Laufwerke auf Stand-Alone TS verbergen

[tmatheis 10]

Hallo.

Ich hab ein Problem mit einem Stand-Alone TS.

Der TS steht aus Sicherheitsgründen in einer DMZ und ist kein Mitglied der Domäne. OS = Windows Server 2003 SP1 mit installiertem Citrix Presentation Server 4.0.

Ich möchte nun verhindern, dass für einen vordefinierten Account (ist im ICA Protokoll definiert) der sich auf dem TS anmeldet, die lokalen Laufwerke des TS angezeigt werden.

Da ich auf dem Stand-Alone TS keine GPO´s anwenden kann, stehe ich zur Zeit für mich vor einem unlösbaren Problem.

Wäre toll wenn mir jemand weiter helfen kann.

Grüße

tmatheis

[Wolke2k4 11]

Ohne Domain hast Du in der Tat ein Problem (allerdings lösbar).

 

Wenns nicht über OUs geht dann musst Du halt lokal ran. Das Problem ist, dass Du bei zu restirktiven Einstellungen Gefahr läufst dich schnell selber auszusperren.

 

Gehe einfach wie folgt vor:

 

1. Notfallnutzer anlegen, nennen wir ihn: GPOGOTT

2. %Systemroot% --> System32 --> Grouppolicy --> Eingenschaften --> NTFS Berechtigungen --> GPOGOTT hinzufügen und den Vollzugriff verweigern. Mit GPOGOTT meldest Du dich am System anschließend nur im K-Fall an, wenn Du dich also ausgesperrt hast

3. Start --> ausführen --> gpedit.msc

4. Einstellungen für den TS anpassen, ggf. ein gpupdate /force hinterher

5. dem Administrator verweigerst Du, wie in 2. beschrieben, nach den Feineinstellungen ebenfalls den Zugriff.

 

An Deiner stelle würde ich mit ein paar Test beginnen und dann die GPO so anpassen wie Du es für richtig hälst.

[tmatheis 10]

Danke für Deine Hinweise.

 

Habe ich alles so ausprobiert. Mein Problem ist aber jetzt, das der Admin-Account mit dem ich die gpedit.msc aufgerufen habe, die Änderungen (Laufwerke ausblenden) übernimmt, obwohl ich ihm den Zugriff (NTFS) auf dem Ordner "grouppolicy" verweigert habe.

Die ntuser.pol, die das System im Profilpfad des Admins angelegt hat habe ich auch bereits gelöscht.

Der einzige der jetzt die Restriktionen nicht hat ist der "gpogott"

 

Grüße

tmatheis

[Wolke2k4 11]

Melde dich mal vom System ab und wieder an. Die Richtlinien werden natürlich bei Aktivierung auch gleich für den Admin übernommen.

 

Also den Zugriff für den Admin weiterhin auf verweigert --> abmelden --> anmelden und schon ist wieder alles wie vorher (zumindest für den Admin).

[tmatheis 10]

Habe ich schon ausprobiert. Der Admin hat solange die Laufwerksverweigerung bis ich ihm über gpedit.msc explizit die Laufwerke wieder zuweise (Richtlinie erst auf deaktiviert, dann auf nicht konfiguriert).

[Wolke2k4 11]

Dann ist noch irgendwo der Wurm drin. Kann eventuell damit zusammenhängen, dass Du die ntuser.pol gelöscht hast.

Wenn es bei GPOGOTT funktioniert muss es auch für den Administrator gehen. Ist das nicht der Fall dann gibt es Unterschiede, die Du rausfinden musst.

 

Alternativen:

 

1. ntuser.pol vom GPOGOTT in das Profil des Admin kopieren

2. Profil vom Administrator platt machen

[tmatheis 10]

Habe das Problem mit ein wenig friemelerei gelöst. Ich haben dem Admin zuerst den Zugriff auf den Ordner GroupPolicy verweigert und dann die Restriktionen mit dem Account "gpogott" festgelegt. Mein Admin arbeitet jetzt wunderbar und hat alle Laufwerke. Alle anderen Laufwerke haben keine Laufwerke mehr.

Trotzdem Danke für den Fingerzeig in die richtige Richtung :)

tmatheis

[Wolke2k4 11]

Kein Problem!