Jump to content

Programme auf Terminalserver nur für bestimmte Benutzer


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

ich habe auf einem Terminalserver VB2010 installiert, das aber nur ein bestimmter Personenkreis nutzen soll.

Gibt es da einen Weg, dies möglichst einfach zu regulieren? Die User, die es nicht benutzen können sollen sind aber auch für AD berechtigt, also würden Sie hier Richtlinien gleich entfernen oder anpassen.

Gibt es da noch einen anderen Weg?

 

Vielen Dank!

Link zu diesem Kommentar

Hallöchen!

 

Also ich habe bei mir ein Programm für die Dienstpläne auf einem Terminalserver, welches nur von den Abteilungsleitern genutzt werden soll.

Dazu habe ich einfach eine Gruppe im AD erstellt, die halt "Dienstplan-User" heißt und auf dem Terminalserver die Vererbung für das Programmverzeichnis deaktiviert, die Domänen-Benutzer und Benutzer entfernt und die Dienstplanuser mit Lesen/Ausführen hinzugefügt.

Läuft einwandfrei und wenn jemand weiteres Zugriff braucht muss derjenige nur in die Dienstplangruppe hinzugefügt werden und sich halt am Terminalserver neu anmelden...

 

Gruß

Link zu diesem Kommentar

@nahemoth:

 

Was ist das für ein Terminalserver? Mit oder ohne Citrix? Falls mit, welche Citrix-Version? Ist es ein Windows 2000 Server mit Terminaldiensten, ein Windows Server 2003 mit Terminaldiensten, ein Windows Server 2008 mit Terminaldiensten oder ein Windows Server 2008 R2 mit Remotedesktopdiensten?

 

Was sind das für User, die für's AD berechtigt sind, aber nicht an das Programm für die Dienstpläne herankommen sollen dürfen? Sind das Netzwerkadmins, Deine Kollegen von der IT, oder andere, einfache User? Falls letzteres, wieso sind die "AD-berechtigt" und inwieweit? Jeder User in einer Windows Active-Directory-Domäne ist ja irgendwie "AD-berechtigt", das niedrigste Recht ist da der "Domänen-Benutzer".

 

Bitte gib mal noch ein bißchen mehr an Information dazu, dann kann ich Dir was vorschlagen.

 

Grüße

 

von

 

departure

Link zu diesem Kommentar

@Fiddich:

 

Im RDP-Client die Optionen einschalten (dann gibt es eine größere Ansicht und mehr Registerkarten), dann das Register "Programme" auswählen und darin den Pfad zur gewünschten, einzelnen Anwendung eintragen (hab' in meinem Beispiel mal den WMP genommen):

 

288mfx1.jpg

 

Dann startet bei Verbindungsherstellung zum Terminalserver nur das ausgewählte Programm und nicht der ganze Desktop.

 

 

 

Grüße

 

von

 

departure

Link zu diesem Kommentar

Ich möchte ja das der ganze Desktop startet da ich sonst ja auch die Remoteappfreigabe nutzen könnte. Gewünscht ist jedoch kompletter Desktop aber ausgewählte Programme und Desktops.

 

Für den Grunddesktop den jeder hat nutze ich den Öffentlichen User und beim Rest stehe ich ein wenig auf dem Schlauch. Werde mir aber gleich mal eine Gruppe einrichten und dort dann die Buchhalterin hinzufügen und den Zugriff nur für diese Gruppe erlauben.

Link zu diesem Kommentar
Ich möchte ja das der ganze Desktop startet da ich sonst ja auch die Remoteappfreigabe nutzen könnte. Gewünscht ist jedoch kompletter Desktop aber ausgewählte Programme und Desktops.

 

Für den Grunddesktop den jeder hat nutze ich den Öffentlichen User und beim Rest stehe ich ein wenig auf dem Schlauch. Werde mir aber gleich mal eine Gruppe einrichten und dort dann die Buchhalterin hinzufügen und den Zugriff nur für diese Gruppe erlauben.

 

 

Genauso kann man es machen. Hinsichtlich dessen, daß es aber nicht nur darum geht, nur den Berechtigten Usern den Zugriff zu gestatten (kann man über NTFS-Sicherheitsberechtigungen regeln), sondern auch darum, daß nur die Berechtigten User sogleich die passenden Verknüpfungen erhalten, würde ich aber zusätzlich für diesen Userkreis Terminaldienstprofile bzw. Remotedesktopdienstprofile nutzen:

 

iyk4z4.jpg

 

 

Grüße

 

von

 

departure

Link zu diesem Kommentar

Sind diese NTFS Sicherheitsberechtigungen etwas besonderes? Also ich klicke dann mit Rechtsklick auf den Ordner dann auf Sicherheit und dort verweigere ich den Gruppen den Zugriff. Mein Problem ist jetzt folgendes:

 

Ich habe eine Gruppe die heißt Benutzer. Mitglied in dieser Gruppe ist eine weitere Gruppe namens Domänen-Benutzer. In dieser Gruppe sind unter anderem die ganzen Leute hier in der Firma. Jetzt habe ich eine weitere Gruppe erstellt und diese Buchhaltung genannt und die zwei Mitarbeiter darein geschoben. Soweit so gut. Verweigere ich aber jetzt der Gruppe "Benutzer" die Rechte kommt ein Popup das mich darauf hinweist das wenn ein Benutzer in zwei Gruppen Mitglied ist und einer dieser Gruppen das Recht verweigert wird den Ordner zu Lesen o.ä. es dem Benutzer generell verweigert wird, unabhängig davon ob die andere Gruppe darf oder nicht.

