enric0
Goto Top

Windows Server 2008R2 - XenApp 6.5 - Zugriff auf Filesystem

Ich baue gerade einen neue XenApp Farm v6.5 mit Server 2008R2 auf.
Momentan versuche ich den Zugriff der Benutzer zu beschränken.

Ich habe per Policy den Zugriff auf C: untersagt. Das funktioniert leider nur insoweit, das nur der direkte Zugriff gesperrt ist. Also die Policy zieht auf.

Nun kann aber der Benutzer aber trotzdem in der Adresszeile des Windows Explorers z.B. C:\Programme... eintippen und Windows zeigt schön die darunter liegende Verzeichnisse an. Wenn der Benutzer sich jetzt so durchhangelt und eine Datei auswählt z.B. Excel.exe kann er diese ausführen.
Das ist fatal für Skripte o.ä. die im System umhergeistern.

Da möchte ich das unterbinden ohne explizite Verweigerungen zu vergeben, was ja auch Wahnsinn währe.
Hat einer von Euch eine Idee?

Content-Key: 206426

Url: https://administrator.de/contentid/206426

Ausgedruckt am: 28.03.2024 um 20:03 Uhr

Mitglied: SlainteMhath
SlainteMhath 14.05.2013 um 12:55:20 Uhr
Goto Top
Moin,

da gibt es zwei getrennte Einstellungen.
Einmal "Hide these specified drives in My Computer"
und dann noch "Prevent access to drives from My Computer"
beide müssen mit den entsprechenden Laufwerksbuchstaben konfiguriert sein, dann kann man auch den Pfad nicht mehr in der Adresszeile eingeben.

lg,
Slainte
Mitglied: Enric0
Enric0 14.05.2013 um 13:02:22 Uhr
Goto Top
Danke für die schnelle Antwort. Ich habe beide Optionen aktiviert. Der Laufwerksbuchstabe wird auch nicht angezeigt. Nur kann man leider, wie oben beschrieben, die ganze aushebeln.
Mitglied: DerWoWusste
DerWoWusste 14.05.2013 um 13:58:21 Uhr
Goto Top
Moin SlainteMhath.

MS sagt deutlich, dass dies nicht dazu gedacht ist, den Zugriff zu verweigern.
This policy does not prevent users from using programs to access local and network drives. And, it does not prevent them from using the Disk Management snap-in to view and change drive characteristics.
[aus: http://technet.microsoft.com/en-us/library/cc978514.aspx ].

@Enric0
Wozu machst Du das? Beschreib mal genauer, woran Du den Nutzer hindern willst und warum dazu nicht schon NTFS ausreicht.
Mitglied: Enric0
Enric0 14.05.2013 um 14:19:59 Uhr
Goto Top
Das ganze ist ein lizenzrechtliches Problem. Ich habe auf dem TS MS Office Prof. installiert. Einige Benutzer benötigen MS Access und einige nicht. Natürlich habe ich die Anwendungen so veröffentlicht und die Berechtigungen verteielt das jeder nur das sieht was er soll. Um jetzt Lizenzkosten zu sparen, indem ich nur die Benutzer eine MS Office Prof Lizenz zuspreche die auch Access benötigen, muss ich technisch sicherstellen, dass die Benutzer die kein Access bekommen, dieses auch nicht starten können.

Bei einer SAM Prüfung wird genau soetwas abgeprüft.

Ich kann jetzt jetzt und heute natürlich auf die access.exe die Berechtigungen setzten. Weitergedacht müsste man das für alle auffürbaren Dateien machen, was ziehmlich viel Handarbeit ist. Das gefällt mir nicht, da ich keine Lust habe für jede ausfürbahre Datei Berechtiungen zu vergeben.
Mitglied: DerWoWusste
DerWoWusste 14.05.2013 aktualisiert um 14:37:10 Uhr
Goto Top
Bei einer SAM Prüfung wird genau soetwas abgeprüft.
Ja? Da hinterfragt MS, wie Du eben dieses Szenario (Volumenlizenz-Software auf TS, bei dem nicht die gesamte Nutzerschaft Lizenzen für Office Pro Plus hat) gegen Missbrauch schützt? Wohl kaum. MS will, dass Office Pro Plus nur von Office Pro Plus Kunden genutzt wird, und nicht, dass Du einen Nutzerteil, der nur Office Home and Business oder was auch immer hat, an alles außer Access ranlässt und den anderen an alles.

Aber gut, musst Du wissen. Du könntest es über Applocker lösen, dann kann man per Whitelist gruppengebunden Programme freigeben. Applocker gehört zu win2008 R2.
Mitglied: Enric0
Enric0 14.05.2013 um 15:07:53 Uhr
Goto Top
Applocker, glaube ich , hilft mehr weiter. Vielen Dank.