Terminalserver Portable Apps verbieten?

[gardsen 10]

Hallo an alle,

 

Gibt es irgendeine Möglichkeit, per HASH-Wert dateien zu überprüfen, die nicht heruntergeladen und / oder gespeichert werden dürfen? Die Problematik dürfte klar sein: User A legt sich auf Terminalserver 1 eine Datei ab (Desktop), meldet sich ab, wieder an, landet auf TS2 und die Anmeldung dauert ewig. Zudem haben wir alles an Software, was man zum Arbeiten braucht.

 

Über Policies Software zu erlauben und den Rest zu verbieten wäre eine Möglichkeit, jedoch bei neuer Software eine Menge Anpassung. Mit den Hash-Werten bräuchte ich "nur" eine Liste von Dateien die verboten sind (oder?).

 

Wie setzt man sowas um? Firewall, Software, doch eine Policy...?

 

Ich bin etwas ratlos...

[Dukel 439]

Wie wärs mit Orderumleitung für den Desktop. So umgehst du das Problem sauber.

[gardsen 10]

Hm, es geht ja (leider) nicht nur um die Desktops. Wir haben einige Leute hier, die das auch gerne im Eigenen Laufwerk speichern, das in einen gemeinsamen Share legen und und und... Dahingehend sind alle recht findig.

Mit der Orderumleitung kann ich doch aber auch keine Dateispeicherung verbieten oder?

[Dukel 439]

Dann noch Ordnerumleitung der Eigenen Dateien. Warum dürfen User keine Daten speichern?

[gardsen 10]

Hab ich doch schon geschrieben. Es geht darum, dass keine Portablen Apps in der Terminalserver-Umgebung landen sollen. Da hilft mir dann die Ordnerumleitung nicht weiter. Es geht lediglich um eine Prüfung ob Datei(ausführung) XY erlaubt ist. Wenn ich da jetzt mein OpenOffice Portable finde, möchte ich, dass das entweder geblockt wird, oder besser, dass ich durch Filter bestimmen kann, dass Datei XY nicht zulässig ist und geblockt wird.

[Dukel 439]

Ordnerumleitungen beziehen sich auf:

 

Die Problematik dürfte klar sein: User A legt sich auf Terminalserver 1 eine Datei ab (Desktop), meldet sich ab, wieder an, landet auf TS2 und die Anmeldung dauert ewig.

 

Das nur Zugelassene Software ausgeführt wird gibt es Softwarerestrictions (GPO). Das Speichern von Daten würde ich nicht beschränken wollen.

[gardsen 10]

Das ist mir klar, das bringt hier aber nichts. Wir müssen leider das Speichern (bestimmter, nicht aller) Dateien verhindern, da die Applikationen zum Einen schon installiert sind (z.B. Firefox) und zum anderen Sachen wie z.B. Druckerinstallationspakete wiederholt in den Profilen auftauchen.

Die GPOs sind über kurz oder lang natürlich erste Wahl, wir müssen nur der Problematik begegnen, dass viele Benutzer halt solche Anwendungen in ihre Dateien packen.

[Dukel 439]

Und wo ist das Problem? Haben die User Quotas?

[gardsen 10]

Nein, keine Quotas. Ich kann jetzt nicht losrennen und alle Policies umschreiben, zudem wüsste ich nur gerne, ob das auch ohne GPOs möglich ist, da für uns momentan die einfachere Variante...

[Dukel 439]

Ich wüsste keine automatische Methode das Speichern zu verbieten.

 

Du musst nicht sofort losrennen und loslegen. Ich würde aber Nachhaltig die Probleme lösen und keine Symptome bekämfen.

[gardsen 10]

Das hatte ich auch nicht vor. Natürlich ist eine nachhaltige Lösung wichtig, momentan muss ich aber gewährleisten, dass die Benutzer vernünftig arbeiten können und müsste deshalb Symptome bekämpfen. Mir passt das auch nicht. Bald ist es zum Glück so weit, dass unsere alten TSe abgelöst werden, dann auch mit vernünftigen GPOs ;-)

[Dukel 439]

Welches ist jetzt GENAU dein Problem? Anwender arbeiten nicht mit dem mit was sie sollen? Platz auf dem Server? Performance?

[gardsen 10]

User ziehen sich Portable Apps --> Sollen sie nicht, stellen wir bereit, klaut Speicherplatz und frisst Performance. Also alles zusammen.

Das würde ich gerne verbieten, geht ja aber nicht, wenn nur über GPO, die kann ich momentan nicht anfassen.

[SGRD 10]

- Warum kannst du nicht an die GPO?!

- Deine ersten Beiträge klangen auch für mich erst so als ginge es um längere Anmeldezeiten z.B. (die ja durch große Datenmengen in zu kopierenden TS Umgebungen entstehen können)

 

Also mir fallen noch Lösungen für das Problem ein aber die sind aufwendiger als die vorgeschlagenen GPOs und führen zwar sicher auch zum Erfolg allerdings kann es dir passieren das andere Anwendungen (die du da bereitstellst) auch nicht mehr mit laufen wollen bzw erst nach ewiger Konfiguration..

 

Einfachster Weg: Tadeln und Verbieten! Rundmail -> Drohung .. Persönlich Nutzer ansprechen etc. Kannst ja die Prozesse in deiner Umgebung beobachten und Profilgrößen abfragen. Damit schaust dir noch keine Dateien an und das sollte alles konform bleiben ;) Was Datenschutz angeht.

[gardsen 10]

Weil man einem fahrenden Auto auch nicht die Reifen abschraubt. Ich kann keine GPO erstellen, die die Ausführung verbietet (u.a. weil viel Spezialsoftware - auch auf den Terminalservern - im Einsatz ist). Wenn da was nicht funktioniert und stillsteht oder die Leute nicht mehr rankommen, kann ich das Notebook zumachen und gehen.

Deshalb ja das intensive Gefrage nach Alternativen ;-)

Tadeln und verbieten ist schön und gut, Rundmail hilft mir aber auch nicht, solange das nicht von der Geschäftsführung abgesegnet ist. Bis das allerdings passiert, dauert es halt, daher wollte ich eigentlich - zugegebener Maßen - eine adhoc - Lösung.