Jump to content

best. GPO gesucht!


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo Leute!

 

Um unseren Terminalserver-Usern eine möglichst "unkomplizierte" ;) Verwendung der Terminalserver zu gewährleisten, suche ich noch nach einer Möglichkeit per Gruppenrichtlinien das Öffnen des Dialogfenster bei dem Rechtsklick der Maus im Desktop zu verhindern (sonst können sich die Kollegen eine Batchdatei erstellen, mit der sie viel anstellen können). Habe leider nichts in den Standardgruppenrichtlinien finden können.

Hat hier jemand ne Idee??

 

Als ADS-Domän-Server haben wir Windows 2003 Server (noch ohne ServicePack 1) und als Terminalserver ebenfalls Windows 2003 Server (aber mit ServicePack1).

 

Danke schonmal im voraus!

Link zu diesem Kommentar

Auf der gruppenrichtlinien-Seite habe ich nicht nach dem Problem gesucht. Dort sind ja auch nur die Gruppenrichtlinien (zwar ein wenig übersichtlicher) abgebildet. Und ich habe auf dem DC in den GPO´s nichts finden können. Darum habe ich ja hier gepostet, ob jemand Abhilfe weiß... die Gruppenrichtlinien sind des öfteren nicht gerade in ihrem Namen und der Beschreibung verständlich. Und vielleicht hat ja jemand das Problem vorher schonmal lösen können.

Link zu diesem Kommentar
per Gruppenrichtlinien das Öffnen des Dialogfenster bei dem Rechtsklick der Maus im Desktop zu verhindern (sonst können sich die Kollegen eine Batchdatei erstellen, mit der sie viel anstellen können).

Hallo,

 

das Kontextmenu des Desktops ist also nicht das primäre Ziel des Beitrages?

Eine Batch kann jeder einigermaßen Kundige mit einem beliebigen Editor erstellen.

Entscheidend wäre, kann der User das in der Batch programmierte mit seinen Berechtigungen ausführen?

 

Gruß

 

Edgar

Link zu diesem Kommentar

Der User hat in der Terminalsession keine (uns bisher bekannte) Möglichkeit einen Editor zu starten. Das Startmenü wurde stark eingeschränkt und die lokalen Platten sind nicht sichtbar. Darum sehen wir als einzige Möglichkeit sich mittels des Kontextmenüs eine Batchdatei auf den Desktop zu legen und dort etwaige Kommandos abzusetzen.

Die Möglichkeit bestimmte Abläufe einer Batch zu verbieten haben wir gar nicht in Betracht gezogen, weil dadurch etwaige Anwendungen, mit denen die Benutzer arbeiten sollen, dadurch in Mitleidenschaft gezogen werden könnten.

Link zu diesem Kommentar
Der User hat in der Terminalsession keine (uns bisher bekannte) Möglichkeit einen Editor zu starten. Das Startmenü wurde stark eingeschränkt und die lokalen Platten sind nicht sichtbar.
Mit dem Entfernen von Ausführen und der Eingabeaufforderung nimmt man einen User doch einige Möglichkeiten. Aber auch Word und Wordpad sind Editoren. Wurde daran gedacht? Kann ein User eine Batch an einem anderen Rechner programmieren und auf dem TS verpflanzen?
Die Möglichkeit bestimmte Abläufe einer Batch zu verbieten haben wir gar nicht in Betracht gezogen,
Das habe ich so nicht gemeint.

Welche schlimmen Dinge könnte ein User in einer Batch programmieren? Das Löschen von Dateien, das Durchsuchen von verborgenen Ressoucen?

Leider kann ich zu der eigentlichen Frage in diesem Thead nichts sagen, ich bin bei TS unbedarft.

 

Ist ein Kontextmeu eigentlich system- oder profilbzogen? Die Registry besteht bei eingeloggtem User aus System.dat und User.dat. Änderungen von Kontextmenüs werden auf jedem in der Registry durchgeführt. Auch Gruppenrichtlinien wirken im Endeffekt dort hinein.

Ich kann mich an einen Thread zum Erweitern des Kontextmenüs des Startknopfes, der Netzwerkverbindung u.s.w. erinnern.

 

http://www.mcseboard.de/showthread.php?t=53364&highlight=lefg+explorer

 

Ich habe eben an einer WS in den Schlüsseln HKEY_USERS HKEY_Current_USER nach dem Begriff Textdatei gesucht und den Eintrag entfernt. Damit war dieser auch aus dem Kontextmenü.

 

Man könnte den Teilschlüssel in eine Reg-Datei exportieren, diese bearbeiten und testen. Anschliessend aus dieser Datei ein Administrative Vorlage bauen, per Editor oder mit reg2adm.

 

Gruß

 

Edgar

Link zu diesem Kommentar

Hi wolverine,

ich stimme da lefg zu.

ist es nicht ausreichend, die ua genannten optionen einzuschränken, also:

- LW ausblenden und (viel wichtiger) zugriff verweigern! LW ausblenden allein bringt "gar nix" !!, da man per Datei-Öffnen "überall" hin kommt.

- active desktop anpassen und beschränken

- änderungen desktop nicht speichern

- eingabeaufforderung deaktivieren

- bearbeiten der REG für user verbieten

- event. nur zugelassene shellerweiterungen zulassen

- standarddialoge bei datei öffnen ausblenden

- deakt. von drag&drop

- und viel. nochn paar neben den üblichen sachen...

Link zu diesem Kommentar

Danke für die rege Anteilnahme!

Also die TS-Server-User haben keine Möglichkeit, selbstständig Programme, welche wir ihnen nicht als Shortcut auf den Desktop legen, zu starten.

Office ist auf den TS nicht installiert. Nur die Office-Viewer (für Word und Excel). Taskleiste ist in keinster Weise manipulierbar. "Eigene Dateien" sind nicht sichtbar.

Der einzige Punkt, welche noch nicht implementiert wurde, ist die Manipulierbarkeit des Desktops... gibt es dafür bereits eine GPO?

 

Die Idee mit dem Registry-Key werde ich mal verfolgen. Das wäre eine Möglichkeit.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...