15
Wie Server 2008 R2 Terminalerver als Kiosk-Modus konfigurieren
Hallo zusammen.
Wir möchten einen Windows Server 2008 R2 so konfigurieren, dass die User von außen übers Internet ihn per RDP erreichen.
Nach dem Login soll sich lediglich automatisch eine Access (2013) Datenbank öffnen, mehr nicht.
Die User sollen sich nur am Server an- und abmelden dürfen sowie diese besagte Access Datenbank verwenden, mehr nicht.
Der Server wird in der DMZ stehen. Die Netzwerk-konfig, etc. ist soweit klar. Den Remotedesktoplizenzierungs-Manager habe ich bereits installiert, aktiviert und die Server CALs eingespielt.
Nun bräuchte ich von euch den Rat, wie ich an die restliche Konfiguration des Servers herangehe.
Also welche Rollen (z.B. Active Directory Lightweight Directory Service) ich verwenden soll, um das zu realisieren.
Danke vorab!
VG
Wir möchten einen Windows Server 2008 R2 so konfigurieren, dass die User von außen übers Internet ihn per RDP erreichen.
Nach dem Login soll sich lediglich automatisch eine Access (2013) Datenbank öffnen, mehr nicht.
Die User sollen sich nur am Server an- und abmelden dürfen sowie diese besagte Access Datenbank verwenden, mehr nicht.
Der Server wird in der DMZ stehen. Die Netzwerk-konfig, etc. ist soweit klar. Den Remotedesktoplizenzierungs-Manager habe ich bereits installiert, aktiviert und die Server CALs eingespielt.
Nun bräuchte ich von euch den Rat, wie ich an die restliche Konfiguration des Servers herangehe.
Also welche Rollen (z.B. Active Directory Lightweight Directory Service) ich verwenden soll, um das zu realisieren.
Danke vorab!
VG
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 215444
Url: https://administrator.de/contentid/215444
Printed on: April 28, 2024 at 17:04 o'clock
15 Comments
Latest comment
Hi.
Veröffentliche Access als Remoteapp und gib der msaccess.exe noch den Dateinamen als Argument mit. Die anderen Anwendungen verbietest Du entweder über angepasste NTFS-rechte oder, wenn Du auch den Start portable Applikationen verhindern willst, setzte zusätzlich applocker mit einer Whitelist ein, auf der nur access steht.
Veröffentliche Access als Remoteapp und gib der msaccess.exe noch den Dateinamen als Argument mit. Die anderen Anwendungen verbietest Du entweder über angepasste NTFS-rechte oder, wenn Du auch den Start portable Applikationen verhindern willst, setzte zusätzlich applocker mit einer Whitelist ein, auf der nur access steht.
...und wie greifen die User auf diese Datenbank zu? Mit Access? Mit Excel? Per HTA oder HTML?
Es läuft eine Access Runtime 2013 und die User starten eine Datei über den Autostart "Startdatei.accde". Das haben wir momentan auf dem alten System so gelöst.
Über die Gruppenrichtlinien haben wir dann den Usern alles verboten, was quasi geht (war nicht mein Werk). Aber das ist ziemlich aufwändig und führt zu mehr Fehlern als sonst was.
Daher wollte ich mich hier informieren, welche Möglichkeiten es noch gibt.
Danke für eure Vorschläge.
Am liebsten wäre mir das ganze mit Windows Boardmitteln zu realisieren.
VG
Über die Gruppenrichtlinien haben wir dann den Usern alles verboten, was quasi geht (war nicht mein Werk). Aber das ist ziemlich aufwändig und führt zu mehr Fehlern als sonst was.
Daher wollte ich mich hier informieren, welche Möglichkeiten es noch gibt.
Danke für eure Vorschläge.
Am liebsten wäre mir das ganze mit Windows Boardmitteln zu realisieren.
VG
Dann wäre in der Tat AppLocker das Mittel der Wahl - das kennt einen Logging Mode, und damit kannst erst mal erfassen, was denn so benötigt wird (indem Du nur legitime Anwendungen ausführst). Und das legst Du dann als "erlaubt" fest.
Okay, danke für den Tipp. Ich kenn mich damit (noch) nicht aus und werde es mir anschauen.
VG
PS: Benötige ich für AppLocker irgendwelche ADS Features oder reicht ein simpel angelegter User auf dem System?
