IThome 10 Geschrieben 8. Februar 2007 Melden Teilen Geschrieben 8. Februar 2007 Die Systemsteuerung wird ja für die Admins nicht deaktiviert, da sie die Gruppenrichtlinie nicht übernehmen ... Zitieren Link zu diesem Kommentar
cebo 10 Geschrieben 8. Februar 2007 Autor Melden Teilen Geschrieben 8. Februar 2007 Kann man eigentlich auch 2 oder mehr OUs für einen TS erstellen, diese mit unterschiedlichen Richtlinien verknüpfen und verschiedene User zuweisen ? Zitieren Link zu diesem Kommentar
cebo 10 Geschrieben 8. Februar 2007 Autor Melden Teilen Geschrieben 8. Februar 2007 Ja, in der Anweisung steht abr drin, dass admins selbst bei expliziter Anweisung "Verweigern" keine MSI Pakete installieren können. Zitieren Link zu diesem Kommentar
cebo 10 Geschrieben 8. Februar 2007 Autor Melden Teilen Geschrieben 8. Februar 2007 Ein kleineres und ein größeres Problem bleibt jetzt fürs erste noch. 1.Bei allen Usern des WTS ist die Schnellstartleiste geöffnet. Dort können sie den Internetexploer und Outlook Express anwählen. Der Exploer ist auch noch unter Start/Programme da. Kann man das Nutzen dieser Programmen irgendwie unterbinden ? 2. Wenn ich als Admin am TS über C:\Dokumente und Einstellungen\user\Desktop einem User eine Verknüpfung eines an einem anderen Server freigegebenen Ordners auf den Desktop lege, kann er sie nicht öffnen. Gibts dafür ne lösung ? THX Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 8. Februar 2007 Melden Teilen Geschrieben 8. Februar 2007 Wieso sollten die Admins keine MSI-Dateien installieren können, wenn der Windows-Installer läuft und der Admin keine Einschränkungen hat ? Schau Dir mal die Berechtigung der Verknüpfung an, darf der User diese Verknüpfung lesen ? Darf er auch auf das Ziel zugreifen ? Warum nicht in das Alluser Profil ? Man erstellt nicht 2 oder mehr OUs, sondern 2 oder mehr Richtlinien, die unterschiedlich sicherheitsgefiltert werden. Man kann für die Terminalserver-Benutzer auf mehrere Arten vordefinierte Profile definieren, in denen nur noch die Einträge vorhanden sind, die benötigt werden. Weiterhin kann man über Softwareeinschränkungsrichtlinien z.B. Programme verbieten Zitieren Link zu diesem Kommentar
cebo 10 Geschrieben 8. Februar 2007 Autor Melden Teilen Geschrieben 8. Februar 2007 Wieso sollten die Admins keine MSI-Dateien installieren können, wenn der Windows-Installer läuft und der Admin keine Einschränkungen hat ? Keine Ahnung, steht halt so in der ARtikel ID 278295 von MS. Ich weiss ja noch nicht mals was MSI Daten sind. Schau Dir mal die Berechtigung der Verknüpfung an, darf der User diese Verknüpfung lesen ? Darf er auch auf das Ziel zugreifen ? Warum nicht in das Alluser Profil ? Ich möchte nicht allen Mitarbeitern die gleichen Daten an die Hand geben. Es gibt hier auch externe, die geht das nix an. Die kommen dann über TSWeb. Die Verrknüpfungen im Desktopordner der Mitarbeiter am TS sind auch dauerhaft oder? Ich habe in den Sicherheitseinstellungen der Verküpfung jedem Vollzugriff gegeben und jetzt klappts. Kann i ch es irgendwie verhindern, dass der User sich durch die Verknüpfung in der Dateistruktur des verbundenen Servers nach oben hangelt ? Man erstellt nicht 2 oder mehr OUs, sondern 2 oder mehr Richtlinien, die unterschiedlich sicherheitsgefiltert werden. alles klar. Man kann für die Terminalserver-Benutzer auf mehrere Arten vordefinierte Profile definieren, in denen nur noch die Einträge vorhanden sind, die benötigt werden. Weiterhin kann man über Softwareeinschränkungsrichtlinien z.B. Programme verbieten Das beziehst du sicherlich auf den Exploer usw. Was würdest du mir empfehlen zu tun ? THX Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 8. Februar 2007 Melden Teilen Geschrieben 8. Februar 2007 Du könntest ein vordefiniertes, verpflichtendes Profil für Deine User zur Verfügung stellen, in denen alle Icons und so weiter schon zur Verfügung stehen. Dieses Profil ist vom Benutzer nur temporär änderbar, nach dem Erneuten Anmelden ist das Ursprungsprofil wieder gültig (also habe alle eine Oberfläche) ... Zitieren Link zu diesem Kommentar
cebo 10 Geschrieben 8. Februar 2007 Autor Melden Teilen Geschrieben 8. Februar 2007 Du könntest ein vordefiniertes, verpflichtendes Profil für Deine User zur Verfügung stellen, in denen alle Icons und so weiter schon zur Verfügung stehen. Dieses Profil ist vom Benutzer nur temporär änderbar, nach dem Erneuten Anmelden ist das Ursprungsprofil wieder gültig (also habe alle eine Oberfläche) ... Wie geht denn das ? wie gesagt, grundsätzlich ist die Oberfläche ok wie sie ist. Es müsste nur Outlook express und IE weg. Dem einen oder anderen User kann ich ja dann die Verknüpfung auf den Desktop legen. Bei diesen Usern ist das nach oben hangeln zwar nicht wirklich gefährlich aber wenn anders ginge, würde ich es tun. Zitieren Link zu diesem Kommentar
cebo 10 Geschrieben 8. Februar 2007 Autor Melden Teilen Geschrieben 8. Februar 2007 wenn alle Stricke reissen, kann mannicht einfach den exploer und Outlook express mit ner lokal installierten Firewall blockieren ? Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 8. Februar 2007 Melden Teilen Geschrieben 8. Februar 2007 Eine Firewall auf dem TS ? Schau mal hier, ist zwar für 2003, dort steht aber, wie Du die Verknüpfungen via Anmeldescript löschen kannst ... Einschränken von Windows Server 2003-Terminalserversitzungen Zitieren Link zu diesem Kommentar
cebo 10 Geschrieben 8. Februar 2007 Autor Melden Teilen Geschrieben 8. Februar 2007 hmm ja, aber dann habe ich immer noch das Problem mit outlook express und der Verknüpfung unter Start. Aber da fällt mir ein, Ich habe doch den ISA 2K aufm Server, kann man da nicht den Computer sperren? Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 8. Februar 2007 Melden Teilen Geschrieben 8. Februar 2007 Da kannst Du POP3 und IMAP4 sperren, wenn es Dir darum geht ... Zitieren Link zu diesem Kommentar
cebo 10 Geschrieben 8. Februar 2007 Autor Melden Teilen Geschrieben 8. Februar 2007 per Windows Komponenten hinzufügen / entfernen geht es nicht? Ist outlook express ein fester Bestandteil des IE und lässt es sich dor nicht abschalten ? Was passiert eigentlich jetzt, wenn ich den Server zu einem zusätzlichen DC hochstufe ? Sind dann die gesetzten Richtlinien wirkungslos ? Edit: Im letzten Unterordner, System, der Benutzerkonfiguratin gibt es den Schalter angeg. WinAnwendg. nicht ausführen. Hier kann man zumindest Outlook express am Starten hindern Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.