Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Systemlaufwerke (C, D) auf Terminal Server 2012 ausblenden

Frage Microsoft Windows Server

Mitglied: Lorion

Lorion (Level 1) - Jetzt verbinden

26.11.2013 um 09:15 Uhr, 5190 Aufrufe, 8 Kommentare

Hallo,

zunächst möchte ich sagen, dass ich das Ausblenden von Systemlaufwerken auf dem Terminal Server bereits durchgeführt habe. Das ganze kann ja recht problemlos über die Gruppenrichtlinien eingerichtet werden.

Im Datei-Explorer und im Arbeitsplatz werden die Systemlaufwerke auch nicht angezeigt, sondern nur die dem Benutzer zugeordneten Netzlaufwerke.

Nun zu meinem Problem:

Ausgangslage: Wir betreiben einen Windows 2012 (kein R2) Terminal Server. Als Domain Controller (inkl. Gruppenrichtlinienverwaltung) kommt ein Windows Server 2008 R2 zum Einsatz.

Ein Benutzer kann auf eine Datei rechtsklicken und im Kontextmenü "Öffnen mit" auswählen. In dem kleinen Menü wählt man "Weitere Optionen" -> "Andere App auf diesem PC suchen".

Und voila, es öffnet sich der Datei-Explorer im Ordner C:\Program Files. Daraufhin kann der Benutzer den Inhalt der C: Partition durchsuchen und eventuell kritische Daten einsehen.

Gibt es eine Möglichkeit, das irgendwie zu unterbinden? Die Laufwerke an sich sind ja auch ausgeblendet, aber durch diesen kleinen Trick kann ein Benutzer leider dennoch auf Systemlaufwerke zugreifen.

Gibt es hier eventuell weitere Gruppenrichtlinien, die man definieren kann? Oder ist das Setzen von Berechtigungen auf der C: Partition eine Möglichkeit? Doch wie setze ich Rechte, ohne den Benutzer komplett vom System auszusperren (Er soll die auf C: installierten Programme ja trotzdem starten können)?
Mitglied: DerWoWusste
26.11.2013 um 09:30 Uhr
Moin.

Warum stört es, dass er c:\program files sieht? Beschreib doch mal, was genau Du verhindern möchtest.
Natürlich kannst Du ihm hier und da Leserechte nehmen, aber wie Du schon sagst, diese werden zum Teil gebraucht.
Bitte warten ..
Mitglied: certifiedit.net
26.11.2013 um 09:36 Uhr
Guten Morgen Lorion,

wenn der Benutzer auf c:\... zugreifen kann ist das kein Beinbruch, solange der Benutzer nur begrenzte Rechte hat. Du solltest natürlich nicht unter c:\ProgramFiles GL internas ablegen. Das sollte aber klar sein.

Grüße,

Christian
Bitte warten ..
Mitglied: Lorion
26.11.2013, aktualisiert um 09:40 Uhr
Hallo.

Danke für die Antwort.

Was ich verhindern möchte, ist dass der Benutzer ALLES was sich auf den Systemlaufwerken befindet, einsehen kann.

Sobald der Benutzer diesen "Trick" anwendet, steht der Datei-Explorer auf C:\Program Files. Mit dem Button "Ordner hoch" eine Ebene weiter nach oben navigieren und sieht den Ihnalt von C: Hier kann er in das Windows Verzeichnis (C:\Windows) navigieren oder in das Benutzerprofil-Verzeichnis (C:\Users), in dem die Profile der einzelnen Benutzer liegen. Die Profile selbst kann er zwar nicht einsehen, aber die Profilordner haben eben die Namen des Benutzer-Alias.

Das soll generell alles unterbunden werden. Gibt es hier eine Möglichkeit?
Bitte warten ..
Mitglied: DerWoWusste
26.11.2013, aktualisiert um 09:46 Uhr
Die Profile selbst kann er zwar nicht einsehen, aber die Profilordner haben eben die Namen des Benutzer-Alias.
Was stört denn daran, dass er die Ordner sieht? Wirst Du nicht verhindern können.
Das soll generell alles unterbunden werden
Was denn?
Bitte genau.
Bitte warten ..
Mitglied: certifiedit.net
26.11.2013 um 09:46 Uhr
Hallo Lorion,

sobald du daran etwas änderst dürftest du den Server unbrauchbar machen.
Bitte warten ..
Mitglied: Lorion
26.11.2013 um 10:18 Uhr
Ich hatte gehofft, dass es für lokale Laufwerke eine ähnliche Lösung wie für Netzlaufwerke mit dem Acces Based Enumeration gibt. Leider funktioniert ABE ja wirklich nur auf Netzlaufwerken.

Auf den Terminal Server greifen zurzeit nicht nur unternehmensinterne Mitarbeiter zu, sondern auch ein paar Dienstleister. Diesen sollte der Zugriff auf systemkritische Dateien eben so weit wie möglich verweigert werden. Diese sollen nicht wissen, mit welcher Software wir arbeiten oder wie die Aliase der internen Benutzer lauten.
Bitte warten ..
Mitglied: certifiedit.net
26.11.2013 um 10:21 Uhr
Zitat von Lorion:

Ich hatte gehofft, dass es für lokale Laufwerke eine ähnliche Lösung wie für Netzlaufwerke mit dem Acces Based
Enumeration gibt. Leider funktioniert ABE ja wirklich nur auf Netzlaufwerken.

Auf den Terminal Server greifen zurzeit nicht nur unternehmensinterne Mitarbeiter zu, sondern auch ein paar Dienstleister. Diesen
sollte der Zugriff auf systemkritische Dateien eben so weit wie möglich verweigert werden. Diese sollen nicht wissen, mit
welcher Software wir arbeiten oder wie die Aliase der internen Benutzer lauten.

Dann setze für diese ein Extra Netz auf. Anders wirst du keine 100% Abkapselung schaffen.
Bitte warten ..
Mitglied: DerWoWusste
26.11.2013 um 10:34 Uhr
Da jeder Benutzer per default das Privileg Bypass-traverse-checking* besitzt, solltest Du einschalten können, dass er auf c:\users (und nur auf den Ordner, nicht vererben) nur Durchquerungsrechte erhält (traverse folder). Dann kann er an seinen ran, ohne aber die anderen auch nur sehen zu können.

Bitte warten ..
Neuester Wissensbeitrag
Festplatten, SSD, Raid

12TB written pro SSD in 2 Jahren mit RAID5 auf Hyper-VServer

Erfahrungsbericht von Lochkartenstanzer zum Thema Festplatten, SSD, Raid ...

Ähnliche Inhalte
Windows Server
gelöst Terminal Server 2012 R2 Probleme (3)

Frage von gansa28 zum Thema Windows Server ...

Windows Server
gelöst RDS 2012 CALs mit 2003er Terminal-Server (11)

Frage von plexxus zum Thema Windows Server ...

Windows Server
Windows Server 2012 R2 Benutzerkonto für Zugriff auf AD Benutzer (1)

Frage von JulianOhm zum Thema Windows Server ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (34)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...