0
Remotedesktop- und Terminalserverbenutzern Startmenü-Einträge verweigern
Wie verweigere ich RDB und TS-Usern das Startmenu und den Zugriff auf Verzeichnisse?
Hallo TS-Crackz!
Folgendes Szenario habe ich hier:
Auf unserem Win2K3-Server mit ADS, der DC ist, sollen blöderweise zwei authentifizierte Benutzer zugreifen, weil sich die Anwendung nur mit Riesenaufwand verschieben lässt. Der TS und TS-Zugriff per Remotedesktopverbindung steht und funktioniert für die beiden Nutzer gut.
Nun aber leider steht dem TS-Benutzer auch das gefüllte Startmenu, die Systempartition und die Systemsteuerung, verwaltung usw. zur Verfügung. Das its natürlich ein No-Go.
Ändere ich die Gruppenrichtlinie wirkt sich das natürlich auch auf mich als Admin aus. Ich möchte aber nur den Nutzer aussperren bzw. explizit einige Startmenueinträge aus-X-en können.
Jetzt habe ich bei Gruppenrichtlinie.de http://www.gruppenrichtlinien.de/How...nal_Server.htm Anleitung gefunden. Das Prinzip ist mir auch klar, aber ab ...
Zitat:
Wie verhindert man die Auswirkung des Loopbackverarbeitungsmodus auf den Administrator?
· Ein Problem, des LBVM ist, daß er sich auf alle Benutzer auswirkt, die sich am Server anmelden, also auch auf den Administrator. Aus diesem Grunde sollte/muss man an dieser eigenen Richtlinie für TerminalServer mit den Sicherheitsberechtigungen arbeiten.
· Man erstellt eine eigene Sicherheitsgruppe für die Terminal-Server Benutzer (Bsp. TerminalServer User)
· In den Sicherheitseinstellungen der Richtlinie entfernt man die Gruppe "Authentifizierte Benutzer", den zu dieser gehören auch die Administratoren, es sind nun mal alle die sich in der Domäne "authentifiziert" haben.
· Man fügt die Sicherheitsgruppe "TerminalServer User" und den TerminalServer als Computerkonto hinzu und gibt ihnen das Recht "Lesen" und "Gruppenrichtlinien übernehmen", somit ist sichergestellt, daß nur Mitglieder der Gruppe Term-User die Richtlininie übernehmen können.
· Den Administratoren und dem System wird die Übernahme der Gruppenrichtlinie entfernt. Usw ...
... komme ich nicht weiter. Erstelle ich eine Sicherheitsgruppe, habe ich mehr Reiter zur Verfügung, aber unter Sicherheit keine Einstellung für Übernahme der Gruppenrichtlinie.
Hat jemand da eine etwas detailliertere Anleitung zur Hand oder kann mir sagen, wie es besser geht?
Danke für Hilfe!
Folgendes Szenario habe ich hier:
Auf unserem Win2K3-Server mit ADS, der DC ist, sollen blöderweise zwei authentifizierte Benutzer zugreifen, weil sich die Anwendung nur mit Riesenaufwand verschieben lässt. Der TS und TS-Zugriff per Remotedesktopverbindung steht und funktioniert für die beiden Nutzer gut.
Nun aber leider steht dem TS-Benutzer auch das gefüllte Startmenu, die Systempartition und die Systemsteuerung, verwaltung usw. zur Verfügung. Das its natürlich ein No-Go.
Ändere ich die Gruppenrichtlinie wirkt sich das natürlich auch auf mich als Admin aus. Ich möchte aber nur den Nutzer aussperren bzw. explizit einige Startmenueinträge aus-X-en können.
Jetzt habe ich bei Gruppenrichtlinie.de http://www.gruppenrichtlinien.de/How...nal_Server.htm Anleitung gefunden. Das Prinzip ist mir auch klar, aber ab ...
Zitat:
Wie verhindert man die Auswirkung des Loopbackverarbeitungsmodus auf den Administrator?
· Ein Problem, des LBVM ist, daß er sich auf alle Benutzer auswirkt, die sich am Server anmelden, also auch auf den Administrator. Aus diesem Grunde sollte/muss man an dieser eigenen Richtlinie für TerminalServer mit den Sicherheitsberechtigungen arbeiten.
· Man erstellt eine eigene Sicherheitsgruppe für die Terminal-Server Benutzer (Bsp. TerminalServer User)
· In den Sicherheitseinstellungen der Richtlinie entfernt man die Gruppe "Authentifizierte Benutzer", den zu dieser gehören auch die Administratoren, es sind nun mal alle die sich in der Domäne "authentifiziert" haben.
· Man fügt die Sicherheitsgruppe "TerminalServer User" und den TerminalServer als Computerkonto hinzu und gibt ihnen das Recht "Lesen" und "Gruppenrichtlinien übernehmen", somit ist sichergestellt, daß nur Mitglieder der Gruppe Term-User die Richtlininie übernehmen können.
· Den Administratoren und dem System wird die Übernahme der Gruppenrichtlinie entfernt. Usw ...
... komme ich nicht weiter. Erstelle ich eine Sicherheitsgruppe, habe ich mehr Reiter zur Verfügung, aber unter Sicherheit keine Einstellung für Übernahme der Gruppenrichtlinie.
Hat jemand da eine etwas detailliertere Anleitung zur Hand oder kann mir sagen, wie es besser geht?
Danke für Hilfe!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 66926
Url: https://administrator.de/contentid/66926
Printed on: April 19, 2024 at 21:04 o'clock
