Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Systemlaufwerke (C, D) auf Terminal Server 2012 ausblenden

Frage Microsoft Windows Server

Mitglied: Lorion

Lorion (Level 1) - Jetzt verbinden

26.11.2013 um 09:15 Uhr, 5786 Aufrufe, 8 Kommentare

Hallo,

zunächst möchte ich sagen, dass ich das Ausblenden von Systemlaufwerken auf dem Terminal Server bereits durchgeführt habe. Das ganze kann ja recht problemlos über die Gruppenrichtlinien eingerichtet werden.

Im Datei-Explorer und im Arbeitsplatz werden die Systemlaufwerke auch nicht angezeigt, sondern nur die dem Benutzer zugeordneten Netzlaufwerke.

Nun zu meinem Problem:

Ausgangslage: Wir betreiben einen Windows 2012 (kein R2) Terminal Server. Als Domain Controller (inkl. Gruppenrichtlinienverwaltung) kommt ein Windows Server 2008 R2 zum Einsatz.

Ein Benutzer kann auf eine Datei rechtsklicken und im Kontextmenü "Öffnen mit" auswählen. In dem kleinen Menü wählt man "Weitere Optionen" -> "Andere App auf diesem PC suchen".

Und voila, es öffnet sich der Datei-Explorer im Ordner C:\Program Files. Daraufhin kann der Benutzer den Inhalt der C: Partition durchsuchen und eventuell kritische Daten einsehen.

Gibt es eine Möglichkeit, das irgendwie zu unterbinden? Die Laufwerke an sich sind ja auch ausgeblendet, aber durch diesen kleinen Trick kann ein Benutzer leider dennoch auf Systemlaufwerke zugreifen.

Gibt es hier eventuell weitere Gruppenrichtlinien, die man definieren kann? Oder ist das Setzen von Berechtigungen auf der C: Partition eine Möglichkeit? Doch wie setze ich Rechte, ohne den Benutzer komplett vom System auszusperren (Er soll die auf C: installierten Programme ja trotzdem starten können)?
Mitglied: DerWoWusste
26.11.2013 um 09:30 Uhr
Moin.

Warum stört es, dass er c:\program files sieht? Beschreib doch mal, was genau Du verhindern möchtest.
Natürlich kannst Du ihm hier und da Leserechte nehmen, aber wie Du schon sagst, diese werden zum Teil gebraucht.
Bitte warten ..
Mitglied: certifiedit.net
26.11.2013 um 09:36 Uhr
Guten Morgen Lorion,

wenn der Benutzer auf c:\... zugreifen kann ist das kein Beinbruch, solange der Benutzer nur begrenzte Rechte hat. Du solltest natürlich nicht unter c:\ProgramFiles GL internas ablegen. Das sollte aber klar sein.

Grüße,

Christian
Bitte warten ..
Mitglied: Lorion
26.11.2013, aktualisiert um 09:40 Uhr
Hallo.

Danke für die Antwort.

Was ich verhindern möchte, ist dass der Benutzer ALLES was sich auf den Systemlaufwerken befindet, einsehen kann.

Sobald der Benutzer diesen "Trick" anwendet, steht der Datei-Explorer auf C:\Program Files. Mit dem Button "Ordner hoch" eine Ebene weiter nach oben navigieren und sieht den Ihnalt von C: Hier kann er in das Windows Verzeichnis (C:\Windows) navigieren oder in das Benutzerprofil-Verzeichnis (C:\Users), in dem die Profile der einzelnen Benutzer liegen. Die Profile selbst kann er zwar nicht einsehen, aber die Profilordner haben eben die Namen des Benutzer-Alias.

