8
Zugriffsrechte über Remotedesktop
Hallo liebe Admin-Experten,
ich habe folgendes Problem und hoffe dabei auf eure Hilfe. Bei uns in der Firma ist es so, dass in naher Zukunft unsere Außendienstmitarbeiter auf unsere Firmensoftware zugreifen können. Dies soll nicht über eine lokale Installation auf den AD-PCs geschehen sondern die Damen und Herren sollten sich auf unseren Server einwählen und dort eine Sitzung des Programms öffnen. Dies klappt soweit auch ganz gut, da ich bei der Remotedesktopverbindung ja auch gleich einen Startpfad (auszuführendes Programm) für ein Programm eingeben kann. Jetzt meine Frage:
Kann ich in der Windows-Rechte-Verwaltung verhindern, dass die AD's über die Firmensoftware auf die lokalen Festplatten des Servers zugreifen können, bzw. kann ich sämtliche Möglichkeiten unterbinden etwas außerhalb des Programms zu tätigen.
Durch den direkten Start der Software sind ja solche Verknüpfungen wie Arbeitsplatz und die Startleiste komplett ausgeblendet. Wie gesagt besteht derzeit nur die Möglichkeit über Datei-Öffnen oder Datei-Speichern unter auf lokalen Platten des Servers zuzugreifen. Problem ist auch: wenn ich alle AD's in eine Benutzergruppe schmeiße und dieser Gruppe den Zugriff auf die Platten C/D des Servers verweigere, kann ich das Programm nicht mehr starten den die lokale Installation auf dem Server befindet sich nunmal in C:\Programme\....
Oder gibt es vielleicht eine ganz andere Möglichkeit über eine separate VPN Software alles abzubilden?
Vielen Dank für eure Antworten.
MfG
Steve
ich habe folgendes Problem und hoffe dabei auf eure Hilfe. Bei uns in der Firma ist es so, dass in naher Zukunft unsere Außendienstmitarbeiter auf unsere Firmensoftware zugreifen können. Dies soll nicht über eine lokale Installation auf den AD-PCs geschehen sondern die Damen und Herren sollten sich auf unseren Server einwählen und dort eine Sitzung des Programms öffnen. Dies klappt soweit auch ganz gut, da ich bei der Remotedesktopverbindung ja auch gleich einen Startpfad (auszuführendes Programm) für ein Programm eingeben kann. Jetzt meine Frage:
Kann ich in der Windows-Rechte-Verwaltung verhindern, dass die AD's über die Firmensoftware auf die lokalen Festplatten des Servers zugreifen können, bzw. kann ich sämtliche Möglichkeiten unterbinden etwas außerhalb des Programms zu tätigen.
Durch den direkten Start der Software sind ja solche Verknüpfungen wie Arbeitsplatz und die Startleiste komplett ausgeblendet. Wie gesagt besteht derzeit nur die Möglichkeit über Datei-Öffnen oder Datei-Speichern unter auf lokalen Platten des Servers zuzugreifen. Problem ist auch: wenn ich alle AD's in eine Benutzergruppe schmeiße und dieser Gruppe den Zugriff auf die Platten C/D des Servers verweigere, kann ich das Programm nicht mehr starten den die lokale Installation auf dem Server befindet sich nunmal in C:\Programme\....
Oder gibt es vielleicht eine ganz andere Möglichkeit über eine separate VPN Software alles abzubilden?
Vielen Dank für eure Antworten.
MfG
Steve
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 53385
Url: https://administrator.de/contentid/53385
Printed on: April 19, 2024 at 23:04 o'clock
8 Comments
Latest comment
Du kannst per Gruppen richtlinie den Usern zugriff auf die Lokalen Laufwerke verhindern bzw. ausblenden.
Unter Benutzerkonfiguration\Administrative Vorlagen\Windows Komponenten\Windows Explorer\
befinden sich die Einstellungen "...Datenträger im Fenster Arbeitsplatz ausblenden" und
"Zugriff auf Laufwerke von Arbeitsplatz nicht zulassen".
Wenn Du weiterhin Zugriff per NTFS Rechten gestattest sollten alle Programme weiterhin arbeiten.
