Magroll 10 Geschrieben 2. März 2016 Melden Teilen Geschrieben 2. März 2016 Hallo zusammen, nach stundenlangem Suchen in den Weiten des Internets, hab ich fast aufgegeben, aber vielleicht ist ja wem von Euch hier eine Lösung bekannt. Ich versuche einen 2012R2 Terminalserver aufzusetzen. Wenn der mittlerweile stark beschränkte User sich dann an dem System anmeldet und die Windowstaste drückt kommt er auf die Startseite, hier braucht er nur einfach z.B.: c: eingeben und es öffnet sich ein Explorer mit Laufwerk C:\, obwohl dies über die Policies untersagt ist und der User im Normalfall auch keine Möglichkeit hierzu hat! :schreck: Dieses vermaledeite Suchfenster gibt generell Zugriff auf alles mögliche, was nicht explizit versteckt, gesperrt, oder sonst was ist. Das meiste habe ich mittlerweile ausgeblendet bekommen, aber den Laufwerkszugriff bekomme ich nicht unterbunden. :( Gibt es für 2012R2 irgendeine Möglichkeit die Suche aus der Startseite heraus zu verhindern, oder einzuschränken? Danke und Gruß, Mag Zitieren Link zu diesem Kommentar
testperson 1.677 Geschrieben 2. März 2016 Melden Teilen Geschrieben 2. März 2016 Hi, wenn dir ausblenden reicht könntest du das Laufwerk C einfach ausblenden ;) Warum sollen die User keinen Explorer starten können? Gruß Jan Zitieren Link zu diesem Kommentar
Magroll 10 Geschrieben 2. März 2016 Autor Melden Teilen Geschrieben 2. März 2016 Hi, wenn dir ausblenden reicht könntest du das Laufwerk C einfach ausblenden ;) Warum sollen die User keinen Explorer starten können? Gruß Jan Hallo Jan, Laufwerk C: ist ja über Policies ausgeblendet! Den Explorer dürfen die User auch gerne starten... Problem ist: Startseite aufmachen c: eingeben und ein Explorer mit Laufwerk C: öffnet sich! Cu Mag Zitieren Link zu diesem Kommentar
daabm 1.354 Geschrieben 2. März 2016 Melden Teilen Geschrieben 2. März 2016 Und wo ist da das Problem? Saubere ACLs, dann geht das völlig in Ordnung... Zitieren Link zu diesem Kommentar
Magroll 10 Geschrieben 3. März 2016 Autor Melden Teilen Geschrieben 3. März 2016 (bearbeitet) Das Problem ist, das ich mir damit eine neue große Baustelle (saubere ACL's) aufmache, die ich eigentlich nicht hätte, wenn ich den Zugriff auf Laufwerk c:, oder auch d: einfach unterbinden könnte. Es gibt leider Ordner auf Laufwerk c:, oder auch Laufwerk d: wo Software installiert ist, in der der User dann doch Vorgänge durchführen kann, die ich verhindern möchte, weils eben nicht in den Programmenordnern installiert ist. Ob die Software überhaupt noch sauber läuft, wenn ich da jetzt an den ACLs rumschraube muss ich dann auch für jede Software aufwändig testen. Mit unter ist da auch selbstentwickeltes Zeug dabei, das sich sicher nicht so verhält wie MS sich das wünschen würde. Diesen ganzen Stress würde ich gerne umgehen. Bei der Frage ob ich die Suche im Startfenster deaktivieren kann, bin ich jedoch noch keinen Schritt weiter... Cu Mag bearbeitet 3. März 2016 von Magroll Zitieren Link zu diesem Kommentar
Gu4rdi4n 58 Geschrieben 4. März 2016 Melden Teilen Geschrieben 4. März 2016 (bearbeitet) Software Restriciton Policies -> Alles verbieten bis auf windir und die benötigten programme mit absolutem Pfad -> nichts anderes geht mehr. Denn wenn sich der explorer nicht starten lässt, kann man auch nicht auf c: gehen ;) bearbeitet 4. März 2016 von Gu4rdi4n Zitieren Link zu diesem Kommentar
ChrisRa 42 Geschrieben 4. März 2016 Melden Teilen Geschrieben 4. März 2016 Denn wenn sich der explorer nicht starten lässt, kann man auch nicht auf c: gehen ;) Hmm, keine gute Idee. Das würde ich mir noch mal überlegen. Zitieren Link zu diesem Kommentar
Gu4rdi4n 58 Geschrieben 4. März 2016 Melden Teilen Geschrieben 4. März 2016 (bearbeitet) wieso nicht? Wenn man nur die RDP sitzung braucht und sonst nichts? Oder verstehe ich das problem jetzt falsch? *ironie*Diese vermalledeiten Chemtrails vernebeln mir das hirn! :D bearbeitet 4. März 2016 von Gu4rdi4n Zitieren Link zu diesem Kommentar
Magroll 10 Geschrieben 4. März 2016 Autor Melden Teilen Geschrieben 4. März 2016 (bearbeitet) Also die Anforderung ist ja schon den Usern einen voll funktionsfähigen RDP Server zur Verfügung zu stellen. Dort sollen diverse Anwendungen laufen SAP, Office usw. Klar soll der User auch mal den Explorer öffnen können, um an seine Daten auf Laufwerk H: zu kommen. Aber ich möchte natürlich nicht das ein (einfacher) Zugriff auf Laufwerk c: und d: möglich ist. 100%ige Sicherheit erwarte ich ja schon gar nicht mehr... Dafür gibt es ja auch eine Policy, welche diese Laufwerke ausblendet. Aber was nützt mir diese Policy, wenn ich über das Startfenster eine so einfache Möglichkeit habe das zu umgehen? Für mich ist das ein Bug, Designfehler, oder einfach Schwachsinn von MS. Die einfachste Variante für mich, wäre die Möglichkeit die Suche auf der Startseite abzuschalten. Dies scheint wohl aber nicht möglich zu sein. Keine Ahnung wie andere dieses Problem lösen?! Cu Mag bearbeitet 4. März 2016 von Magroll Zitieren Link zu diesem Kommentar
Beste Lösung Sunny61 806 Geschrieben 4. März 2016 Beste Lösung Melden Teilen Geschrieben 4. März 2016 Dafür gibt es ja auch eine Policy, welche diese Laufwerke ausblendet. Aber was nützt mir diese Policy, wenn ich über das Startfenster eine so einfache Möglichkeit habe das zu umgehen? Für mich ist das ein Bug, Designfehler, oder einfach Schwachsinn von MS. Das gibt es allerdings schon etwas länger. Zusätzlich kann ein Programmierer mit Hilfe verschiedener APIs verschiedene Explorerfenster aufrufen, dann hast Du dort auch verloren. NTFS-Berechtigungen setzen und ABE einsetzen. Zitieren Link zu diesem Kommentar
Magroll 10 Geschrieben 7. März 2016 Autor Melden Teilen Geschrieben 7. März 2016 Danke! Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 7. März 2016 Melden Teilen Geschrieben 7. März 2016 Es gibt es 2 Policies: Die Eine blendet nur die Laufwerke im Explorer aus, die Andere blockiert sämtliche Zugriffe über die Shell32.dll. Klappt das unter Windows 8/2012 nicht mehr? Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.