gelöst Wie Server 2008 R2 Terminalerver als Kiosk-Modus konfigurieren
Hallo zusammen.
Wir möchten einen Windows Server 2008 R2 so konfigurieren, dass die User von außen übers Internet ihn per RDP erreichen.
Nach dem Login soll sich lediglich automatisch eine Access (2013) Datenbank öffnen, mehr nicht.
Die User sollen sich nur am Server an- und abmelden dürfen sowie diese besagte Access Datenbank verwenden, mehr nicht.
Der Server wird in der DMZ stehen. Die Netzwerk-konfig, etc. ist soweit klar. Den Remotedesktoplizenzierungs-Manager habe ich bereits installiert, aktiviert und die Server CALs eingespielt.
Nun bräuchte ich von euch den Rat, wie ich an die restliche Konfiguration des Servers herangehe.
Also welche Rollen (z.B. Active Directory Lightweight Directory Service) ich verwenden soll, um das zu realisieren.
Danke vorab!
VG
Wir möchten einen Windows Server 2008 R2 so konfigurieren, dass die User von außen übers Internet ihn per RDP erreichen.
Nach dem Login soll sich lediglich automatisch eine Access (2013) Datenbank öffnen, mehr nicht.
Die User sollen sich nur am Server an- und abmelden dürfen sowie diese besagte Access Datenbank verwenden, mehr nicht.
Der Server wird in der DMZ stehen. Die Netzwerk-konfig, etc. ist soweit klar. Den Remotedesktoplizenzierungs-Manager habe ich bereits installiert, aktiviert und die Server CALs eingespielt.
Nun bräuchte ich von euch den Rat, wie ich an die restliche Konfiguration des Servers herangehe.
Also welche Rollen (z.B. Active Directory Lightweight Directory Service) ich verwenden soll, um das zu realisieren.
Danke vorab!
VG
15 Antworten
- LÖSUNG DerWoWusste schreibt am 28.08.2013 um 16:14:17 Uhr
- LÖSUNG MartinBinder schreibt am 28.08.2013 um 16:14:47 Uhr
- LÖSUNG PhobosX schreibt am 28.08.2013 um 16:29:13 Uhr
- LÖSUNG MartinBinder schreibt am 28.08.2013 um 16:33:42 Uhr
- LÖSUNG PhobosX schreibt am 28.08.2013 um 16:40:47 Uhr
- LÖSUNG DerWoWusste schreibt am 28.08.2013 um 17:04:16 Uhr
- LÖSUNG PhobosX schreibt am 29.08.2013 um 14:50:51 Uhr
- LÖSUNG MartinBinder schreibt am 29.08.2013 um 20:33:58 Uhr
- LÖSUNG PhobosX schreibt am 30.08.2013 um 08:32:02 Uhr
- LÖSUNG MartinBinder schreibt am 30.08.2013 um 10:07:18 Uhr
- LÖSUNG PhobosX schreibt am 30.08.2013 um 10:37:06 Uhr
- LÖSUNG DerWoWusste schreibt am 09.09.2013 um 19:10:24 Uhr
- LÖSUNG PhobosX schreibt am 10.09.2013 um 08:31:34 Uhr
- LÖSUNG DerWoWusste schreibt am 10.09.2013 um 08:57:13 Uhr
- LÖSUNG PhobosX schreibt am 10.09.2013 um 09:18:13 Uhr
- LÖSUNG DerWoWusste schreibt am 10.09.2013 um 08:57:13 Uhr
- LÖSUNG PhobosX schreibt am 10.09.2013 um 08:31:34 Uhr
- LÖSUNG DerWoWusste schreibt am 09.09.2013 um 19:10:24 Uhr
- LÖSUNG PhobosX schreibt am 30.08.2013 um 10:37:06 Uhr
- LÖSUNG MartinBinder schreibt am 30.08.2013 um 10:07:18 Uhr
- LÖSUNG PhobosX schreibt am 30.08.2013 um 08:32:02 Uhr
- LÖSUNG MartinBinder schreibt am 29.08.2013 um 20:33:58 Uhr
- LÖSUNG PhobosX schreibt am 29.08.2013 um 14:50:51 Uhr
- LÖSUNG DerWoWusste schreibt am 28.08.2013 um 17:04:16 Uhr
- LÖSUNG PhobosX schreibt am 28.08.2013 um 16:40:47 Uhr
- LÖSUNG MartinBinder schreibt am 28.08.2013 um 16:33:42 Uhr
- LÖSUNG PhobosX schreibt am 28.08.2013 um 16:29:13 Uhr
LÖSUNG 28.08.2013, aktualisiert um 16:14 Uhr
Hi.
