Terminalserver

[Haudrauf 10]

Szenario:

W2K Server, Terminalserver läuft, Anwendung bei Anmeldung soll gestartet werden, klappt auch, heißt, bei Anmeldung mit TSClient kann man sich auf dem Server einloggen und die dazugehörige Anwendung startet, sonst sieht man nichts.

 

Nun habe ich das allerdings nur bei Anmeldung als Admin probiert.

 

Ziel:

Ich möchte erreichen, das sich ein bzw mehrere User übers Internet auf dem Server als User einloggen können, um besagte Anwendung starten zu können (Warenwirtschaft).(Hardwarefirewall vorhanden, Port Redriection funktioniert)

 

Problem:

Ich habe an meinem Arbeitsplatz auch den TSClient, um auf den Server zugreifen zu können, damit ich nicht immer dahin rennen muß. Aber da ich ja nun eine Anwendung festgelegt habe, die bei Anmeldung startet, sehe ich als admin ja auch nix mehr.

 

Frage:

Wie richte ich nun einen oder mehrere User ein, die sich als TSClient anmelden können und nur besagte Anwendung starten können, damit ich als Admin im lokalen Netzwerk über den Client wie vorher den Vollzugriff habe ?

 

Welche Aspekte im Bezug au die Sicherheit müßte ich noch beachten ?

 

 

Danke !

[Apotheker 10]

Sämtliche von Dir gemachten Angaben lassen sich über den Client-Verbindungsmanager auch clientgenau machen, dort gibt es auch die Möglichkeit, direkt ein Programm zu starten. Dann muss allerdings in der Terminaldienstekonfiguration bei Eigenschaften von RDP-Tcp in den Anmeldeeinstellungen "Anmeldeinformationen vom Client verwenden" aktiviert sein und bei Umgebung -> "Clientverbindungs-Einstellungen deaktivieren" darf nicht aktiviert sein.

Damit lassen sich sogar verschiedene Zugriffe auf einen Terminalserver steuern. Die Einstellungen kann man dann exportieren und bei anderen Rechnern importieren, sie stehen auch bei "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client" und lassen sich von da in ein *.reg-file exportieren. Bei servergespeicherten Profilen wandern sie mit.

MfG

Apotheker

[Haudrauf 10]

Sehr schön, das war genau die Info die ich haben wollte, also wenn ich das so aktiviere, kann auch ein eingetragener Domänenuser sich darüber verbinden, der dann nur das Ihm zugewiesene Programm starten kann, richtig ?

 

Und wenn ich mich als Admin einlogge kann ich wie vorher alles sehen ?

 

Hm, nun habe ich ja aber in rdp-tcp nur die möglichkeit einmal etwas einzustellen.

 

Was dann ja zur Folge hat, das ich nur einmal diese Einstellung treffen kann und somit auch als Admin nur das Programm habe wenn ich mich einlogge.

 

[Apotheker 10]

Die Einstellungen in rdp-tcp müssen leer bleiben, Du muss die Einstellungen über den Clientverbindungsmanager auf dem Clientrechner (!) durchführen. Der Manager befindet sich in Start / Programme / Terminaldiensteclient / Clientverbindungsmanager oder in C:\Programme\Terminal Services Client\Conman.exe jeweils auf der WORKSTATION !!!

MfG

Apotheker

[Haudrauf 10]

Aber dann hat ja der Client die Möglichkeit unter den Eigenschaften die Einstellung für das zu startende Programm zu entfernen und bekommt somit auch Zugriff auf die gesamte Serveroberfläche und genau das soll ja nicht passieren.

 

Bleibt mir offensichtlich nur, die Einstellung für den Terminal und das zu startende Programm doch auf dem Server einzustellen und mich selber weiter mit dem Remote Admin auf dem Server einzuloggen, dann habe ich Vollzugriff und die Clients eben nur das Programm.

 

 

Anders gehts offensichtlich nicht, ohne das am Client über den Manager die Einstellung vorzunehmen ist, die dann aber der Client ja ändern kann !

 

Gruß

[Apotheker 10]

Einfach die Sicherheitseinstellungen des o.g. Registrierungsschlüssels mit regedt32 ändern auf "Lesen" für den User, schon kann der Client die Einstellungen nicht mehr ändern. Alternativ kann man dem User das Recht entziehen, das Program Conman.exe auszuführen. Oder....

MfG

Apotheker

[Haudrauf 10]

Stimmt ja, auf das einfachste kommt man zuletzt, natürlich !

 

Danke sehr !