Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Systemlaufwerke (C, D) auf Terminal Server 2012 ausblenden

Frage Microsoft Windows Server

Mitglied: Lorion

Lorion (Level 1) - Jetzt verbinden

26.11.2013 um 09:15 Uhr, 5652 Aufrufe, 8 Kommentare

Hallo,

zunächst möchte ich sagen, dass ich das Ausblenden von Systemlaufwerken auf dem Terminal Server bereits durchgeführt habe. Das ganze kann ja recht problemlos über die Gruppenrichtlinien eingerichtet werden.

Im Datei-Explorer und im Arbeitsplatz werden die Systemlaufwerke auch nicht angezeigt, sondern nur die dem Benutzer zugeordneten Netzlaufwerke.

Nun zu meinem Problem:

Ausgangslage: Wir betreiben einen Windows 2012 (kein R2) Terminal Server. Als Domain Controller (inkl. Gruppenrichtlinienverwaltung) kommt ein Windows Server 2008 R2 zum Einsatz.

Ein Benutzer kann auf eine Datei rechtsklicken und im Kontextmenü "Öffnen mit" auswählen. In dem kleinen Menü wählt man "Weitere Optionen" -> "Andere App auf diesem PC suchen".

Und voila, es öffnet sich der Datei-Explorer im Ordner C:\Program Files. Daraufhin kann der Benutzer den Inhalt der C: Partition durchsuchen und eventuell kritische Daten einsehen.

Gibt es eine Möglichkeit, das irgendwie zu unterbinden? Die Laufwerke an sich sind ja auch ausgeblendet, aber durch diesen kleinen Trick kann ein Benutzer leider dennoch auf Systemlaufwerke zugreifen.

Gibt es hier eventuell weitere Gruppenrichtlinien, die man definieren kann? Oder ist das Setzen von Berechtigungen auf der C: Partition eine Möglichkeit? Doch wie setze ich Rechte, ohne den Benutzer komplett vom System auszusperren (Er soll die auf C: installierten Programme ja trotzdem starten können)?
Mitglied: DerWoWusste
26.11.2013 um 09:30 Uhr
Moin.

Warum stört es, dass er c:\program files sieht? Beschreib doch mal, was genau Du verhindern möchtest.
Natürlich kannst Du ihm hier und da Leserechte nehmen, aber wie Du schon sagst, diese werden zum Teil gebraucht.
Bitte warten ..
Mitglied: certifiedit.net
26.11.2013 um 09:36 Uhr
Guten Morgen Lorion,

wenn der Benutzer auf c:\... zugreifen kann ist das kein Beinbruch, solange der Benutzer nur begrenzte Rechte hat. Du solltest natürlich nicht unter c:\ProgramFiles GL internas ablegen. Das sollte aber klar sein.

Grüße,

Christian
Bitte warten ..
Mitglied: Lorion
26.11.2013, aktualisiert um 09:40 Uhr
Hallo.

Danke für die Antwort.

Was ich verhindern möchte, ist dass der Benutzer ALLES was sich auf den Systemlaufwerken befindet, einsehen kann.

Sobald der Benutzer diesen "Trick" anwendet, steht der Datei-Explorer auf C:\Program Files. Mit dem Button "Ordner hoch" eine Ebene weiter nach oben navigieren und sieht den Ihnalt von C: Hier kann er in das Windows Verzeichnis (C:\Windows) navigieren oder in das Benutzerprofil-Verzeichnis (C:\Users), in dem die Profile der einzelnen Benutzer liegen. Die Profile selbst kann er zwar nicht einsehen, aber die Profilordner haben eben die Namen des Benutzer-Alias.

