1. All diese Einstellungen sind nur Verknüpfungen auf Programme / Befehle, die der User auch anderweitig aufrufen kann.
Wenn, dann müsste man dem User das Recht auf die entsprechenden Programme verbieten.
die CMD bzw Powershell abzustellen dürfte allerdings massive andere Probleme verursachen, da noch sehr viele Programme heimlich die cmd aufrufen um da befehle auszuführen. Natürlich im Benutzerkontext, der aber dann keine Berechtigung dafür hätte.
Auch kann man sich als Admin nicht mal kurz an den Platz hocken und einen befehl absetzen, ohne den User wechseln zu müssen
2. Alles was der User in der cmd oder Powershell macht, würde seinen Berechtigungen unterliegen. Sofern bei euch die Berechtiungen nicht völlig aus dem Ruder laufen, besteht also keine wirkliche Gefahr.
3. Der User kann eh nicht "Optimieren"

Für letzteres gibt es eine GPO. Aber die verhindert nur, das die Option im Explorer angezeigt wird. wenn der User "net use" kennt bekommt er das immer noch hin.
Pfad: Benutzerkonfig/Richtlinien/Administrative Vorlagen/Windows-Komponenten/Datei-Explorer/Optionen "Netlaufwerk verbinden".....
Bitte warten ..
Mitglied: Modjo85
18.12.2014 um 07:56 Uhr
Hallo SeaStorm,

danke für deine Antwort. Der Sinn ist in meinem Fall sehr wohl gegeben, da der RD-User nur per RemoteApp Zugriff auf Office, Datei-Explorer und einer eigenen Branchensoftware Zugriff hat. Da es sich hier Insgesamt um mehrere tausende User handelt, muss ich den Datei-Explorer so weit wie es geht einschränken, damit er gar nicht erst in Versuchung kommt.
Du schreibst, dass der User nicht optimieren kann. Das ist sehr wohl richtig, es kann aber zunächst geöffnet werden und hier werden wieder Informationen vom Laufwerk preisgegeben (Größe etc.) die er nicht unbedingt sehen sollte.
Ich habe die Berechtigung soweit eingeschränkt, dass nur ein Netzlaufwerk und die Laufwerke von tsclient eingesehen werden dürfen. Unter 2008R2 konnte ich den Datei-Explorer noch soweit einschränken, dass hier nur das "gesehen" wird, was auch wirklich nötig ist.
Zu deiner Richtlinie: Die ist bereits gesetzt und hier handelt es sich um die "Netzwerkwerkadresse" und nicht das "Netzlaufwerk". Wie du auf dem Bild sehen kannst (links daneben), ist die Richtlinie bereits gesetzt.
Vielen Dank.

Ich hoffe auf weitere Vorschläge.

Grüße
Bitte warten ..
Mitglied: Logan000
18.12.2014 um 12:20 Uhr
Moin Moin,


Zitat von Modjo85:
1. Explorer-> Datei-> "Eingabeaufforderungen öffnen"<- soll deaktiviert (ausgegraut oder entfernt) werden
Benutzerkongfiguration\Administrative Vorlagen\System\Zugriff auf Eingabeaufforderung verhindern
Hiermit graust du zwar keine Schaltfläche aus, aber die die Ausführung der CMD kannst du hiermit unterbinden.

2. Explorer-> Datei-> "Windows PowerShell öffnen"<- soll deaktiviert (ausgegraut oder entfernt) werden
Die Ausführung von Powershell Skripten kannst Du unter
Benutzerkongfiguration aber auch Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Windows Powershell\Skriptausführung aktivieren
sehr genau einstellen oder deaktivieren.
Damit wird allerdings nicht unterbunden das die Powershell Konsole geöffnet werden kann bzw. dort Cmdlets ausgeführt werden.
Dazu müste man wohl den Anwendern die Ausführenrechte an der powershell.exe nehmen.

3. Explorer-> Klick auf "Dieser PC"-> Verwalten-> "Optimieren"<- soll deaktiviert (ausgegraut oder
entfernt) werden
Ich kenne keinen Weg diesen Punkt auszublenden bzw. zu dekativieren.
Wie Sea Storm schon schrieb erfodert dies eh höhere Rechte. Unkritisch.
Informationen übers Laufwerk liefert auch Rechtklick Eigenschaften.

