8
Systemlaufwerke (C, D) auf Terminal Server 2012 ausblenden
Hallo,
zunächst möchte ich sagen, dass ich das Ausblenden von Systemlaufwerken auf dem Terminal Server bereits durchgeführt habe. Das ganze kann ja recht problemlos über die Gruppenrichtlinien eingerichtet werden.
Im Datei-Explorer und im Arbeitsplatz werden die Systemlaufwerke auch nicht angezeigt, sondern nur die dem Benutzer zugeordneten Netzlaufwerke.
Nun zu meinem Problem:
Ausgangslage: Wir betreiben einen Windows 2012 (kein R2) Terminal Server. Als Domain Controller (inkl. Gruppenrichtlinienverwaltung) kommt ein Windows Server 2008 R2 zum Einsatz.
Ein Benutzer kann auf eine Datei rechtsklicken und im Kontextmenü "Öffnen mit" auswählen. In dem kleinen Menü wählt man "Weitere Optionen" -> "Andere App auf diesem PC suchen".
Und voila, es öffnet sich der Datei-Explorer im Ordner C:\Program Files. Daraufhin kann der Benutzer den Inhalt der C: Partition durchsuchen und eventuell kritische Daten einsehen.
Gibt es eine Möglichkeit, das irgendwie zu unterbinden? Die Laufwerke an sich sind ja auch ausgeblendet, aber durch diesen kleinen Trick kann ein Benutzer leider dennoch auf Systemlaufwerke zugreifen.
Gibt es hier eventuell weitere Gruppenrichtlinien, die man definieren kann? Oder ist das Setzen von Berechtigungen auf der C: Partition eine Möglichkeit? Doch wie setze ich Rechte, ohne den Benutzer komplett vom System auszusperren (Er soll die auf C: installierten Programme ja trotzdem starten können)?
zunächst möchte ich sagen, dass ich das Ausblenden von Systemlaufwerken auf dem Terminal Server bereits durchgeführt habe. Das ganze kann ja recht problemlos über die Gruppenrichtlinien eingerichtet werden.
Im Datei-Explorer und im Arbeitsplatz werden die Systemlaufwerke auch nicht angezeigt, sondern nur die dem Benutzer zugeordneten Netzlaufwerke.
Nun zu meinem Problem:
Ausgangslage: Wir betreiben einen Windows 2012 (kein R2) Terminal Server. Als Domain Controller (inkl. Gruppenrichtlinienverwaltung) kommt ein Windows Server 2008 R2 zum Einsatz.
Ein Benutzer kann auf eine Datei rechtsklicken und im Kontextmenü "Öffnen mit" auswählen. In dem kleinen Menü wählt man "Weitere Optionen" -> "Andere App auf diesem PC suchen".
Und voila, es öffnet sich der Datei-Explorer im Ordner C:\Program Files. Daraufhin kann der Benutzer den Inhalt der C: Partition durchsuchen und eventuell kritische Daten einsehen.
Gibt es eine Möglichkeit, das irgendwie zu unterbinden? Die Laufwerke an sich sind ja auch ausgeblendet, aber durch diesen kleinen Trick kann ein Benutzer leider dennoch auf Systemlaufwerke zugreifen.
Gibt es hier eventuell weitere Gruppenrichtlinien, die man definieren kann? Oder ist das Setzen von Berechtigungen auf der C: Partition eine Möglichkeit? Doch wie setze ich Rechte, ohne den Benutzer komplett vom System auszusperren (Er soll die auf C: installierten Programme ja trotzdem starten können)?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 222974
Url: https://administrator.de/contentid/222974
Printed on: April 24, 2024 at 02:04 o'clock
8 Comments
Latest comment
Moin.
Warum stört es, dass er c:\program files sieht? Beschreib doch mal, was genau Du verhindern möchtest.
Natürlich kannst Du ihm hier und da Leserechte nehmen, aber wie Du schon sagst, diese werden zum Teil gebraucht.
Warum stört es, dass er c:\program files sieht? Beschreib doch mal, was genau Du verhindern möchtest.
Natürlich kannst Du ihm hier und da Leserechte nehmen, aber wie Du schon sagst, diese werden zum Teil gebraucht.
Guten Morgen Lorion,
wenn der Benutzer auf c:\... zugreifen kann ist das kein Beinbruch, solange der Benutzer nur begrenzte Rechte hat. Du solltest natürlich nicht unter c:\ProgramFiles GL internas ablegen. Das sollte aber klar sein.
Grüße,
Christian
wenn der Benutzer auf c:\... zugreifen kann ist das kein Beinbruch, solange der Benutzer nur begrenzte Rechte hat. Du solltest natürlich nicht unter c:\ProgramFiles GL internas ablegen. Das sollte aber klar sein.
Grüße,
Christian
Hallo.
