Saegenjupp 0 Geschrieben 27. November 2018 Melden Teilen Geschrieben 27. November 2018 Hallo zusammen, habe die Folderredirection von den Servern auf die User gelegt, da wir bei wechselnden Servern immer Probleme hatten. Jetzt funktioniert alles gut. Der Nachteil ist, bei den eingesetzten RDP Clients haben die User ihren kompletten Desktop schon auf dem lokalen PC angezeigt, da der Zustand der Redirection ja erhalten bleibt und nicht auf lokal wechselt. Dieser sollte eigentlich erst nach der RDP Anmeldung am Server sichtbar sein. Ich denke ihr versteht was ich meine. Auf den RDP Clients melden sich die Anwender schon mit den Domänenaccounts an, bevor sie sich nochmals mit ihren Credentials zum Server verbinden. Deswegen sollen die Clients relativ clean bleiben. Vielleicht gibt es eine Möglichkeit den redirected Desktop lokal auszublenden. Benötigt wird eigentlich nur eine RDP Verknüpfung auf dem Desktop - eine Art Kioskmode. Die Folderredirection kann ich hier nicht vereinzelt unterbinden. Hin und her macht nur alles kaputt. Diese soll schon so auf den Usern liegen bleiben. Hauptsächlich sind es Win10Pro Clients. Hat da wer eine Idee? Zitieren Link zu diesem Kommentar
Saegenjupp 0 Geschrieben 27. November 2018 Autor Melden Teilen Geschrieben 27. November 2018 Mir ist da was eingefallen! Das Ziel der Folderredirection liegt ja auf meinem Fileserver. Wenn ich also einer bestimmte Gruppe an Computern den Zugriff auf den Fileserver verbieten würde, kann nur ein leeres, lokales Profil geladen werden, fertig! Ich wüsste grad nur nicht wie ich das verbieten könnte. Auf meinem Fileserver sehe ich ja welcher User von welchem PC zugreift. Also müsste der Fileserver ja auch unterscheiden können. Wer weiß wie? Zitieren Link zu diesem Kommentar
Saegenjupp 0 Geschrieben 27. November 2018 Autor Melden Teilen Geschrieben 27. November 2018 Habe noch mal überlegt, die GPO´s scheinen nur für Windows 7 und 2012r2 zu gelten. Bei Windows 10 müsste ich neuere/andere nehmen. Somit ist das ganze doch kein Problem, sondern nur eine unbegründete Annahme. Was mich aber dennoch interessieren würde, hätte ich einzelnen Geräten, unabhängig vom angemeldeten Benutzer, den Zugriff auf den Fileserver verweigern können? Und Wie? Zitieren Link zu diesem Kommentar
testperson 1.707 Geschrieben 27. November 2018 Melden Teilen Geschrieben 27. November 2018 Hi, es wäre vermutlich einfacher die GPO mit der FolderRedirection zu filtern und dort den RDP Clients das Lesen / Übernehmen zu verweigern. Gruß Jan Zitieren Link zu diesem Kommentar
Saegenjupp 0 Geschrieben 28. November 2018 Autor Melden Teilen Geschrieben 28. November 2018 vor 22 Stunden schrieb testperson: Hi, es wäre vermutlich einfacher die GPO mit der FolderRedirection zu filtern und dort den RDP Clients das Lesen / Übernehmen zu verweigern. Gruß Jan Hi, das hört sich auch gut an! In der GPO weiß ich nicht wie ich das anstellen kann. Glaube die Sicherheitsfilterung ist doch nur für Gruppern und User vorgesehen oder? Wie sieht das dann aus? Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 28. November 2018 Melden Teilen Geschrieben 28. November 2018 Und Computer haben keine Konten die man in Gruppen stecken könnte? Zitieren Link zu diesem Kommentar
testperson 1.707 Geschrieben 28. November 2018 Melden Teilen Geschrieben 28. November 2018 vor 4 Minuten schrieb Saegenjupp: Hi, das hört sich auch gut an! In der GPO weiß ich nicht wie ich das anstellen kann. Glaube die Sicherheitsfilterung ist doch nur für Gruppern und User vorgesehen oder? Wie sieht das dann aus? Dann filterst du eben per WMI aufs Betriebssystem. ;) Oder steckst die Computerkonten in Gruppen, wie NorbertFe schreibt. Bei so einem Szenario könnte man auch über den Loopbackverarbeitungsmodus nachdenken. Zitieren Link zu diesem Kommentar
Saegenjupp 0 Geschrieben 28. November 2018 Autor Melden Teilen Geschrieben 28. November 2018 Ich glaube ich habe es gefunden. Wenn ich dort einen Computer mit rein nehme, auf den die Richtlinie dazu nehme, sind dann automatisch alle anderen gesperrt? Doch nicht oder? Wenn dann ein User Rechte hat und einen Computer nutzt der nicht explizit getrusted ist, müsste die Richtlinie ja trotzdem greifen oder? Ich kann hier ja nur erlauben, nicht ausschließen. Wäre es auch möglich das Ganze über den Fileserver zu ändern ? Dann muss ich die GPO nicht verändern. Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 28. November 2018 Melden Teilen Geschrieben 28. November 2018 Nein der fileserver ist keine Lösung. ;) du musst verweigern definieren und am sinnvollsten per Gruppe und nicht einzelne computerkonten. Geh mal zum Reiter „Delegierung“ Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 28. November 2018 Melden Teilen Geschrieben 28. November 2018 Sicherheitsfilterung über den Reiter Delegierung > Erweitert bearbeiten. Siehe: https://www.gruppenrichtlinien.de/de/artikel/sicherheitsfilterung-neu-erfunden-ms16-072-patchday-14062016/ Zitieren Link zu diesem Kommentar
Saegenjupp 0 Geschrieben 28. November 2018 Autor Melden Teilen Geschrieben 28. November 2018 Super, habe es gefunden, danke euch! Habe alle RDP Computer in die Gruppe RDP-Clients gepackt und die Folderredirection verweigert: Muss ich mal beobachten ob das so klappt wie ich mir das vorgestellt habe Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 28. November 2018 Melden Teilen Geschrieben 28. November 2018 Du mußt doch nur "GPO übernehmen" verweigern. ;) Menno.... Zitieren Link zu diesem Kommentar
Saegenjupp 0 Geschrieben 28. November 2018 Autor Melden Teilen Geschrieben 28. November 2018 stimmt, war übereifrig Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 28. November 2018 Melden Teilen Geschrieben 28. November 2018 Nein, überflüssig. :) Zitieren Link zu diesem Kommentar
testperson 1.707 Geschrieben 28. November 2018 Melden Teilen Geschrieben 28. November 2018 Du könntest noch überlegen, es andersrum zu machen. Authentifizierte Benutzer -> Entfernen Domänen Benutzer -> Hinzufügen; Lesen + Übernehmen Gruppe mit den Computerkonten der RDS-Hosts -> Hinzufügen; Lesen In der Regel wechselt man den Client häufiger wie die Session Hosts. Dann hättest du weniger Aufwand / Verwaltung. ;) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.