emw 0 Geschrieben 11. November 2020 Melden Teilen Geschrieben 11. November 2020 Hallo, ich habe eine Remote Desktop Server Win2019 aufgesetzt (Hyper-V) mit DC und diesem Terminalserver und mit Gruppenrichtlinien (es gibt ja schon eine ältere Doku zum Einschränken) für die Standard-RD-User vorgegeben - das funktioniert auch. Jedoch habe ich immer noch im Menü z.B. der Servermanager oder die Verwaltung zur Auswahl - das würde ich gerne komplett einschränken oder entfernen - ich finde nur keine passenden Richtlinien. zur Erläuterung - ich habe in der AD eine Gruppe mit dem RDServer angelegt und in die Gruppenrichtlinie die Lizenzierung gesteckt. Dann: eine Gruppe Mitarbeiter und eine Gruppe IT angelegt - auf die Gruppe Mitarbeiter die Richtlinie RD_User_eingeschränkt und hier die Beschränkungen (keine Systemsteuerung, kein Netzlaufwerk verbinden, etc.) - die Info, die ich im Internet gefunden habe, sind aus älteren Zeiten (server 2012) - leider konnte ich keine aktuellere Doku zu diesem Thema entdecken. (https://www.gruppenrichtlinien.de/artikel/remote-desktop-server-terminal-server) Vielleicht habt ihr bessere Vorschläge aus der Praxis, wie der RD-User möglichst wenig zu Gesicht bekommt? Er soll ja nur seine Programme, die ich ihm per Sammlung erteilt habe, nutzen Noch eine andere Frage, die mir gerade einfällt: wenn ich ein Gerät tausche, oder nicht mehr benutze, das bereits eine Lizenz gezogen hat (Lizenzierung PRO GERÄT) - wie kann ich das entfernen, so dass möglichst schnell ein anderes dafür die Lizenz nutzen kann? vorab herzlichen Dank Gruß EMW Zitieren Link zu diesem Kommentar
testperson 1.675 Geschrieben 11. November 2020 Melden Teilen Geschrieben 11. November 2020 Hi, ich würde so wenig wie möglich per GPO ausblenden / einschränken. Seit Server 2012 (R2)(?) oder auch Server 2016(?) kann auch der neugierige User kaum noch was (aus versehen) "kaputt" machen. Er kann zwar hier und da Dinge ggfs. öffnen, wird dann aber früher oder später mit einem "Zugriff verweigert" abgelehnt. Generell würde ich eher zu "Applocker" tendieren und Software whitelisting betreiben. Startmenü: https://docs.microsoft.com/en-us/windows/configuration/customize-and-export-start-layout Default Profile: https://docs.microsoft.com/en-us/troubleshoot/windows-client/deployment/customize-default-local-user-profile Ansonsten: https://www.microsoft.com/en-us/download/details.aspx?id=55319 https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-security-baselines https://cloudblogs.microsoft.com/windowsserver/2017/08/22/now-available-windows-server-2016-security-guide/ Wenn die User möglichst wenig zu Gesicht bekommen sollen: RemoteApps. Die verhindern aber auch nicht, dass der User sich trotzdem zum Desktop verbindet. vor einer Stunde schrieb emw: Noch eine andere Frage, die mir gerade einfällt: wenn ich ein Gerät tausche, oder nicht mehr benutze, das bereits eine Lizenz gezogen hat (Lizenzierung PRO GERÄT) - wie kann ich das entfernen, so dass möglichst schnell ein anderes dafür die Lizenz nutzen kann? Das ist nicht notwendig. Das neue Device bekommt dann vorerst eine temporäre CAL, die 90 Tage gültig ist. Wenn das alte Device x (AFAIK irgendwas um 50 Tage) bis 89 Tage keine Verbindung mehr herstellt, wandert diese CAL zurück in den Lizenz-Pool. Gruß Jan Zitieren Link zu diesem Kommentar
emw 0 Geschrieben 12. November 2020 Autor Melden Teilen Geschrieben 12. November 2020 Hallo, herzlichen Dank für die Infos! ich habe zu den Gruppenrichtlinien jetzt noch eine Frage - nachdem ich fast alles durchgetestet habe, was der "Terminialuser = Domänenbenutzer" alles darf oder auch nicht, hab ich schon gesehen, dass oft die Meldung kommt, sie sind als Standardbenutzer angemeldet oder Zugriff verweigert... Aber was so ein User könnte, ist CMD starten und z.B. auf C:\ Ordner anlegen, löschen..... - auch Powershell steht ihm zur Verfügung und Netzlaufwerke könnte er auch verbinden, falls dort die Rechte nicht stark eingeschränkt sind - wäre eine Gruppenrichtlinie für alle Remotedesktopbenutzer (ohne die Admins) für so einen Fall nicht doch sinnvoll - vermutlich hab ich noch weitere Einschränkungen, die ganz wichtig wären vergessen? Manchmal gibt es ja in der Firma Leute, die einfach nur mal "probieren" wollen was geht - was ich nicht sehe, kann ich auch nicht "probieren"? Habt ihr noch ein paar Tips? Noch etwas beschäftigt mich hierbei: wenn ich auf dem Hyper-V-Host einen Datenbereich für die User des Remotedesktopservers für die Datenablage freigeben möchte, dann weigert sich der Host standhaft dieses Laufwerk per Logon-Script zu mappen - das lässt er nur zu, wenn der DC-Admin angemeldet ist, alle anderen müssen Benutzer und Passwort hierbei eingeben, das möchte ich im Script aber nicht hinterlegen - ich steh auf der Leitung.... (ich weiß, die Domäne sitzt auf dem Host - wäre es sinnvoll einen lokalen Benutzer auf dem Host anzulegen, der eine spezielles Passwort bekommt, das ich dann im Script samt diesem Benutzernamen hinterlege und dieser Benutzer darf nur diesen einen Bereich nutzen? Hoffentlich hab ich mich richtig ausgedrückt - vielleicht hab ich vor lauter Rechten und Usern aber auch nur irgendwo einen Knopf rein gebracht? Danke schon mal EMW Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 12. November 2020 Melden Teilen Geschrieben 12. November 2020 vor 57 Minuten schrieb emw: Aber was so ein User könnte, ist CMD starten und z.B. auf C:\ Ordner anlegen, löschen..... Ja und? Dann nimm auf c eben die rechte weg. Löschen könnte die Ordner nur der, der sie angelegt hat. powershell gibts auf gruppenrichtlinien: https://www.gruppenrichtlinien.de/artikel/powershell-fuer-benutzer-verbieten Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.