daphi-jw 0 Geschrieben 31. Juli 2014 Melden Teilen Geschrieben 31. Juli 2014 Hallo, wir haben folgendes Problem: Unsere User Arbeiten auf mehreren Server 2008R2 Terminalservern, die Zuweisung erfolgt über einen Load-Balancer. Wir haben verschiedene Arten von Clients im Einsatz, teilweise richtige Workstations, teilweise Thin-Clients, manche davon auch auf Linux-Basis. Nun möchten wir bestimmten Usern erlauben, ihre USB-Sticks an ihre Clients zu stecken, damit diese an den TS durchgereicht werden. 2 Dinge sind dabei wichtig: 1. Das ganze muss auf Benutzerebene geregelt sein, manche User müssen USB-Sticks benutzen dürfen, z.B. die Geschäftsführung, normale User aber auf gar keinen Fall. 2. Wenn ein User seinen USB-Stick einsteckt und dieser im Arbeitsplatz des TS erscheint, darf nur er Zugriff auf den Datenträger haben, nicht aber andere User, die gerade am selben TS angemeldet sind. Ich frage mich nun, ob es möglich ist, das über eine GPO zu regeln. Ein erster Ansatz, den wir hatten, war das Durchreichen von Wechseldatenträgern auf die TS grundsätzlich zu erlauben, eine neue Gruppe zu erstellen z.B. "USB Access Denied", dort dann unter der User Policy "Removable Storage Access" das Schreib- und Leserecht zu entziehen und dann alle unprivilegierten User in diese Gruppe zu packen. Wenn das funktioniert, bleibt immer noch das Problem, dass ein von einem privilegierten User verwendeter und durchgereichter USB-Stick auch für andere privilegierte User auf demselben TS zu sehen sind. Jeder dieser User soll aber ausschließlich seinen eigenen Stick verwenden dürfen. Kommerzielle Lösungen wie der USB Redirector TS Edition scheitern auf den ersten Blick daran, dass sie aus einer Server- und einer Client-Komponente bestehen und von uns verwendete Betriebssysteme wie (Ubuntu)Linux und WindowsCE von der Client-Komponente nicht unterstützt werden. Hat vielleicht jemand eine Idee, wie sich das ganze bewerkstelligen lässt? Zitieren Link zu diesem Kommentar
daabm 1.185 Geschrieben 31. Juli 2014 Melden Teilen Geschrieben 31. Juli 2014 Was Du willst, geht AFAIK mit Bordmitteln nicht. Zitieren Link zu diesem Kommentar
daphi-jw 0 Geschrieben 1. August 2014 Autor Melden Teilen Geschrieben 1. August 2014 Das habe ich schon befürchtet. Geht es denn möglicherweise mit externer Software? Zitieren Link zu diesem Kommentar
testperson 1.529 Geschrieben 1. August 2014 Melden Teilen Geschrieben 1. August 2014 Hi, mit Citrix XenApp und entsprechenden Policies sollte das machbar sein. Alternativ könntest du eine weitere RDS Farm aufsetzen, auf welche sich nur die USB-User Zugriff haben und dort wird das Durchreichen der Sticks erlaubt. Gruß Jan Zitieren Link zu diesem Kommentar
speer 16 Geschrieben 1. August 2014 Melden Teilen Geschrieben 1. August 2014 Eine Möglichkeit wäre 2 GPOs zu machen. Eine enthält unter Benutzer -> Administrative Vorlagen -> System -> Wechselmedien zugriff die Berechtigung und die andere nicht. Dazu packt man die Benutzer die Zugriff benötigen, in eine eigene Gruppe und wendet die GPO nur für diese Gruppe an. Die andere Möglichkeit wäre ein RDP Gateway. Hiermit lassen sich über Gruppen die Ressourcen steuern. Zitieren Link zu diesem Kommentar
daphi-jw 0 Geschrieben 1. August 2014 Autor Melden Teilen Geschrieben 1. August 2014 mit Citrix XenApp und entsprechenden Policies sollte das machbar sein. Das klingt doch schon mal nach nem Plan, XenApp haben wir teilweise schon im Einsatz bzw. wird das von Kollegen gerade versucht zu evaluieren. Ich werde das mal an die Kollegen herantragen. Hast du da evtl. genauere Infos zur Vorgehensweise? Ich persönlich hatte damit noch nicht wirklich zu tun. Alternativ könntest du eine weitere RDS Farm aufsetzen, auf welche sich nur die USB-User Zugriff haben und dort wird das Durchreichen der Sticks erlaubt. Das wäre nicht wirklich praktikabel, denn da es nur sehr wenige Nutzer sind, die diese Funktionalität benötigen und wir wie schon erwähnt ein Load Balancing zw. den TS betreiben, müssten wir extra 2 TS nur für diese Nutzergruppe bereitstellen. Und selbst dann ist immer noch die Frage im Raum, wie wir verhindern, dass einer der privilegierten Benutzer Zugriff auf den durchgereichten Speicher des anderen privilegierten Nutzers hat. Und für jeden dieser Benutzer einen eigenen TS zur Verfügung zu stellen, halte ich für etwas übertrieben. Eine Möglichkeit wäre 2 GPOs zu machen. Eine enthält unter Benutzer -> Administrative Vorlagen -> System -> Wechselmedien zugriff die Berechtigung und die andere nicht. Dazu packt man die Benutzer die Zugriff benötigen, in eine eigene Gruppe und wendet die GPO nur für diese Gruppe an. Die andere Möglichkeit wäre ein RDP Gateway. Hiermit lassen sich über Gruppen die Ressourcen steuern. Zum Thema Wechselmedium. AFAIK melden sich durchgereichte Wechseldatenträger am System nicht als Wechseldatenträger an, sondern als Systemgeräte ohne eigenen Laufwerksbuchstaben, ähnlich wie ein Smartphone, das sich als MTP-Gerät anmeldet. Ich vermute, das verkompliziert die Sache noch einmal. Zuletzt auch hier wieder das Problem: Wie verhindere ich, dass ein Benutzer den Speicher des anderen verwenden kann? Jeder soll vom TS aus nur Zugriff auf das Gerät haben, dass er von *seinem* Client aus durchreicht. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.