Veröffentliche Access als Remoteapp und gib der msaccess.exe noch den Dateinamen als Argument mit. Die anderen Anwendungen verbietest Du entweder über angepasste NTFS-rechte oder, wenn Du auch den Start portable Applikationen verhindern willst, setzte zusätzlich applocker mit einer Whitelist ein, auf der nur access steht.
Veröffentliche Access als Remoteapp und gib der msaccess.exe noch den Dateinamen als Argument mit. Die anderen Anwendungen verbietest Du entweder über angepasste NTFS-rechte oder, wenn Du auch den Start portable Applikationen verhindern willst, setzte zusätzlich applocker mit einer Whitelist ein, auf der nur access steht.
LÖSUNG 28.08.2013 um 16:14 Uhr
...und wie greifen die User auf diese Datenbank zu? Mit Access? Mit Excel? Per HTA oder HTML?
LÖSUNG 28.08.2013, aktualisiert um 16:31 Uhr
Es läuft eine Access Runtime 2013 und die User starten eine Datei über den Autostart "Startdatei.accde". Das haben wir momentan auf dem alten System so gelöst.
Über die Gruppenrichtlinien haben wir dann den Usern alles verboten, was quasi geht (war nicht mein Werk). Aber das ist ziemlich aufwändig und führt zu mehr Fehlern als sonst was.
Daher wollte ich mich hier informieren, welche Möglichkeiten es noch gibt.
Danke für eure Vorschläge.
Am liebsten wäre mir das ganze mit Windows Boardmitteln zu realisieren.
VG
Über die Gruppenrichtlinien haben wir dann den Usern alles verboten, was quasi geht (war nicht mein Werk). Aber das ist ziemlich aufwändig und führt zu mehr Fehlern als sonst was.
Daher wollte ich mich hier informieren, welche Möglichkeiten es noch gibt.
Danke für eure Vorschläge.
Am liebsten wäre mir das ganze mit Windows Boardmitteln zu realisieren.
VG
LÖSUNG 28.08.2013 um 16:33 Uhr
Dann wäre in der Tat AppLocker das Mittel der Wahl - das kennt einen Logging Mode, und damit kannst erst mal erfassen, was denn so benötigt wird (indem Du nur legitime Anwendungen ausführst). Und das legst Du dann als "erlaubt" fest.
LÖSUNG 28.08.2013, aktualisiert 29.08.2013
Okay, danke für den Tipp. Ich kenn mich damit (noch) nicht aus und werde es mir anschauen.
VG
PS: Benötige ich für AppLocker irgendwelche ADS Features oder reicht ein simpel angelegter User auf dem System?
VG
PS: Benötige ich für AppLocker irgendwelche ADS Features oder reicht ein simpel angelegter User auf dem System?
LÖSUNG 28.08.2013 um 17:04 Uhr
Applocker braucht das AD nicht.
LÖSUNG 29.08.2013 um 14:50 Uhr
Also ich bin mir nicht sicher, ob ich mit AppLocker alles so abbilden kann, wie ich mir das vorstelle.
Was ist z.B. mit Copy & Paste per RDP? Das kann ich bei AppLocker ja nicht unterbinden. Oder doch?
VG
Was ist z.B. mit Copy & Paste per RDP? Das kann ich bei AppLocker ja nicht unterbinden. Oder doch?
VG
LÖSUNG 29.08.2013 um 20:33 Uhr
Nein, kannst Du nicht. Aber die Nutzung der Zwischenablage kannst Du in den RDP-Settings abschalten... Außerdem: Wozu??? Wer's sieht, kanns abschreiben. Und was kann die Zwischenablage sonst großartig anrichten?
