8
WinServer 2008 R2 - DC und RDS - GPO Settings
Hallo Zusammen,
ich hätte da einige Probleme bezüglich WinServer 2008 R2 mit den DC und RDS Rollen.
Hallo Zusammen,
ich hätte da einige Probleme bezüglich WinServer 2008 R2 mit den DC und RDS Rollen.
Wir haben einen neuen Server bei uns in der Firma, welcher sowohl als DC als auch als RemoteDesktop Server arbeiten soll.
Nun möchte ich aber das nicht jeder User zugriff auf alle Festplatten/Ordner hat, und auch keine möglichkeit hat diese zu sehen. Aber zusätzlich sollen einige bestimmte User auch auf explizite Ordner zugreifen können.
Habe bisher versucht das ganze mit den GPOs und dem AD zu regeln, doch die vorhandenen Administrativen Vorlagen bzw. Freigaben und Berechtigungen bringen mich irgendwie nicht dahin wo ich hin möchte.
Könnte mir jemand irgendwie dabei helfen?
Mit freundlichen Grüßen
Sairecks
ich hätte da einige Probleme bezüglich WinServer 2008 R2 mit den DC und RDS Rollen.
Wir haben einen neuen Server bei uns in der Firma, welcher sowohl als DC als auch als RemoteDesktop Server arbeiten soll.
Nun möchte ich aber das nicht jeder User zugriff auf alle Festplatten/Ordner hat, und auch keine möglichkeit hat diese zu sehen. Aber zusätzlich sollen einige bestimmte User auch auf explizite Ordner zugreifen können.
Habe bisher versucht das ganze mit den GPOs und dem AD zu regeln, doch die vorhandenen Administrativen Vorlagen bzw. Freigaben und Berechtigungen bringen mich irgendwie nicht dahin wo ich hin möchte.
Könnte mir jemand irgendwie dabei helfen?
Mit freundlichen Grüßen
Sairecks
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 168006
Url: https://administrator.de/contentid/168006
Printed on: April 19, 2024 at 19:04 o'clock
8 Comments
Latest comment
Moin
Deine Problematik bildet genau einen der Gründe, weshalb man das so nicht konfigurieren soll. Entweder DC oder RDS. Nicht beides.
Was du in einer solchen Situation aber machen kannst ist, die lokalen Laufwerke des Servers per GPO ausblenden. Die Ordner, auf die die Benutzer dann doch Zugriff haben sollen, verbindest du als Netzlaufwerk.
Gruß
Hubert
Wir haben einen neuen Server bei uns in der Firma, welcher sowohl als DC als auch als RemoteDesktop Server arbeiten soll.
Deine Problematik bildet genau einen der Gründe, weshalb man das so nicht konfigurieren soll. Entweder DC oder RDS. Nicht beides.
Was du in einer solchen Situation aber machen kannst ist, die lokalen Laufwerke des Servers per GPO ausblenden. Die Ordner, auf die die Benutzer dann doch Zugriff haben sollen, verbindest du als Netzlaufwerk.
Gruß
Hubert
Was du in einer solchen Situation aber machen kannst ist, die lokalen Laufwerke des Servers per GPO ausblenden. Die Ordner, auf
die die Benutzer dann doch Zugriff haben sollen, verbindest du als Netzlaufwerk.
die die Benutzer dann doch Zugriff haben sollen, verbindest du als Netzlaufwerk.
Das habe ich bisher auch so gemacht, jedoch möchte mein Vorgesetzter es nicht so haben, weil man noch per Standardfreigabe auf alle Daten zugreifen kann.
Habe dann vorgeschlagen die Standardfreigaben auch zu deaktivieren, aber nach jedem Neustart, falls das mal vor kommt, muss man diese wieder deaktivieren.
Und von der Idee war er auch nicht begeistert.
Nun versuch ich irgendwie eine andere Lösung zu finden, aber es scheint wohl keine zu geben. Oder seh ich das falsch?