Das soll generell alles unterbunden werden. Gibt es hier eine Möglichkeit?
Bitte warten ..
Mitglied: DerWoWusste
26.11.2013, aktualisiert um 09:46 Uhr
Die Profile selbst kann er zwar nicht einsehen, aber die Profilordner haben eben die Namen des Benutzer-Alias.
Was stört denn daran, dass er die Ordner sieht? Wirst Du nicht verhindern können.
Das soll generell alles unterbunden werden
Was denn?
Bitte genau.
Bitte warten ..
Mitglied: certifiedit.net
26.11.2013 um 09:46 Uhr
Hallo Lorion,

sobald du daran etwas änderst dürftest du den Server unbrauchbar machen.
Bitte warten ..
Mitglied: Lorion
26.11.2013 um 10:18 Uhr
Ich hatte gehofft, dass es für lokale Laufwerke eine ähnliche Lösung wie für Netzlaufwerke mit dem Acces Based Enumeration gibt. Leider funktioniert ABE ja wirklich nur auf Netzlaufwerken.

Auf den Terminal Server greifen zurzeit nicht nur unternehmensinterne Mitarbeiter zu, sondern auch ein paar Dienstleister. Diesen sollte der Zugriff auf systemkritische Dateien eben so weit wie möglich verweigert werden. Diese sollen nicht wissen, mit welcher Software wir arbeiten oder wie die Aliase der internen Benutzer lauten.
Bitte warten ..
Mitglied: certifiedit.net
26.11.2013 um 10:21 Uhr
Zitat von Lorion:

Ich hatte gehofft, dass es für lokale Laufwerke eine ähnliche Lösung wie für Netzlaufwerke mit dem Acces Based
Enumeration gibt. Leider funktioniert ABE ja wirklich nur auf Netzlaufwerken.

Auf den Terminal Server greifen zurzeit nicht nur unternehmensinterne Mitarbeiter zu, sondern auch ein paar Dienstleister. Diesen
sollte der Zugriff auf systemkritische Dateien eben so weit wie möglich verweigert werden. Diese sollen nicht wissen, mit
welcher Software wir arbeiten oder wie die Aliase der internen Benutzer lauten.

Dann setze für diese ein Extra Netz auf. Anders wirst du keine 100% Abkapselung schaffen.
Bitte warten ..
Mitglied: DerWoWusste
26.11.2013 um 10:34 Uhr
Da jeder Benutzer per default das Privileg Bypass-traverse-checking* besitzt, solltest Du einschalten können, dass er auf c:\users (und nur auf den Ordner, nicht vererben) nur Durchquerungsrechte erhält (traverse folder). Dann kann er an seinen ran, ohne aber die anderen auch nur sehen zu können.

Bitte warten ..
Ähnliche Inhalte
Windows Server
gelöst C-Partition vergrößern, bei vorhandenem D? (7)

Frage von 1410640014 zum Thema Windows Server ...

Windows Server
gelöst Systemlaufwerk auf Terminalserver voll (12)

Frage von pablovic zum Thema Windows Server ...

Windows Server
gelöst RDS 2012 CALs mit 2003er Terminal-Server (11)

Frage von plexxus zum Thema Windows Server ...

Verschlüsselung & Zertifikate
gelöst Systemlaufwerk mit Bitlocker und Smartcard verschlüsseln (6)

Frage von Krabbat zum Thema Verschlüsselung & Zertifikate ...

Neue Wissensbeiträge
Windows Server

Umstellung SHA 1 auf SHA 2 - Migration der CA von CSP auf KSP

Tipp von Badger zum Thema Windows Server ...

Windows 10

Quato DTP94 unter Windows 10 x64 installieren und verwenden

Anleitung von anteNope zum Thema Windows 10 ...

Windows 10

Win10 1703 und Nutzerkennwörter bei Ersteinrichtung - erstaunliche Erkenntnis

(15)

Erfahrungsbericht von DerWoWusste zum Thema Windows 10 ...

Heiß diskutierte Inhalte
Internet
gelöst Jeden morgen Internet-Probleme (57)

Frage von pjrtvly zum Thema Internet ...

LAN, WAN, Wireless
gelöst IP Adressen - Modem - Switch - Accesspoint (25)

Frage von teuferl82 zum Thema LAN, WAN, Wireless ...

Server-Hardware
HP DL380 G7: Booten vom USB via USB 3.1-PCI-e Karte möglich? (24)

Frage von Paderman zum Thema Server-Hardware ...

DSL, VDSL
VDSL Signal via PowerLine an Fritzbox - Möglich? (19)

Frage von Seichobob zum Thema DSL, VDSL ...