4. Explorer-> Klick auf "Dieser PC"-> Computer-> "Netzwerkadresse hinzufügen"<- soll
deaktiviert (ausgegraut oder entfernt) werden (Siehe Anhang Netzwerkadresse.jpg)
Ich kenne nur den (Um)Weg über die Registry:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
"WebView"=dword:00000001
Dieser Schlüssel sollte den Punkt deaktivieren.

Gruß L.
Bitte warten ..
Ähnliche Inhalte
Windows Server

Windows Server 2012R2 Explorer über GPO einstellen

Frage von xanacasWindows Server

Hallo Leute, Ich würde gern den "Computer" (also den Explorer) für meine Benutzer richtig einstellen. Folgendes Szenario: Meine Benutzer ...

Windows Server

Server 2012R2 GPO Laufwerksmapping klappt nicht

Frage von christeWindows Server5 Kommentare

Hallo Gemeinde. ich bin langsam echt am verzweifeln und habe lange überlegt mich hier anzumelden. Weder dieses Forum oder ...

Webbrowser

Persönliche Anpassung IE 10 trotz GPO

Frage von knomusWebbrowser4 Kommentare

Hallo, ich habe den IE 10 auf allen PCs installiert. Dafür gibt es eine Gruppenrichtline. Jetzt möchte ich, das ...

Windows Server

Neuen Windows Server 2012R2 GPO nicht vorhanden

gelöst Frage von itnetz24Windows Server3 Kommentare

Hallo, habe folgendes Problem nach Migration von unserem DC (2012) nach Windows Server 2012R2. Problem ist das die neuen ...

Neue Wissensbeiträge
Humor (lol)
IoT-Gefahr: Smartes Aquarium leckt!
Information von Lochkartenstanzer vor 18 StundenHumor (lol)3 Kommentare

Moin, Die IoT-Manie hat weitere Opfer gefunden. Ein Casino-Leck durch ein smartes Aquarium: Allerdings haben sie kein Wasser, sondern ...

Router & Routing

Alte Fritzbox 7270 mit VPN und SIP-Telefonie hinter O2 Homebox 6641 als "Modem"

Erfahrungsbericht von the-buccaneer vor 1 TagRouter & Routing3 Kommentare

Nun war es soweit: Auch O2 hat mich mit VOIP zwangsbeglückt. Heute am Privatanschluss, in 2 Wochen ist das ...

Sicherheit

Ungepatchte Remote Code Execution-Lücke in LG NAS

Information von kgborn vor 1 TagSicherheit

Nutzt wer LG NAS-Einheiten? In den NAS-Einheiten der LG Network Storage-Einheiten gibt es eine sehr unschöne Schwachstelle, die einen ...

Windows Update

Neue Version KB4099950 NIC Einstellungen gehen verloren

Information von sabines vor 1 TagWindows Update2 Kommentare

Es ist eine neue Version des KB4099950 verfügbar, die das Problem mit den verlorenen Netzwerkeinstellungen lösen soll. Das Datum ...

Heiß diskutierte Inhalte
Sicherheit
Verbindliche Zustellung per E-Mail?
Frage von ahussainSicherheit18 Kommentare

Hallo allerseits, ein Kunde von mir nutzt intensiv Fax. Hauptgrund: zusammen mit einer Empfangsbestätigung ist eine verbindliche Zustellung gewährleistet. ...

Sonstige Systeme
Wie Normenkataloge im Unternehmen bereit stellen?
Frage von MuzzepuckelSonstige Systeme14 Kommentare

Hallo Kollegen, ich lese schon lange hier mit, nun mein ersrer Beitrag, bzw. Frage. :-) Wir benötigen für unsere ...

Linux Netzwerk
Raspberry Pi 3: WLAN Power save deaktivieren
Frage von nordie92Linux Netzwerk13 Kommentare

Moin moin, mein Raspberry Pi 3 Model B benötigt eine dauerhaft aktive WLAN-Verbindung. Leider bricht die WLAN-Verbindung nach einigen ...

SAN, NAS, DAS
Entscheidung SAN Dell oder HP
Frage von VincorSAN, NAS, DAS13 Kommentare

Hallo, wir wollen uns für unsere Hyper V Umgebung eine neue SAN Anschaffen. Es laufen 30 VM's darunter, DC; ...