Das soll generell alles unterbunden werden. Gibt es hier eine Möglichkeit?
Bitte warten ..
Mitglied: DerWoWusste
26.11.2013, aktualisiert um 09:46 Uhr
Die Profile selbst kann er zwar nicht einsehen, aber die Profilordner haben eben die Namen des Benutzer-Alias.
Was stört denn daran, dass er die Ordner sieht? Wirst Du nicht verhindern können.
Das soll generell alles unterbunden werden
Was denn?
Bitte genau.
Bitte warten ..
Mitglied: certifiedit.net
26.11.2013 um 09:46 Uhr
Hallo Lorion,

sobald du daran etwas änderst dürftest du den Server unbrauchbar machen.
Bitte warten ..
Mitglied: Lorion
26.11.2013 um 10:18 Uhr
Ich hatte gehofft, dass es für lokale Laufwerke eine ähnliche Lösung wie für Netzlaufwerke mit dem Acces Based Enumeration gibt. Leider funktioniert ABE ja wirklich nur auf Netzlaufwerken.

Auf den Terminal Server greifen zurzeit nicht nur unternehmensinterne Mitarbeiter zu, sondern auch ein paar Dienstleister. Diesen sollte der Zugriff auf systemkritische Dateien eben so weit wie möglich verweigert werden. Diese sollen nicht wissen, mit welcher Software wir arbeiten oder wie die Aliase der internen Benutzer lauten.
Bitte warten ..
Mitglied: certifiedit.net
26.11.2013 um 10:21 Uhr
Zitat von Lorion:

Ich hatte gehofft, dass es für lokale Laufwerke eine ähnliche Lösung wie für Netzlaufwerke mit dem Acces Based
Enumeration gibt. Leider funktioniert ABE ja wirklich nur auf Netzlaufwerken.

Auf den Terminal Server greifen zurzeit nicht nur unternehmensinterne Mitarbeiter zu, sondern auch ein paar Dienstleister. Diesen
sollte der Zugriff auf systemkritische Dateien eben so weit wie möglich verweigert werden. Diese sollen nicht wissen, mit
welcher Software wir arbeiten oder wie die Aliase der internen Benutzer lauten.

Dann setze für diese ein Extra Netz auf. Anders wirst du keine 100% Abkapselung schaffen.
Bitte warten ..
Mitglied: DerWoWusste
26.11.2013 um 10:34 Uhr
Da jeder Benutzer per default das Privileg Bypass-traverse-checking* besitzt, solltest Du einschalten können, dass er auf c:\users (und nur auf den Ordner, nicht vererben) nur Durchquerungsrechte erhält (traverse folder). Dann kann er an seinen ran, ohne aber die anderen auch nur sehen zu können.

Bitte warten ..
Ähnliche Inhalte
Windows Update
gelöst Server 2012 (ohne R2) Terminal Server - Desktopdarstellung - keine Updates mehr? (8)

Frage von Mosurama zum Thema Windows Update ...

Windows Server
Windows Server 2012 Upgrade Update auf 2016 0xC1900101 - 0x20017 (4)

Frage von pdiddo zum Thema Windows Server ...

Windows Server
gelöst Server 2012 rdweb .rdp Parameter (1)

Frage von bGn zum Thema Windows Server ...

Windows Userverwaltung
gelöst Server 2012 R2 Active Directory über den Webbrowser öffnen (4)

Frage von blackhawk17 zum Thema Windows Userverwaltung ...

Neue Wissensbeiträge
Administrator.de Feedback

Umgangsformen auf der Seite

(7)

Information von Frank zum Thema Administrator.de Feedback ...

Windows 10

Windows 8.x oder 10 Lizenz-Key aus dem ROM auslesen mit Linux

(10)

Tipp von Lochkartenstanzer zum Thema Windows 10 ...

Heiß diskutierte Inhalte
Batch & Shell
Dir tc Befehl unter Windows 10 macht Probleme (12)

Frage von sugram zum Thema Batch & Shell ...

Windows Server
Windows Server 2016 RDS Remoteapp Anzeigefehler (11)

Frage von qlnGenius zum Thema Windows Server ...

Windows Server
Festplatten Ruhezustand Windows Server 2016 (10)

Frage von ahaeuser zum Thema Windows Server ...