DDESER 10 Geschrieben 15. Juli 2006 Autor Melden Teilen Geschrieben 15. Juli 2006 Weil diese Einstellungen für Benutzer gelten, durch die Loopbackverarbeitung für Benutzer, die sich am TS anmelden, obwohl sie sich gar nicht in der OU befinden. Der DC muss in der Sicherheitsfilterung in dem GPO in der Domain Controllers OU vorhanden sein, damit die Loopbackverarbeitung aktiviert werden kann und die Benutzereinstellungen in diesem GPO überhaupt wirken. Normalerweise wirken die Einstellungen in der Benutzerkonfiguration nur, wenn sich auch solche Objekte in der Reichweite des GPOs befinden (in der Domain Controllers OU ist aber kein solches Objekt, sondern nur das Computerkonto des DCs) und daher die Loopbackverarbeitung. Durch die Sicherheitsfilterung lege ich fest, auf welche Benutzer (wenn sie denn betroffen sind) dieses GPO bzw. dessen Einstellungen anwenden (nur den Benutzerteil) ...Die Einschränkung für die Windows-Sicherheit gilt auch, wenn der Admin sich interaktiv anmeldet ... Im Klartext, ich kann machen was ich will.. Sobald ich an der Computerkonfiguration etwas ändere, gilt das für alle User die sich am TS via RDP anmelden. Anders wäre es, wenn sich die internen User normal am Server anmelden und nicht via RDP. Echt ziemlich ungünstig diese Geschichte.. Zitieren Link zu diesem Kommentar
Wolke2k4 11 Geschrieben 15. Juli 2006 Melden Teilen Geschrieben 15. Juli 2006 Jedoch bin ich im Grunde wieder da wo ich schon war - ein Rechtsklick auf den Desktop ist immer noch möglich. Dann hast Du noch nicht alle restriktiven Einstellungen, die für den Desktop möglich sind aktiviert. Du kannst das Kontextmenü komplett deaktivieren bzw. es so einstellen, dass die Nutzer mit einer Fehlermeldung bombardiert werden. Die Server Laufwerke kannst Du mit Hidecalc über ein ADM File ausblenden... Zitieren Link zu diesem Kommentar
DDESER 10 Geschrieben 15. Juli 2006 Autor Melden Teilen Geschrieben 15. Juli 2006 Dann hast Du noch nicht alle restriktiven Einstellungen, die für den Desktop möglich sind aktiviert. Du kannst das Kontextmenü komplett deaktivieren bzw. es so einstellen, dass die Nutzer mit einer Fehlermeldung bombardiert werden. Die Server Laufwerke kannst Du mit Hidecalc über ein ADM File ausblenden... Ok, kannst Du mir evtl. sagen welche Einstellungen das genau sind und wo ich diese exakt finde?? Bsp. Unser Configuration - Administrative Vorlagen - .... Zitieren Link zu diesem Kommentar
Wolke2k4 11 Geschrieben 15. Juli 2006 Melden Teilen Geschrieben 15. Juli 2006 Deaktiviere mal den Zugriff auf die Systemsteuerung... Ansonsten kann ich Dir nur empfehlen, dich im mit den Richtlinien und deren Auswirkungen mal etwas genauer zu beschäftigen. Es gibt ausführliche Erläuterungen in den Eigenschaften der jeweiligen Richtlinien. Zitieren Link zu diesem Kommentar
DDESER 10 Geschrieben 15. Juli 2006 Autor Melden Teilen Geschrieben 15. Juli 2006 Deaktiviere mal den Zugriff auf die Systemsteuerung...Ansonsten kann ich Dir nur empfehlen, dich im mit den Richtlinien und deren Auswirkungen mal etwas genauer zu beschäftigen. Es gibt ausführliche Erläuterungen in den Eigenschaften der jeweiligen Richtlinien. Ich habe nun jede einzelne Richtline durch und auch den Zugriff auf die Systemsteuerung deaktiviert.. kein Weg es gibt immer noch den Rechtsklick.. Zitieren Link zu diesem Kommentar
DDESER 10 Geschrieben 15. Juli 2006 Autor Melden Teilen Geschrieben 15. Juli 2006 Weil diese Einstellungen für Benutzer gelten, durch die Loopbackverarbeitung für Benutzer, die sich am TS anmelden, obwohl sie sich gar nicht in der OU befinden. Der DC muss in der Sicherheitsfilterung in dem GPO in der Domain Controllers OU vorhanden sein, damit die Loopbackverarbeitung aktiviert werden kann und die Benutzereinstellungen in diesem GPO überhaupt wirken. Normalerweise wirken die Einstellungen in der Benutzerkonfiguration nur, wenn sich auch solche Objekte in der Reichweite des GPOs befinden (in der Domain Controllers OU ist aber kein solches Objekt, sondern nur das Computerkonto des DCs) und daher die Loopbackverarbeitung. Durch die Sicherheitsfilterung lege ich fest, auf welche Benutzer (wenn sie denn betroffen sind) dieses GPO bzw. dessen Einstellungen anwenden (nur den Benutzerteil) ...Die Einschränkung für die Windows-Sicherheit gilt auch, wenn der Admin sich interaktiv anmeldet ... Ich werde bezüglich des Rechtsklicks ein neues Thema starten.. danke erst mal Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 15. Juli 2006 Melden Teilen Geschrieben 15. Juli 2006 Im Klartext, ich kann machen was ich will.. Sobald ich an der Computerkonfiguration etwas ändere, gilt das für alle User die sich am TS via RDP anmelden. Anders wäre es, wenn sich die internen User normal am Server anmelden und nicht via RDP. Echt ziemlich ungünstig diese Geschichte.. So ist es, allerdings wirkt diese Einstellung auch, wenn sie interaktiv am Server anmelden würden (wenn sie das dürften). Es wirkt nicht, wenn sie sich interaktiv an ihrer Arbeitsstation anmelden. Wieviele Programme muss der externe User ausführen, nur eins ? Zitieren Link zu diesem Kommentar
Wolke2k4 11 Geschrieben 15. Juli 2006 Melden Teilen Geschrieben 15. Juli 2006 Hmmm... was für ein Risiko stellt denn der Rechtsklick bei all den restriktiven Einstellungen noch dar? Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.