Gruß
Sairecks
weil man noch per Standardfreigabe auf alle Daten zugreifen kann
Wenn ich mich recht entsinne, sind das doch "administrative Freigaben" - da kann ich als Benutzer nicht drauf zugreifen.
Gruß
Wenn ich mich recht entsinne, sind das doch "administrative Freigaben" - da kann ich als Benutzer nicht drauf
zugreifen.
zugreifen.
Man kann aber trotzdem noch auf alles zugreifen, habs ja getestet gehabt. Ansonsten würde ich ja diese Methode nutzen, aber per \\localhost\$d kann ich komplett auf D:\ zugreifen und kann auch alles betrachten und durchsuchen.
Und das möchte ich irgendwie umgehen.
Gruß
Sairecks
Wenn du diese Freigaben nutzen kannst, dann haben die Benutzer zu viele Rechte.
DC als Terminalserver auf dem die Benutzer wahrscheinlich Adminrechte haben ?! Damit erübrigt sich dann an dieser Stelle eigentlich die Diskussion.
Gruiß
DC als Terminalserver auf dem die Benutzer wahrscheinlich Adminrechte haben ?! Damit erübrigt sich dann an dieser Stelle eigentlich die Diskussion.
Gruiß
DC als Terminalserver auf dem die Benutzer wahrscheinlich Adminrechte haben ?! Damit erübrigt sich dann an dieser Stelle
eigentlich die Diskussion.
eigentlich die Diskussion.
Die Sache ist ja, dass die User keine Adminrechte bekommen sollen. Die User, welche per RDS auf den Server zugreifen, haben keine Adminrechte oder ähnliches, aber trotzdem können sie per Standardfreigabe auf $d, $c etc. zugreifen.
Die User sind nur Mitglieder einer Gruppe X und diese Gruppe ist Mitglied der Gruppe "Remotedesktop-Benutzer" um den Terminaldienst zu nutzen.
Und dann hab ich eine zusätzliche GPO für die Gruppe X, um einige Sachen zu beschränken, aber mit den Laufwerken klappt irgendwie nicht, der rest funktioniert Problemlos.
Gruß
Bevor ich mich so weit aus dem Fenster lehne, hatte ich das gecheckt... Bei meinen Servern geht das nicht als Benutzer.
Wie greifen die Benutzer denn auf diese Freigaben zu ? Ich habe auf meinen Servern pauschal "Ausführen" entfernt und ebenso die Netzwerkumgebung.Ich musste gerade schon tricksen um überhaupt an einer Stelle den Pfad \\1270.0.01\c$ überhaupt eingeben zu können.
Suche dazu doch sonst mal die empfohlenen GPO-Einstellungen für Terminalserver raus. z.B. zui finden auf www.gruppenrichtlinien.de
Gruß
Wie greifen die Benutzer denn auf diese Freigaben zu ? Ich habe auf meinen Servern pauschal "Ausführen" entfernt und ebenso die Netzwerkumgebung.Ich musste gerade schon tricksen um überhaupt an einer Stelle den Pfad \\1270.0.01\c$ überhaupt eingeben zu können.
Suche dazu doch sonst mal die empfohlenen GPO-Einstellungen für Terminalserver raus. z.B. zui finden auf www.gruppenrichtlinien.de
Gruß
Wie greifen die Benutzer denn auf diese Freigaben zu ? Ich habe auf meinen Servern pauschal "Ausführen" entfernt
und ebenso die Netzwerkumgebung.Ich musste gerade schon tricksen um überhaupt an einer Stelle den Pfad \\1270.0.01\c$
überhaupt eingeben zu können.
und ebenso die Netzwerkumgebung.Ich musste gerade schon tricksen um überhaupt an einer Stelle den Pfad \\1270.0.01\c$
überhaupt eingeben zu können.
Im Windows Explorer in der Addressleiste.
Da hab ich bestimmt was in den GPO-Einstellungen übersehen, dass man dort den Pfad angeben kann.
Muss Ich mal nochmal schauen.
Und danke schonmal für deine Hilfe.
Gruß
