phobosx
Goto Top

Wie Server 2008 R2 Terminalerver als Kiosk-Modus konfigurieren

Hallo zusammen.
Wir möchten einen Windows Server 2008 R2 so konfigurieren, dass die User von außen übers Internet ihn per RDP erreichen.

Nach dem Login soll sich lediglich automatisch eine Access (2013) Datenbank öffnen, mehr nicht.

Die User sollen sich nur am Server an- und abmelden dürfen sowie diese besagte Access Datenbank verwenden, mehr nicht.

Der Server wird in der DMZ stehen. Die Netzwerk-konfig, etc. ist soweit klar. Den Remotedesktoplizenzierungs-Manager habe ich bereits installiert, aktiviert und die Server CALs eingespielt.

Nun bräuchte ich von euch den Rat, wie ich an die restliche Konfiguration des Servers herangehe.

Also welche Rollen (z.B. Active Directory Lightweight Directory Service) ich verwenden soll, um das zu realisieren.


Danke vorab!

VG

Content-Key: 215444

Url: https://administrator.de/contentid/215444

Ausgedruckt am: 28.03.2024 um 19:03 Uhr

Mitglied: DerWoWusste
DerWoWusste 28.08.2013 aktualisiert um 16:14:37 Uhr
Goto Top
Hi.

Veröffentliche Access als Remoteapp und gib der msaccess.exe noch den Dateinamen als Argument mit. Die anderen Anwendungen verbietest Du entweder über angepasste NTFS-rechte oder, wenn Du auch den Start portable Applikationen verhindern willst, setzte zusätzlich applocker mit einer Whitelist ein, auf der nur access steht.
Mitglied: MartinBinder
MartinBinder 28.08.2013 um 16:14:47 Uhr
Goto Top
...und wie greifen die User auf diese Datenbank zu? Mit Access? Mit Excel? Per HTA oder HTML?
Mitglied: PhobosX
PhobosX 28.08.2013 aktualisiert um 16:31:51 Uhr
Goto Top
Es läuft eine Access Runtime 2013 und die User starten eine Datei über den Autostart "Startdatei.accde". Das haben wir momentan auf dem alten System so gelöst.

Über die Gruppenrichtlinien haben wir dann den Usern alles verboten, was quasi geht (war nicht mein Werk). Aber das ist ziemlich aufwändig und führt zu mehr Fehlern als sonst was.

Daher wollte ich mich hier informieren, welche Möglichkeiten es noch gibt.


Danke für eure Vorschläge.

Am liebsten wäre mir das ganze mit Windows Boardmitteln zu realisieren.


VG
Mitglied: MartinBinder
MartinBinder 28.08.2013 um 16:33:42 Uhr
Goto Top
Dann wäre in der Tat AppLocker das Mittel der Wahl - das kennt einen Logging Mode, und damit kannst erst mal erfassen, was denn so benötigt wird (indem Du nur legitime Anwendungen ausführst). Und das legst Du dann als "erlaubt" fest.
Mitglied: PhobosX
PhobosX 28.08.2013, aktualisiert am 29.08.2013 um 08:26:31 Uhr
Goto Top
Okay, danke für den Tipp. Ich kenn mich damit (noch) nicht aus und werde es mir anschauen.

VG


PS: Benötige ich für AppLocker irgendwelche ADS Features oder reicht ein simpel angelegter User auf dem System?
Mitglied: DerWoWusste
DerWoWusste 28.08.2013 um 17:04:16 Uhr
Goto Top
Applocker braucht das AD nicht.
Mitglied: PhobosX
PhobosX 29.08.2013 um 14:50:51 Uhr
Goto Top
Also ich bin mir nicht sicher, ob ich mit AppLocker alles so abbilden kann, wie ich mir das vorstelle.

Was ist z.B. mit Copy & Paste per RDP? Das kann ich bei AppLocker ja nicht unterbinden. Oder doch?

VG
Mitglied: MartinBinder
MartinBinder 29.08.2013 um 20:33:58 Uhr
Goto Top
Nein, kannst Du nicht. Aber die Nutzung der Zwischenablage kannst Du in den RDP-Settings abschalten... Außerdem: Wozu??? Wer's sieht, kanns abschreiben. Und was kann die Zwischenablage sonst großartig anrichten?

Viel zu viele Leute sind noch immer auf dem Trip "Security by obscurity", statt die Anwender entsprechend zu schulen und ihnen dann auch das Vertrauen entgegenzubringen, das sie verdienen!
Mitglied: PhobosX
PhobosX 30.08.2013 aktualisiert um 08:32:26 Uhr
Goto Top
Da gebe ich dir Recht. Copy/Paste geht in Ordnung.
Was ist mit Dingen wie löschen, etc.? Lässt sich das denn mit AppLocker unterbinden? Oder muss ich das über die Gruppenrichtlinien realisieren?

Der User soll wie gesagt nichts tun dürfen, außer sich einloggen und die automatisch gestartete Access DB starten, mehr nicht!
Mitglied: MartinBinder
MartinBinder 30.08.2013 um 10:07:18 Uhr
Goto Top
Löschen kann ein User nur, wenn er auch das Recht dazu hat. Also "warum nicht"? Auf gemeinsame Dateien geht's nicht, und wenn er sein Profil schrottet, dann löscht man es und gut...
Mitglied: PhobosX
PhobosX 30.08.2013 um 10:37:06 Uhr
Goto Top
Naja, so mache ich mir aber quasi doppelte Arbeit. Ich muss die AppLocker Umgebung für jeden User konfigurieren und zusätzlich noch Gruppenrichtlinien sowie Dateirechte einrichten.

Wenn es da keine Alternative gibt kann ich quasi alles gleich mit Gruppenrichtlinien erledigen.

VG
Mitglied: DerWoWusste
DerWoWusste 09.09.2013 um 19:10:24 Uhr
Goto Top
Ich verstehe null, was Du mit doppelter Arbeit meinst - Applocker wird einmal eingerichtet und gut - nicht etwa für jeden User.
Mitglied: PhobosX
PhobosX 10.09.2013 um 08:31:34 Uhr
Goto Top
Hatt ich ja geschrieben.
Mit AppLocker kann ich nicht alles abbilden, was ich brauche. Mit den Gruppenrichtlinien schon.

VG
Mitglied: DerWoWusste
DerWoWusste 10.09.2013 um 08:57:13 Uhr
Goto Top
Ok...Gruppenrichtlinien enthalten doch applocker.
Du kannst mit den GPOs also per applocker verbieten, das andere Programme gestartet werden und dann die NTFS-Rechte setzen und gut. Einfacher geht es leider nicht.
Mitglied: PhobosX
PhobosX 10.09.2013, aktualisiert am 01.10.2013 um 14:40:48 Uhr
Goto Top
Okay, dann habe ich dich jetzt verstanden.
Danke für die Info.

VG

EDIT:
Also ich habe das ganze nun anders herum gelöst. Nämlich per RemoteApp. Funktioniert viel leichter und so muss ich mir den ganzen Aufwand nicht machen, sondern einfach "nur" das RemoteApp publishen und gut ist.

Hat denselben Nutzen, nur ist viel weniger Konfigurationsaufwand nötig.

VG