VG
PS: Benötige ich für AppLocker irgendwelche ADS Features oder reicht ein simpel angelegter User auf dem System?
Applocker braucht das AD nicht.
Also ich bin mir nicht sicher, ob ich mit AppLocker alles so abbilden kann, wie ich mir das vorstelle.
Was ist z.B. mit Copy & Paste per RDP? Das kann ich bei AppLocker ja nicht unterbinden. Oder doch?
VG
Was ist z.B. mit Copy & Paste per RDP? Das kann ich bei AppLocker ja nicht unterbinden. Oder doch?
VG
Nein, kannst Du nicht. Aber die Nutzung der Zwischenablage kannst Du in den RDP-Settings abschalten... Außerdem: Wozu??? Wer's sieht, kanns abschreiben. Und was kann die Zwischenablage sonst großartig anrichten?
Viel zu viele Leute sind noch immer auf dem Trip "Security by obscurity", statt die Anwender entsprechend zu schulen und ihnen dann auch das Vertrauen entgegenzubringen, das sie verdienen!
Viel zu viele Leute sind noch immer auf dem Trip "Security by obscurity", statt die Anwender entsprechend zu schulen und ihnen dann auch das Vertrauen entgegenzubringen, das sie verdienen!
Da gebe ich dir Recht. Copy/Paste geht in Ordnung.
Was ist mit Dingen wie löschen, etc.? Lässt sich das denn mit AppLocker unterbinden? Oder muss ich das über die Gruppenrichtlinien realisieren?
Der User soll wie gesagt nichts tun dürfen, außer sich einloggen und die automatisch gestartete Access DB starten, mehr nicht!
Was ist mit Dingen wie löschen, etc.? Lässt sich das denn mit AppLocker unterbinden? Oder muss ich das über die Gruppenrichtlinien realisieren?
Der User soll wie gesagt nichts tun dürfen, außer sich einloggen und die automatisch gestartete Access DB starten, mehr nicht!
Löschen kann ein User nur, wenn er auch das Recht dazu hat. Also "warum nicht"? Auf gemeinsame Dateien geht's nicht, und wenn er sein Profil schrottet, dann löscht man es und gut...
Naja, so mache ich mir aber quasi doppelte Arbeit. Ich muss die AppLocker Umgebung für jeden User konfigurieren und zusätzlich noch Gruppenrichtlinien sowie Dateirechte einrichten.
Wenn es da keine Alternative gibt kann ich quasi alles gleich mit Gruppenrichtlinien erledigen.
VG
Wenn es da keine Alternative gibt kann ich quasi alles gleich mit Gruppenrichtlinien erledigen.
VG
Ich verstehe null, was Du mit doppelter Arbeit meinst - Applocker wird einmal eingerichtet und gut - nicht etwa für jeden User.
Hatt ich ja geschrieben.
Mit AppLocker kann ich nicht alles abbilden, was ich brauche. Mit den Gruppenrichtlinien schon.
VG
Mit AppLocker kann ich nicht alles abbilden, was ich brauche. Mit den Gruppenrichtlinien schon.
VG
Ok...Gruppenrichtlinien enthalten doch applocker.
Du kannst mit den GPOs also per applocker verbieten, das andere Programme gestartet werden und dann die NTFS-Rechte setzen und gut. Einfacher geht es leider nicht.
Du kannst mit den GPOs also per applocker verbieten, das andere Programme gestartet werden und dann die NTFS-Rechte setzen und gut. Einfacher geht es leider nicht.
Okay, dann habe ich dich jetzt verstanden.
Danke für die Info.
VG
EDIT:
Also ich habe das ganze nun anders herum gelöst. Nämlich per RemoteApp. Funktioniert viel leichter und so muss ich mir den ganzen Aufwand nicht machen, sondern einfach "nur" das RemoteApp publishen und gut ist.
Hat denselben Nutzen, nur ist viel weniger Konfigurationsaufwand nötig.
VG
Danke für die Info.
VG
EDIT:
Also ich habe das ganze nun anders herum gelöst. Nämlich per RemoteApp. Funktioniert viel leichter und so muss ich mir den ganzen Aufwand nicht machen, sondern einfach "nur" das RemoteApp publishen und gut ist.
Hat denselben Nutzen, nur ist viel weniger Konfigurationsaufwand nötig.
VG
