5
Tool zur Konfiguration von Gruppenrichtlinien Remotedesktop bzw. Terminalserver
Hi zusammen,
ich habe hier einen Terminalserver ( Windows Server 2012 R2 ) in einer Hyper-V laufen.
Auf dieser Maschine liegen einige Dateien auf die die Remoteuser per Desktop Freigabe zugreifen können sollen z.B. um in einem Word oder PDF Dokument etwas nachsehen zu können.
Ich möchte natürlich nicht dass die User den Server Manager etc. sehen können.
Alle Remote User sind natürlich bereits in einer Gruppe und ich könnte nun den Fußweg gehen per Gruppenrichtlinien
Stück für die Rechte der Gruppe einzuschränken.
Da es sich ja hier um mehrere Hundert Gruppenrichtlinien handelt:
Meine Frage: Gibt es hierfür ein Tool was mir die Arbeit erheblich erleichtert?
Es darf gerne auch etwas kosten
Mit Dank und Gruß
ich habe hier einen Terminalserver ( Windows Server 2012 R2 ) in einer Hyper-V laufen.
Auf dieser Maschine liegen einige Dateien auf die die Remoteuser per Desktop Freigabe zugreifen können sollen z.B. um in einem Word oder PDF Dokument etwas nachsehen zu können.
Ich möchte natürlich nicht dass die User den Server Manager etc. sehen können.
Alle Remote User sind natürlich bereits in einer Gruppe und ich könnte nun den Fußweg gehen per Gruppenrichtlinien
Stück für die Rechte der Gruppe einzuschränken.
Da es sich ja hier um mehrere Hundert Gruppenrichtlinien handelt:
Meine Frage: Gibt es hierfür ein Tool was mir die Arbeit erheblich erleichtert?
Es darf gerne auch etwas kosten
Mit Dank und Gruß
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 243694
Url: https://administrator.de/contentid/243694
Printed on: April 16, 2024 at 21:04 o'clock
5 Comments
Latest comment
Hi.
Es ist das alte Lied: Security by obscurity gibt es nicht. Du wirst durch ausblenden nichts sicherer machen oder angenehmer formuliert: "selbst wenn sie den Server-Manager sehen, können sie ohne Adminrechte nichts sehen/verändern, was kritisch ist".
Du wirst keinen Vorteil davon haben.
Es ist das alte Lied: Security by obscurity gibt es nicht. Du wirst durch ausblenden nichts sicherer machen oder angenehmer formuliert: "selbst wenn sie den Server-Manager sehen, können sie ohne Adminrechte nichts sehen/verändern, was kritisch ist".
Du wirst keinen Vorteil davon haben.
Es geht nicht um das Ausblenden sondern das sperren von Funktionen.
Das geht definitiv über GPO's so das Zugriffsrechte weiter eingeschränkt werden können.
Da es hier mehrere hundert GPO's gibt die die Nutzungsrechte regeln,
suche ich ein Tool bzw. eine Software, die mir die Arbeit erleichtern könnte...
Das geht definitiv über GPO's so das Zugriffsrechte weiter eingeschränkt werden können.
Da es hier mehrere hundert GPO's gibt die die Nutzungsrechte regeln,
suche ich ein Tool bzw. eine Software, die mir die Arbeit erleichtern könnte...
Moin,
GPO Vorlagen für häufige Szenarien:
http://www.microsoft.com/en-us/download/details.aspx?id=19735
Das sollte schon mal die meisten Optionen beinhalten, aber Arbeit macht das immer, da nicht jeder gleiche Anforderungen hat, gibt es auch keine allgemeingültige Config.
Das könnte ansonsten auch noch etwas für sich sein: http://www.sitekiosk.de/SiteKiosk/Default.aspx
Grüße Uwe
GPO Vorlagen für häufige Szenarien:
http://www.microsoft.com/en-us/download/details.aspx?id=19735
Das sollte schon mal die meisten Optionen beinhalten, aber Arbeit macht das immer, da nicht jeder gleiche Anforderungen hat, gibt es auch keine allgemeingültige Config.
Das könnte ansonsten auch noch etwas für sich sein: http://www.sitekiosk.de/SiteKiosk/Default.aspx
Grüße Uwe
Es geht nicht um das Ausblenden sondern das sperren von Funktionen
Gestatte die Nachfrage: was willst Du sperren, bitte ein Beispiel. Ich brauche mal eine Vorstellung davon, was ein schwacher Nutzer sonst könnte, ohne Sperrung.
Der Nutzer hat wenn er sich mit dem Terminal verbindet nur den Windows Explorer bzw. er sieht nur den Windows Explorer.
Er klickt im Prinzip auf seinem Notebook auf ein Icon und er wird automatisch mit dem TS Server verbunden.
Allerdings geht nicht die komplette session auf sondern er kann dabei nur den Windows explorer sehen.
jetzt möchte ich natürlich sachen wie WinTaste+X und ähnliches deaktivieren.
Im Prizipü braucht er nur ein einziges Netzlaufwerk.
Alles andere wie menü datei etc. soll alles gesperrt / ausgeblendet werden.
mittlerweile bin ich auf dem fußweg ziemlich weit aber es würde mich trotzdem interessieren,
ob es ein tool gibt was einem dabei helfen kann.
Der Sinn dahinter:
Der User startet erst die Software X auf dem TS.
Er sieht hier natürlich nur die Software und nicht die komplette Session
Nun benötigt er irgendwelche daten z.B. etwas aus einem pdf.
Er startet den Windows Explorer und kann im Netzlaufwerk eben das Dokument öffnen und die infos übertragen / bearbeiten.
Dabei soll er keinerlei weiteren zugriff auf den rest haben. Keine cmd, kein arbeitsplatz, kein laufwerk c,d, keine windows hilfe etc.
Ich habe mich wie gesagt schon recht gut durch die GPO's gekämpft aber es gibt sicherlich tools oder fertig lösungen
die mir helfen nicht bei jedem kunden, jedesmal 300 gpo's setzen zu müssen.
Kiosk Software kommt in diesem Fall nicht in Frage da es sich nicht um einen öffentlichen PC handelt.
Er klickt im Prinzip auf seinem Notebook auf ein Icon und er wird automatisch mit dem TS Server verbunden.
Allerdings geht nicht die komplette session auf sondern er kann dabei nur den Windows explorer sehen.
jetzt möchte ich natürlich sachen wie WinTaste+X und ähnliches deaktivieren.
Im Prizipü braucht er nur ein einziges Netzlaufwerk.
Alles andere wie menü datei etc. soll alles gesperrt / ausgeblendet werden.
mittlerweile bin ich auf dem fußweg ziemlich weit aber es würde mich trotzdem interessieren,
ob es ein tool gibt was einem dabei helfen kann.
Der Sinn dahinter:
Der User startet erst die Software X auf dem TS.
Er sieht hier natürlich nur die Software und nicht die komplette Session
Nun benötigt er irgendwelche daten z.B. etwas aus einem pdf.
Er startet den Windows Explorer und kann im Netzlaufwerk eben das Dokument öffnen und die infos übertragen / bearbeiten.
Dabei soll er keinerlei weiteren zugriff auf den rest haben. Keine cmd, kein arbeitsplatz, kein laufwerk c,d, keine windows hilfe etc.
Ich habe mich wie gesagt schon recht gut durch die GPO's gekämpft aber es gibt sicherlich tools oder fertig lösungen
die mir helfen nicht bei jedem kunden, jedesmal 300 gpo's setzen zu müssen.
Kiosk Software kommt in diesem Fall nicht in Frage da es sich nicht um einen öffentlichen PC handelt.
