Jump to content

USB-Zugriff per GPO auf Benutzerebene verbieten


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

wir haben folgendes Problem:

 

Unsere User Arbeiten auf mehreren Server 2008R2 Terminalservern, die Zuweisung erfolgt über einen Load-Balancer. Wir haben verschiedene Arten von Clients im Einsatz, teilweise richtige Workstations, teilweise Thin-Clients, manche davon auch auf Linux-Basis.

 

Nun möchten wir bestimmten Usern erlauben, ihre USB-Sticks an ihre Clients zu stecken, damit diese an den TS durchgereicht werden.

 

2 Dinge sind dabei wichtig:

 

1. Das ganze muss auf Benutzerebene geregelt sein, manche User müssen USB-Sticks benutzen dürfen, z.B. die Geschäftsführung, normale User aber auf gar keinen Fall.

 

2. Wenn ein User seinen USB-Stick einsteckt und dieser im Arbeitsplatz des TS erscheint, darf nur er Zugriff auf den Datenträger haben, nicht aber andere User, die gerade am selben TS angemeldet sind.

 

Ich frage mich nun, ob es möglich ist, das über eine GPO zu regeln. Ein erster Ansatz, den wir hatten, war das Durchreichen von Wechseldatenträgern auf die TS grundsätzlich zu erlauben, eine neue Gruppe zu erstellen z.B. "USB Access Denied", dort dann unter der User Policy "Removable Storage Access" das Schreib- und Leserecht zu entziehen und dann alle unprivilegierten User in diese Gruppe zu packen.

 

Wenn das funktioniert, bleibt immer noch das Problem, dass ein von einem privilegierten User verwendeter und durchgereichter USB-Stick auch für andere privilegierte User auf demselben TS zu sehen sind. Jeder dieser User soll aber ausschließlich seinen eigenen Stick verwenden dürfen.

 

Kommerzielle Lösungen wie der USB Redirector TS Edition scheitern auf den ersten Blick daran, dass sie aus einer Server- und einer Client-Komponente bestehen und von uns verwendete Betriebssysteme wie (Ubuntu)Linux und WindowsCE von der Client-Komponente nicht unterstützt werden.

 

Hat vielleicht jemand eine Idee, wie sich das ganze bewerkstelligen lässt?

Link zu diesem Kommentar

Eine Möglichkeit wäre 2 GPOs zu machen. Eine enthält unter Benutzer -> Administrative Vorlagen -> System -> Wechselmedien zugriff die Berechtigung und die andere nicht. Dazu packt man die Benutzer die Zugriff benötigen, in eine eigene Gruppe und wendet die GPO nur für diese Gruppe an.

 

Die andere Möglichkeit wäre ein RDP Gateway. Hiermit lassen sich über Gruppen die Ressourcen steuern.

Link zu diesem Kommentar

mit Citrix XenApp und entsprechenden Policies sollte das machbar sein.

 

Das klingt doch schon mal nach nem Plan, XenApp haben wir teilweise schon im Einsatz bzw. wird das von Kollegen gerade versucht zu evaluieren. Ich werde das mal an die Kollegen herantragen. Hast du da evtl. genauere Infos zur Vorgehensweise? Ich persönlich hatte damit noch nicht wirklich zu tun.

 

Alternativ könntest du eine weitere RDS Farm aufsetzen, auf welche sich nur die USB-User Zugriff haben und dort wird das Durchreichen der Sticks erlaubt.

 

Das wäre nicht wirklich praktikabel, denn da es nur sehr wenige Nutzer sind, die diese Funktionalität benötigen und wir wie schon erwähnt ein Load Balancing zw. den TS betreiben, müssten wir extra 2 TS nur für diese Nutzergruppe bereitstellen. Und selbst dann ist immer noch die Frage im Raum, wie wir verhindern, dass einer der privilegierten Benutzer Zugriff auf den durchgereichten Speicher des anderen privilegierten Nutzers hat. Und für jeden dieser Benutzer einen eigenen TS zur Verfügung zu stellen, halte ich für etwas übertrieben.

 

Eine Möglichkeit wäre 2 GPOs zu machen. Eine enthält unter Benutzer -> Administrative Vorlagen -> System -> Wechselmedien zugriff die Berechtigung und die andere nicht. Dazu packt man die Benutzer die Zugriff benötigen, in eine eigene Gruppe und wendet die GPO nur für diese Gruppe an.

 

Die andere Möglichkeit wäre ein RDP Gateway. Hiermit lassen sich über Gruppen die Ressourcen steuern.

 

Zum Thema Wechselmedium. AFAIK melden sich durchgereichte Wechseldatenträger am System nicht als Wechseldatenträger an, sondern als Systemgeräte ohne eigenen Laufwerksbuchstaben, ähnlich wie ein Smartphone, das sich als MTP-Gerät anmeldet. Ich vermute, das verkompliziert die Sache noch einmal.

 

Zuletzt auch hier wieder das Problem: Wie verhindere ich, dass ein Benutzer den Speicher des anderen verwenden kann? Jeder soll vom TS aus nur Zugriff auf das Gerät haben, dass er von *seinem* Client aus durchreicht.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...