8
Windows 2000 Netzlaufwerke und Netzwerkumgebung ausblenden
Hallo, es dreht sich um Windows 2000 Rechner in eine Firma die nur zum starten einer Terminaloberfläche genutzt werden !
Folgendes Problem,
wie oben schon genannt dreht es sich um Windows 2000 Rechner, diese werden gestartet, verbinden sich mit Access Points und haben somit dann eine Netzwerkverbindung, danach verbinden die sich auf einen Windows 2003 Terminal Server den ich via Gruppenrichtlinie auch schon so abgesichert habe das die Benutzer nix machen können ausser ein Programm starten....
Aber mein Problem ist, das über den lokalen Pc die User nun über Explorer\Netzwerkumgebung einfach suchen und somit auf Server Verzeichnisse usw drauf können ( wenn sie berechtigungen dafür haben )...
so schlau wie ich bin
dachte ich mir, das regelst alles via GPO aber Puste Kuchen, die Pc sind ja nicht in der Domäne weil sie ja auch erst nach dem Hochfahren eine Netzwerkverbindung aufbauen...
gibt es eine möglichkeit Richtlinen lokal zusetzen ohne das sie in der Domäne sind ? Also lokale Richtlinien wo ich auch z.b den Explorer sperren die Netzwerkumgebung ausblenden und z.b Desktop Symbole deaktivieren kann?
Wäre super wenn ihr mir einen Tipp geben könntet... wahrscheinlich ist das soo einfach das es für mich schon wieder zu kompliziert ist ^^
wie oben schon genannt dreht es sich um Windows 2000 Rechner, diese werden gestartet, verbinden sich mit Access Points und haben somit dann eine Netzwerkverbindung, danach verbinden die sich auf einen Windows 2003 Terminal Server den ich via Gruppenrichtlinie auch schon so abgesichert habe das die Benutzer nix machen können ausser ein Programm starten....
Aber mein Problem ist, das über den lokalen Pc die User nun über Explorer\Netzwerkumgebung einfach suchen und somit auf Server Verzeichnisse usw drauf können ( wenn sie berechtigungen dafür haben )...
so schlau wie ich bin
dachte ich mir, das regelst alles via GPO aber Puste Kuchen, die Pc sind ja nicht in der Domäne weil sie ja auch erst nach dem Hochfahren eine Netzwerkverbindung aufbauen...gibt es eine möglichkeit Richtlinen lokal zusetzen ohne das sie in der Domäne sind ? Also lokale Richtlinien wo ich auch z.b den Explorer sperren die Netzwerkumgebung ausblenden und z.b Desktop Symbole deaktivieren kann?
Wäre super wenn ihr mir einen Tipp geben könntet... wahrscheinlich ist das soo einfach das es für mich schon wieder zu kompliziert ist ^^
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 127811
Url: https://administrator.de/contentid/127811
Printed on: April 25, 2024 at 10:04 o'clock
8 Comments
Latest comment
Servus,
wenn du alles - was man dir nun an Antworten schreiben wird - als "gefährlichen Workaround" ansiehst und wir keine Konsequenzen tragen müssen...
Alles andere hindert später auch dich - im Fall der Fälle - die Kiste wieder lauffähig zu bekommen.
Gruß
wenn du alles - was man dir nun an Antworten schreiben wird - als "gefährlichen Workaround" ansiehst und wir keine Konsequenzen tragen müssen...
- Dann "probier" erstmal - die Startart vom Computerbrowser auf der Kiste auf manuell zu setzen.
Alles andere hindert später auch dich - im Fall der Fälle - die Kiste wieder lauffähig zu bekommen.
Gruß
Lokale Richtlinien kannst du mit gpedit.msc konfigurieren.
Auch eine simple Möglichkeit währe, den MSTSC anstatt des Explorers als Shell einzurichten. Wenn du dann noch den Benutzern (um Himmels Willen nicht dem Admin) den Zugriff auf den Taskmanager verbietest, können sie nichts anderes mehr ausführen.
Anleitung zum ändern der shell:
http://www.winfaq.de/faq_html/Content/tip2000/onlinefaq.php?h=tip2007.h ...
Gruß
Peter
Auch eine simple Möglichkeit währe, den MSTSC anstatt des Explorers als Shell einzurichten. Wenn du dann noch den Benutzern (um Himmels Willen nicht dem Admin) den Zugriff auf den Taskmanager verbietest, können sie nichts anderes mehr ausführen.
Anleitung zum ändern der shell:
http://www.winfaq.de/faq_html/Content/tip2000/onlinefaq.php?h=tip2007.h ...
Gruß
Peter
hmm das mit den Shells denke ich ist eine sehr gute Idee... und damit ist dann auch sichergestellt das nur der Remoteclient sich startet und die nicht über umwege irgendwas einstellen können?
Wenn du den MSTSC als Shell einrichtest, wird nur dieser beim Login gestartet. Andere Programme könnte man starten, indem man im Taskmanager ein Programm aufruft. Daher Taskmanager (über Berechtigungen) sperren.