Danke für die Antwort.
Was ich verhindern möchte, ist dass der Benutzer ALLES was sich auf den Systemlaufwerken befindet, einsehen kann.
Sobald der Benutzer diesen "Trick" anwendet, steht der Datei-Explorer auf C:\Program Files. Mit dem Button "Ordner hoch" eine Ebene weiter nach oben navigieren und sieht den Ihnalt von C: Hier kann er in das Windows Verzeichnis (C:\Windows) navigieren oder in das Benutzerprofil-Verzeichnis (C:\Users), in dem die Profile der einzelnen Benutzer liegen. Die Profile selbst kann er zwar nicht einsehen, aber die Profilordner haben eben die Namen des Benutzer-Alias.
Das soll generell alles unterbunden werden. Gibt es hier eine Möglichkeit?
Danke für die Antwort.
Was ich verhindern möchte, ist dass der Benutzer ALLES was sich auf den Systemlaufwerken befindet, einsehen kann.
Sobald der Benutzer diesen "Trick" anwendet, steht der Datei-Explorer auf C:\Program Files. Mit dem Button "Ordner hoch" eine Ebene weiter nach oben navigieren und sieht den Ihnalt von C: Hier kann er in das Windows Verzeichnis (C:\Windows) navigieren oder in das Benutzerprofil-Verzeichnis (C:\Users), in dem die Profile der einzelnen Benutzer liegen. Die Profile selbst kann er zwar nicht einsehen, aber die Profilordner haben eben die Namen des Benutzer-Alias.
Das soll generell alles unterbunden werden. Gibt es hier eine Möglichkeit?
Die Profile selbst kann er zwar nicht einsehen, aber die Profilordner haben eben die Namen des Benutzer-Alias.
Was stört denn daran, dass er die Ordner sieht? Wirst Du nicht verhindern können.Das soll generell alles unterbunden werden
Was denn? 
Bitte genau.
Hallo Lorion,
sobald du daran etwas änderst dürftest du den Server unbrauchbar machen.
sobald du daran etwas änderst dürftest du den Server unbrauchbar machen.
Ich hatte gehofft, dass es für lokale Laufwerke eine ähnliche Lösung wie für Netzlaufwerke mit dem Acces Based Enumeration gibt. Leider funktioniert ABE ja wirklich nur auf Netzlaufwerken.
Auf den Terminal Server greifen zurzeit nicht nur unternehmensinterne Mitarbeiter zu, sondern auch ein paar Dienstleister. Diesen sollte der Zugriff auf systemkritische Dateien eben so weit wie möglich verweigert werden. Diese sollen nicht wissen, mit welcher Software wir arbeiten oder wie die Aliase der internen Benutzer lauten.
Auf den Terminal Server greifen zurzeit nicht nur unternehmensinterne Mitarbeiter zu, sondern auch ein paar Dienstleister. Diesen sollte der Zugriff auf systemkritische Dateien eben so weit wie möglich verweigert werden. Diese sollen nicht wissen, mit welcher Software wir arbeiten oder wie die Aliase der internen Benutzer lauten.
Zitat von @Lorion:
Ich hatte gehofft, dass es für lokale Laufwerke eine ähnliche Lösung wie für Netzlaufwerke mit dem Acces Based
Enumeration gibt. Leider funktioniert ABE ja wirklich nur auf Netzlaufwerken.
Auf den Terminal Server greifen zurzeit nicht nur unternehmensinterne Mitarbeiter zu, sondern auch ein paar Dienstleister. Diesen
sollte der Zugriff auf systemkritische Dateien eben so weit wie möglich verweigert werden. Diese sollen nicht wissen, mit
welcher Software wir arbeiten oder wie die Aliase der internen Benutzer lauten.
Ich hatte gehofft, dass es für lokale Laufwerke eine ähnliche Lösung wie für Netzlaufwerke mit dem Acces Based
Enumeration gibt. Leider funktioniert ABE ja wirklich nur auf Netzlaufwerken.
Auf den Terminal Server greifen zurzeit nicht nur unternehmensinterne Mitarbeiter zu, sondern auch ein paar Dienstleister. Diesen
sollte der Zugriff auf systemkritische Dateien eben so weit wie möglich verweigert werden. Diese sollen nicht wissen, mit
welcher Software wir arbeiten oder wie die Aliase der internen Benutzer lauten.
Dann setze für diese ein Extra Netz auf. Anders wirst du keine 100% Abkapselung schaffen.
Da jeder Benutzer per default das Privileg Bypass-traverse-checking* besitzt, solltest Du einschalten können, dass er auf c:\users (und nur auf den Ordner, nicht vererben) nur Durchquerungsrechte erhält (traverse folder). Dann kann er an seinen ran, ohne aber die anderen auch nur sehen zu können.