Viel zu viele Leute sind noch immer auf dem Trip "Security by obscurity", statt die Anwender entsprechend zu schulen und ihnen dann auch das Vertrauen entgegenzubringen, das sie verdienen!
Viel zu viele Leute sind noch immer auf dem Trip "Security by obscurity", statt die Anwender entsprechend zu schulen und ihnen dann auch das Vertrauen entgegenzubringen, das sie verdienen!
LÖSUNG 30.08.2013, aktualisiert um 08:32 Uhr
Da gebe ich dir Recht. Copy/Paste geht in Ordnung.
Was ist mit Dingen wie löschen, etc.? Lässt sich das denn mit AppLocker unterbinden? Oder muss ich das über die Gruppenrichtlinien realisieren?
Der User soll wie gesagt nichts tun dürfen, außer sich einloggen und die automatisch gestartete Access DB starten, mehr nicht!
Was ist mit Dingen wie löschen, etc.? Lässt sich das denn mit AppLocker unterbinden? Oder muss ich das über die Gruppenrichtlinien realisieren?
Der User soll wie gesagt nichts tun dürfen, außer sich einloggen und die automatisch gestartete Access DB starten, mehr nicht!
LÖSUNG 30.08.2013 um 10:07 Uhr
Löschen kann ein User nur, wenn er auch das Recht dazu hat. Also "warum nicht"? Auf gemeinsame Dateien geht's nicht, und wenn er sein Profil schrottet, dann löscht man es und gut...
LÖSUNG 30.08.2013 um 10:37 Uhr
Naja, so mache ich mir aber quasi doppelte Arbeit. Ich muss die AppLocker Umgebung für jeden User konfigurieren und zusätzlich noch Gruppenrichtlinien sowie Dateirechte einrichten.
Wenn es da keine Alternative gibt kann ich quasi alles gleich mit Gruppenrichtlinien erledigen.
VG
Wenn es da keine Alternative gibt kann ich quasi alles gleich mit Gruppenrichtlinien erledigen.
VG
LÖSUNG 09.09.2013 um 19:10 Uhr
Ich verstehe null, was Du mit doppelter Arbeit meinst - Applocker wird einmal eingerichtet und gut - nicht etwa für jeden User.
LÖSUNG 10.09.2013 um 08:31 Uhr
Hatt ich ja geschrieben.
Mit AppLocker kann ich nicht alles abbilden, was ich brauche. Mit den Gruppenrichtlinien schon.
VG
Mit AppLocker kann ich nicht alles abbilden, was ich brauche. Mit den Gruppenrichtlinien schon.
VG
LÖSUNG 10.09.2013 um 08:57 Uhr
Ok...Gruppenrichtlinien enthalten doch applocker.
Du kannst mit den GPOs also per applocker verbieten, das andere Programme gestartet werden und dann die NTFS-Rechte setzen und gut. Einfacher geht es leider nicht.
Du kannst mit den GPOs also per applocker verbieten, das andere Programme gestartet werden und dann die NTFS-Rechte setzen und gut. Einfacher geht es leider nicht.
LÖSUNG 10.09.2013, aktualisiert 01.10.2013
Okay, dann habe ich dich jetzt verstanden.
Danke für die Info.
VG
EDIT:
Also ich habe das ganze nun anders herum gelöst. Nämlich per RemoteApp. Funktioniert viel leichter und so muss ich mir den ganzen Aufwand nicht machen, sondern einfach "nur" das RemoteApp publishen und gut ist.
Hat denselben Nutzen, nur ist viel weniger Konfigurationsaufwand nötig.
VG
Danke für die Info.
VG
EDIT:
Also ich habe das ganze nun anders herum gelöst. Nämlich per RemoteApp. Funktioniert viel leichter und so muss ich mir den ganzen Aufwand nicht machen, sondern einfach "nur" das RemoteApp publishen und gut ist.
Hat denselben Nutzen, nur ist viel weniger Konfigurationsaufwand nötig.
VG
Ähnliche Inhalte
Neue Wissensbeiträge
Heiß diskutierte Inhalte