haeckle 10 Geschrieben 1. September 2004 Melden Teilen Geschrieben 1. September 2004 Hi, hier unser Netzwerk und mein vorhanben. Zur Zeit haben wir 4 W2K Server im Einsatz Server 1 = Datenserver und gleichzeitg auch einziger DC der Domäne ist Server 2 = Terminalserver für Hauptanwendung Server 3 = SQL-Server Server 4 = Terminalserver für eine Spezialanwendung Da ich in meiner Domäne bisher nur einen DC habe (Server1) möchte ich nun einen weiteren DC zur Ausfallsicherheit in das System einbinden. Dazu würde sich aber nur Server4 anbieten, da dieser von den wenigsten Benutzern gleichzeitig genutzt wird. Zwar dürfen sich theoretisch alle User anmelden, in der Regel sind es aber nicht mehr als 4-6 User gleichzeitig. Meine Frage ist nun, worauf ich achten muss, wenn ich den Server4 zu einem DC meiner Domäne hochstufen möchte. Einen Replikationszeitplan werden wir nicht erstllen wollen, da nicht sehr oft etwas genädert wird und nur ein LAN exisitiert. Was kann man in Punkto Sicherheit aber noch machen? Z.B. verhindern von Anzeigen der "Verwaltung" und "Systemsteuerung" per GPO ect. Gibt es evtl. die Möglichkeit bestimmte Ordner für Benutzer per GPO unsichtbar zu machen, ähnlich dem "Ausblenden von Systemdateien"? Gibt es noch andere Fallen wenn man einer Terminalserver auch als DC nutzen will? Zitieren Link zu diesem Kommentar
frieda 10 Geschrieben 1. September 2004 Melden Teilen Geschrieben 1. September 2004 Hi, du hast diese Frage schon gestellt, oder? Wegen der Gruppenrichtlinien empfehle ich die http://www.gruppenrichtlinien.de Zitieren Link zu diesem Kommentar
haeckle 10 Geschrieben 1. September 2004 Autor Melden Teilen Geschrieben 1. September 2004 Hi Frieda, ja, die Frage hatte ich schon gestellt. Der Thread war aber wohl schon ausgelutscht, so dass keine Antwort mehr kam. Dann werde ich mir die Seite mal zur Brust nehmen :-)) Gibt es aber trotzdem, neben den Sicherheitsfunktionen, noch was zu beachten? Zitieren Link zu diesem Kommentar
frieda 10 Geschrieben 1. September 2004 Melden Teilen Geschrieben 1. September 2004 hmm, ich hab zwar keinen DC als TerminalServer, aber sehr wichtig ist dass du das System den Benutzern gegenüber seeeeeehr stark einschränkst. Mit den Gruppenrichtlinien erreichst du schon sehr viel, aber du musst trotzdem auch auf Dateisystemebene, sprich NTFS Berechtigungen ordentlich Hand anlegen. Hast du an Virenscanner gedacht oder hat dieser Server kein Inet Zugang? Zitieren Link zu diesem Kommentar
haeckle 10 Geschrieben 1. September 2004 Autor Melden Teilen Geschrieben 1. September 2004 Hi Frieda, 1) Die TS-Benutzer sollen die lokalen Laufwerke nicht sehen. Weiterhin die Systemsteuerung, Verwaltung nicht. Beim letzteren weis ich wo ich es in der GPO deaktivieren muss. Ich finde nur nichts wie ich die lokalen Laufwerke intransparent mache. Weist Du wo ich das einstellen muss? 2) NTFS-Berechtigungen habe ich so vergeben, dass die User nur auf die Daten zugreifen dürfen die wir vorgeben. Bei den lokalen Laufwerken des TS habe ich aber das Problen, dass die alles sehen. Siehe auch 1). 3) Ein Virenscanner ist nicht nötig, da wir über den AVM-Accessserver über unseren Proxy (DATEV) ins Netz gehen. Also am meisten interessiert mich, wie ich den TS so dicht machen kann, dass die User Programme nutzen können aber ansonsten keine Möglichkeit haben das System gewollt oder ungewollt, zu ändern. Ich denke dass sollte mit einer GPO-Strategie, ich hatte schon kurz mal auf http://www.gruppenrichtlinien.de geschaut, funktionieren. Zitieren Link zu diesem Kommentar
frieda 10 Geschrieben 1. September 2004 Melden Teilen Geschrieben 1. September 2004 Hi, zum Laufwerksverstecken gibt es einen Punkt in der Gpo, unter Windows Komponenten - Windows Explorer. Dort werden aber nur die Standardlaufwerke angeboten. Falls du andere Laufwerke hast musst du die system.adm erweitern. Es gab in den letzten Tagen ein Thread zu diesem Thema.... Mit den gpo kannst du das ganze Aussehen der Arbeitsumgebung beeinflussen. Bei mir z.B. sehen die Benutzer auf dem Desktop nur den Arbeitsplatz und einen Anwendungsordner. Im Startmenü gibt es auch unter dem Punkt Einstellungen die Windows Sicherheit zum Kennwort ändern, die Taskleiste und die Drucker. Ach ja, den Knopf zum Abmelden. Das alles hab ich über die gpo gemacht. Und damit die User im System nich ändern können, bin ich nochmal beigeganen und hab die System Verzeichnisse auf Berechtigungen geprüft und überall wo zuviel Rechte waren hab ich sie weggenommen... Es ist aber schon so, dass die Gruppe "Benutzer" auf den TS recht eingeschränkt ist.... und diese Rechte reichen auch völlig aus... Ich kann dir echt raten, dich einzulesen zu diesem Thema, den es ist recht umfangreich und man kann es schlecht hier abhandeln. Die Hilfe von dem Betriebssytem ist mittlerweile ziemlich gut, die würde ich nutzen. Zitieren Link zu diesem Kommentar
haeckle 10 Geschrieben 1. September 2004 Autor Melden Teilen Geschrieben 1. September 2004 Hi Frieda, danke für Deine Hilfe. Ich werde mich jetzt mal damit ausführlich auseinandersetzen. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.