JoVo59 0 Geschrieben 14. Januar 2021 Melden Teilen Geschrieben 14. Januar 2021 Hallo, ich betreibe einen Windows Server 2019, habe im AD Benutzer erstellt, die sich mittels Remotedesktopverbindung auf den Server verbinden können. Jetzt möchte ich erreichen, dass diese nur bestimmte Anwendungen ausführen dürfen. Sie sollen auch keine systemrelevanten Veränderungen vornehmen können und nach Möglichkeit auch lediglich einen freigegebenen Ordner auf einer bestimmten Festplatte sehen. Alles andere soll für sie tabu sein. Mit GPO kenne ich mich wenig aus. Hat jemand dazu einen konkreten Vorschlag oder könnte mir jemand eine GPO dazu übermitteln? Herzliche Grüße von einem Serverneuling. Zitieren Link zu diesem Kommentar
NorbertFe 2.089 Geschrieben 14. Januar 2021 Melden Teilen Geschrieben 14. Januar 2021 vor 33 Minuten schrieb JoVo59: Hat jemand dazu einen konkreten Vorschlag oder könnte mir jemand eine GPO dazu übermitteln? So funktioniert das nicht. Es gibt kein gpo das für alle einfach passt. Also wirst du wohl ein Tutorial nach dem anderen abarbeiten müssen und an deine Vorstellungen und Anforderungen anpassen müssen. Zitieren Link zu diesem Kommentar
JoVo59 0 Geschrieben 14. Januar 2021 Autor Melden Teilen Geschrieben 14. Januar 2021 Das hört sich nach einem ziemlich großen Aufwand an. Gibt es hier jemanden, der das vielleicht gegen Entgelt übernehmen würde? Zitieren Link zu diesem Kommentar
Dukel 457 Geschrieben 15. Januar 2021 Melden Teilen Geschrieben 15. Januar 2021 7 hours ago, JoVo59 said: Das hört sich nach einem ziemlich großen Aufwand an. Gibt es hier jemanden, der das vielleicht gegen Entgelt übernehmen würde? Manche machen das so professionell, dass sie das kommerziell anbieten. Nennen sich IT Dienstleister. 1 Zitieren Link zu diesem Kommentar
cj_berlin 1.342 Geschrieben 15. Januar 2021 Melden Teilen Geschrieben 15. Januar 2021 vor 2 Minuten schrieb Dukel: Manche machen das so professionell, dass sie das kommerziell anbieten. Nennen sich IT Dienstleister. ...doch auch diese beherrschen nicht die Kunst der Gedanken-Osmose. @JoVo59 Du musst Deine Anforderungen so präzise beschreiben, dass daraus klar wird, *was* gemacht werden muss. Im Prinzip musst Du daraus der besorgten Userin eine erschöpfende Antwort auf die Frage geben können, was sie genau auf dem neuen System machen kann und was nicht. Und wenn Du soweit bist, wirst Du feststellen, dass der größte Teil des Aufwandes - den Dir aber niemand abnehmen kann, außer vielleicht Dein Vorgesetzter - bereits erledigt ist. Für den Rest kannst Du dann die zuhauf im Internet vorhandenen Tutorials auf Deine Anforderungen projizieren. Zitieren Link zu diesem Kommentar
testperson 1.728 Geschrieben 15. Januar 2021 Melden Teilen Geschrieben 15. Januar 2021 ... manche erwerben diese Dienstleistung und "nageln" sich den/die Server dann so zu, dass kurze Zeit später alles wieder rückgängig gemacht wird. Generell würde ich die User so wenig wie möglich einschränken. "Systemrelevante Veränderungen" kann ein Standarduser nicht vornehmen. "Nur bestimmte Anwendungen" lässt sich mit bspw. AppLocker realisieren. Ich würde einfach die "unbestimmten" Anwendungen gar nicht installieren, wenn die User damit nicht arbeiten sollen. Wenn es verschiedene Applikationsgruppen für unterschiedliche User geben soll wäre auch FSLogix App Masking eine Option. "Nur einen freigegebenen Ordner sehen" lässt sich durch passende Freigabe- und NTFS-Berechtigungen erledigen. Theoretisch kann man auch im Windows Explorer Laufwerke ausblenden / Zugriff verbieten. Das gilt dann aber nur für den Explorer und fällt dir mit hoher Wahrscheinlichkeit früher oder später auf den Fuß. Ansonsten sollte sich bei Microsoft und Citrix genügend zum Thema Remotedesktop oder XenApp / -Desktop "Hardening" (AFAIK inkl. vorgefertigter GPOs) finden. Gruß Jan 1 Zitieren Link zu diesem Kommentar
NorbertFe 2.089 Geschrieben 15. Januar 2021 Melden Teilen Geschrieben 15. Januar 2021 vor 27 Minuten schrieb testperson: AFAIK inkl. vorgefertigter GPOs Die man aber im Zweifel verstehen und auch wieder an die eigenen Vorstellungen und Anforderungen anpassen sollte. :p 1 Zitieren Link zu diesem Kommentar
JoVo59 0 Geschrieben 15. Januar 2021 Autor Melden Teilen Geschrieben 15. Januar 2021 Danke für die aufklärenden Informationen. Dann will ich mal versuchen, das umzusetzen. Zitieren Link zu diesem Kommentar
testperson 1.728 Geschrieben 15. Januar 2021 Melden Teilen Geschrieben 15. Januar 2021 vor 42 Minuten schrieb NorbertFe: Die man aber im Zweifel verstehen und auch wieder an die eigenen Vorstellungen und Anforderungen anpassen sollte. :p Überraschenderweise gilt das ja jetzt nicht nur im Bereich "GPO" oder "IT". ;) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.