Unter Benutzerkonfiguration\Administrative Vorlagen\Windows Komponenten\Windows Explorer\
befinden sich die Einstellungen "...Datenträger im Fenster Arbeitsplatz ausblenden" und
"Zugriff auf Laufwerke von Arbeitsplatz nicht zulassen".
Wenn Du weiterhin Zugriff per NTFS Rechten gestattest sollten alle Programme weiterhin arbeiten.
Vielen Dank für die schnelle Reaktion. Wenn ich wie beschrieben unter der Gruppenrichtlinie die Eigenschaften verändere, kann ich dann auch sagen, dass diese Einstellungen nur für eine bestimmte Benutzergruppe gelten soll?
Klar. Es ist zwar einfacher das pro OU zu machen aber Du kannst in den Sicherheitseinstellungen deiner GPO den Autentifizierten Benutzern das Recht "Gruppenrichtlinie übernehmen" entziehen.
Dann fügst du die Gruppe deiner Wahl hin zu und setzt den Haken bei Gruppenrichtlinie übernehmen zulassen.
Dann fügst du die Gruppe deiner Wahl hin zu und setzt den Haken bei Gruppenrichtlinie übernehmen zulassen.
Und wie mach ich das für eine OU? Ich habe die Benutzergruppe Domänen-AD und möchte, dass diese Einstellung nur für die Herren in dieser Gruppe gilt. Aber dennoch möchte ich, dass die allgemeinen Gruppenrichtlinien auf alle anderen User angewendet werden.
Jeder neue Gruppenrichtlinie gilt ertmal für alle User/Comuter die innerhalb dieser OU liegen.
Für mehr infos siehe:
http://www.gruppenrichtlinien.de/index.html?/Grundlagen/Vererbungen_Hie ...
Für mehr infos siehe:
http://www.gruppenrichtlinien.de/index.html?/Grundlagen/Vererbungen_Hie ...
Prima. Hat alles so funktioniert wie ich mir das gedacht habe. Habe eine neue OU eingefügt, Gruppenrichtlinien angelegt und die Benutzer und Benutzergruppen da rein geschmissen. Die anderen Benutzer habe jetzt die alten, allgemeinen Richtlinien und die neue Gruppe logischerweise die neuen Richtlinien.
Eine Frage noch. Ich lasse ja beim Starten der Remote-Desktopverbindung ein Programm starten. Wenn dieses Beendet wird, soll eigentlich die Remotedesktopverbindung geschlossen werden (Benutzer abgemeldet). Kann ich das in irgendeiner Form realisieren, denn derzeit besteht ausschließlich die Möglichkeit die Verbindung oben über das "X" zu schließen (sie bleibt ja aber in Wirklichkeit im Hintergrund offen) und über ein Zeitlimit schließen lassen. Ich glaube zumindest, dass es funktioniert. Weiß jemand einen Weg wie man das machen könnte?
Eine Frage noch. Ich lasse ja beim Starten der Remote-Desktopverbindung ein Programm starten. Wenn dieses Beendet wird, soll eigentlich die Remotedesktopverbindung geschlossen werden (Benutzer abgemeldet). Kann ich das in irgendeiner Form realisieren, denn derzeit besteht ausschließlich die Möglichkeit die Verbindung oben über das "X" zu schließen (sie bleibt ja aber in Wirklichkeit im Hintergrund offen) und über ein Zeitlimit schließen lassen. Ich glaube zumindest, dass es funktioniert. Weiß jemand einen Weg wie man das machen könnte?
Also wenn ich das richtig verstehe wird der Remotedesktop nur für diese eine Anwendung benötigt. OK. Aber warum kann der Anwender sich nicht normal abmelden?
Ich weiss leider keinen weg das automatisch zu realisieren. Aber dur kannst auf dem Server unter Terminaldiensteverwaltung einzelne Sessions killen.
Ich weiss leider keinen weg das automatisch zu realisieren. Aber dur kannst auf dem Server unter Terminaldiensteverwaltung einzelne Sessions killen.
ganz einfach. Weil ich keine Start-Leiste mehr habe und damit mich auch nicht abmelden kann
