4
Remote Desktop - Zugriffsbeschränkungen
Hallo zusammen,
ich habe auf einem Win 2008 R2 Server einen Terminal Server aufgebaut. Auf diesem läuft ein Programm, auf das die Mitarbeiter per RDP Sitzung zugreifen können. Dieses wurde per RemoteApp erstellt.
Nun habe ich per Gruppenrichtlinie den Server "dicht" gemacht, sprich die Benutzer haben kein Zugriff auf die lokalen Laufwerk und weitere Beschränkungen -dies funktioniert auch gut.
Nur wenn ich mich per RDP auf den Server schalte um Wartung etc. durchzuführen hat eben auch der Admin diese Beschränkungen. Somit muss aktuell die Richtlinie deaktiviert werden um bspw. Updates zu installieren.
Dies ist natürlich keine optimale Lösung. Nun meine Frage, wie kann ich bestimmte User wie den Admin von diesen Beschränkungen ausklammern ? Die Richtlinie ist direkt dem Computer Konto des TerminalServers zugeordnet.
Vielen Dank
ich habe auf einem Win 2008 R2 Server einen Terminal Server aufgebaut. Auf diesem läuft ein Programm, auf das die Mitarbeiter per RDP Sitzung zugreifen können. Dieses wurde per RemoteApp erstellt.
Nun habe ich per Gruppenrichtlinie den Server "dicht" gemacht, sprich die Benutzer haben kein Zugriff auf die lokalen Laufwerk und weitere Beschränkungen -dies funktioniert auch gut.
Nur wenn ich mich per RDP auf den Server schalte um Wartung etc. durchzuführen hat eben auch der Admin diese Beschränkungen. Somit muss aktuell die Richtlinie deaktiviert werden um bspw. Updates zu installieren.
Dies ist natürlich keine optimale Lösung. Nun meine Frage, wie kann ich bestimmte User wie den Admin von diesen Beschränkungen ausklammern ? Die Richtlinie ist direkt dem Computer Konto des TerminalServers zugeordnet.
Vielen Dank
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 202223
Url: https://administrator.de/contentid/202223
Printed on: April 25, 2024 at 15:04 o'clock
4 Comments
Latest comment
Hi
Indem du die Gruppenrichtlinie auf den Ordner Verknüpfst indem sich die Benutzer befinden die auf den Server zugreifen und beschrenkt werden sollen. Wichtig ist das du die Gruppenrichtlinie nur bei RemoteDesktop Usern wirken lässt damit nicht auch den FirmenPC von der Policy betroffen ist.
Beim Server muss auch am DC in der Gruppe Remotedesktopbenutzer der User eingetragen sein damit die GPO auch zieht.
LG
Indem du die Gruppenrichtlinie auf den Ordner Verknüpfst indem sich die Benutzer befinden die auf den Server zugreifen und beschrenkt werden sollen. Wichtig ist das du die Gruppenrichtlinie nur bei RemoteDesktop Usern wirken lässt damit nicht auch den FirmenPC von der Policy betroffen ist.
Beim Server muss auch am DC in der Gruppe Remotedesktopbenutzer der User eingetragen sein damit die GPO auch zieht.
LG
Moin.
Besser: nutze NTFS-Rechte, um Zugriffe auf Pfade zu beschränken. Ausblenden ist von Microsoft aus nie als Schutz gedacht gewesen, sondern eben nur als ausblenden für mehr Übersicht.
Nun habe ich per Gruppenrichtlinie den Server "dicht" gemacht, sprich die Benutzer haben kein Zugriff auf die lokalen Laufwerke
Nein, das hast Du mit Sicherheit nicht. Du hast die Laufwerke lediglich ausgeblendet, ein typischer Fall von "Security by obscurity". Der Admin (und auch die Benutzer) können die Pfade weiterhin auf beliebigem Wege (auch über Eingabe von c:\ in die Adresszeile des Windows Explorers) öffnen.Besser: nutze NTFS-Rechte, um Zugriffe auf Pfade zu beschränken. Ausblenden ist von Microsoft aus nie als Schutz gedacht gewesen, sondern eben nur als ausblenden für mehr Übersicht.
Die Laufwerke sind nicht nur ausgeblendet, das ist vernünftig gelöst. Ich habe mein Anliegen durch die Delegierung der Richtline verwirklichen können.
Eine Sache ist noch offen, beim Anmelden läuft das logon script mit, dieses würde ich noch gerne deaktivieren.
Eine Sache ist noch offen, beim Anmelden läuft das logon script mit, dieses würde ich noch gerne deaktivieren.
Zum Loginskript: lies bei MS nach zum Thema Loopbackverarbeitung von Richtlinien. Mit dem Setzen des Loopback processings kannst Du dafür sorgen, dass nur auf dem TS die Benutzerrichtlinien nicht angewendet werden. Das beschränkt sich dann natürlich nicht ausschließlich auf das Loginskript. Willst Du es darauf beschränken, musst Du ins Skript eine Zeile an den Anfang reinbringen, die, wenn der Computername=TS ist, zum Ende springt.
So, und nun zu dem Ausblenden von Pfaden - mit welcher Policy hast Du denn gearbeitet? Interessiert mich sehr.
So, und nun zu dem Ausblenden von Pfaden - mit welcher Policy hast Du denn gearbeitet? Interessiert mich sehr.