Ansonsten fällt mir im Moment keine Möglichkeit ein, das zu umgehen.
Ich habs bei einem ehemaligen Kunden von mir an Produktionsrechnern so gemacht. Es wurde nur ein bestimmtes Programm gestartet, sie konnten Werte eintragen und sonst nichts. Ich finde, dass ist eine saubere Lösung.
Um wieder was anderes als Shell eintragen zu können, müssten sie ja den Regeditor starten. Das geht aber nicht wenn der Taskmanager gesperrt ist.
Wenn die Authentifizierung eh am Server vorgenommen wird, könntest du einen Benutzer erstellen, dessen Shell ändern und den Benutzer automatisch anmelden lassen. Als Admin hast du dann noch alles beim Alten. (Automatische Benutzeranmeldung lässt sich am einfachsten mit "control userpasswords2" konfigurieren - müsste bei w2k funktionieren)
Gruß
Peter
Ansonsten fällt mir im Moment keine Möglichkeit ein, das zu umgehen.
Ich habs bei einem ehemaligen Kunden von mir an Produktionsrechnern so gemacht. Es wurde nur ein bestimmtes Programm gestartet, sie konnten Werte eintragen und sonst nichts. Ich finde, dass ist eine saubere Lösung.
Um wieder was anderes als Shell eintragen zu können, müssten sie ja den Regeditor starten. Das geht aber nicht wenn der Taskmanager gesperrt ist.
Wenn die Authentifizierung eh am Server vorgenommen wird, könntest du einen Benutzer erstellen, dessen Shell ändern und den Benutzer automatisch anmelden lassen. Als Admin hast du dann noch alles beim Alten. (Automatische Benutzeranmeldung lässt sich am einfachsten mit "control userpasswords2" konfigurieren - müsste bei w2k funktionieren)
Gruß
Peter
genau das ist das was ich gesucht habe... nun versuche ich das mal in einer Virtuellen Umgebung zum laufen zu bekommen ! Danke erstmal !
Kein Thema 
Gruß
Peter
Gruß
Peter
ich muss mich echt nochmals bedanken das ist zu 100 % genau die Lösung die ich gesucht habe... echt vielen vielen dank !
Ich habe es gerade getestet und bin echt begeistert ! Man ihr seid einfach klasse !
Aber die Prozesse im Hintergrund werden doch trotzdem geladen oder? Weil die Arbeitsstationen müssen sich weiterhin mit den Access Points verbinden damit sie auf die Terminal umgebung kommen !
Die Authentifizierung wird leider nicht am Server vorgenommen dann hätte ich das alles mit Gruppenrichtlinien geregelt...
Es sind ganz normale dumme Windows 2000 PC mit Lokalen Benutzer Konten die sich via Access Points verbinden und somit sich dann auf die Terminalumgebung einloggen !
Ich habe es gerade getestet und bin echt begeistert ! Man ihr seid einfach klasse !
Aber die Prozesse im Hintergrund werden doch trotzdem geladen oder? Weil die Arbeitsstationen müssen sich weiterhin mit den Access Points verbinden damit sie auf die Terminal umgebung kommen !
Die Authentifizierung wird leider nicht am Server vorgenommen dann hätte ich das alles mit Gruppenrichtlinien geregelt...
Es sind ganz normale dumme Windows 2000 PC mit Lokalen Benutzer Konten die sich via Access Points verbinden und somit sich dann auf die Terminalumgebung einloggen !
Tach,
freut mich, dass es dir gefällt
Hintergrundprozesse werden natürlich mit ausgeführt. Es wird eben nur der MSTSC anstatt des Desktops (Explorer) geladen. (Ausnahme sind Einträge im Autostart, die werden vom Explorer mitgestartet und laufen daher nicht, wenn die Shell geändert wird)
Mit der Authentifizierung hab ich Benutzername und Passwort des Terminalbenutzers gemeint. Das musst du ja irgendwo abfragen. Wenn das (Wie üblich) beim anmelden am Server abgefragt wird, kannst du am Client einen Benutzer automatisch anmelden lassen. Der Client-PC selbst braucht sich nicht unbedingt authentifizieren.
Oder hab ich was falsch verstanden...
Gruß
Peter
freut mich, dass es dir gefällt
Hintergrundprozesse werden natürlich mit ausgeführt. Es wird eben nur der MSTSC anstatt des Desktops (Explorer) geladen. (Ausnahme sind Einträge im Autostart, die werden vom Explorer mitgestartet und laufen daher nicht, wenn die Shell geändert wird)
Mit der Authentifizierung hab ich Benutzername und Passwort des Terminalbenutzers gemeint. Das musst du ja irgendwo abfragen. Wenn das (Wie üblich) beim anmelden am Server abgefragt wird, kannst du am Client einen Benutzer automatisch anmelden lassen. Der Client-PC selbst braucht sich nicht unbedingt authentifizieren.
Oder hab ich was falsch verstanden...
Gruß
Peter