 

Wie kann ich das umgehen?

Link zu diesem Kommentar

Ein Recht ausdrücklich zu verweigern ist nicht gerade die ultima ratio. Es genügt, jemandem ein Recht n i c h t z u g e b e n, dann kriegt er es auch nicht (ohne das man's ihm explizit verweigern müßte). Dringender Rat: Unter NTFS Finger weg von der Spalte mit den Anhakkästchen "Verweigern". Ich hab' die noch nie benutzt, damit schießt Du mit Kanonen auf Spatzen. Einfach dem User, der ein Recht nicht haben soll, einfach dieses Recht nicht geben (also einfach die entsprechenden Kästchen unter "Zulassen" nicht anhaken, anstatt es ihm ausdrücklich zu verweigern).

Link zu diesem Kommentar

Die grauen Kästchen mit Häkchen drin bedeuten, daß diese Rechte von oben geerbt wurden. Um ab hier die Rechte zu verändern, mußt Du zunächst die Vererbung unterbrechen:

 

- "Berechtigung ändern"

- Häkchen bei "Vererbbare Berechtigungen des übergeordneten Objektes einschließen" entfernen

- im nächsten Dialog auf "Entfernen" klicken

- sodann sind die Kästchen in der Spalte "Zugriff" ab dieser Verzeichnisebene für den jew. Nutzer, für den oder bei dem Du die vorgenannte Aktion durchgeführt hast, nicht mehr grau

 

 

Grüße

 

von

 

departure

 

 

P.S.: Wenn Du innerhalb NTFS noch nicht einmal eine Vererbung kennst/erkennst, solltest Du, bevor Du Dich mit einer durchaus anspruchsvollen Materie wie einem Terminalserver auseinandersetzt, erstmal irgendwo einen Windows-Server-Kurs absolvieren. Das sind Grundlagen, und mich schaudert, wenn die bei Leuten, die scheinbar für Firmen-EDV-Systeme verantwortlich sind, so gänzlich fehlen. Das ist nicht böse gemeint, ich helfe Dir auch gern, doch wenn solche grundlegenden Dinge wie "Vererbung" nicht klar sind, sind Deine nächsten Aktionen in puncto EDV absehbar ebenso holprig wie diese hier.

Link zu diesem Kommentar

Für diesen "Windows-Server-Kurs" hab ich mich auch schon eingetragen :)

 

Bisher war es aber auch nicht sonderlich schwer den Server aufzusetzen. Vieles ist, wenn man sich halbwegs mit Windows auskennt, sogut wie selbsterklärend, oft fehlt es mir einfach nur an den Fachbegriffen mit denen Leute umsich werfen.

Die Mitarbeiter hier können alle damit arbeiten und es läuft alles top. Aber beim Feintuning gibt es nicht viel im Internet das einem hilft bzw. ich kenne dann die Fachausdrücke nicht. Aber wie gesagt, faxen, emailen TS und AD läuft alles top.

 

Was eine Vererbung ist weiß ich und Windows schlägt mir auch vor diese zu entfernen. Habe ich bisher nicht gemacht weil ich nichts kaputt machen will. Ich kenne einfach nur den Begriff NTFS nicht aber bin mir sicher das einfach nur die Sicherheitseinstellung damit gemeint ist.

Link zu diesem Kommentar

@Fiddich:

 

Mit "Vererbung" unter "NTFS" meinte ich natürlich die Vererbung in den Sicherheitseinstellungen von NTFS (gibt's übrigens beim FAT32-Dateisystem nicht), richtig erkannt.

 

Ich wollte auch ganz sicher nicht mit Fachbegriffen um mich werfen, nur um des Werfens willen, kein Gedanke. Mein Post Scriptum sollte auch nicht herablassend klingen, falls das so rübergekommen ist, bitte ich um Entschuldigung. Trotzdem noch ein letzter Satz dazu: Wenn Du fort- und weiterbildungswillig bist, ist das prima, aber dann mach es auch irgendwann bzw. bald mal, denn, plakatives Beispiel, ich kann nicht bei der Tour de France (=Terminalserver) mitfahren, wenn ich am Fahrrad noch Stützräder (=Windows-Server- und Netzwerk-Basics) brauche.

 

Zum Inhalt:

 

Wie gesagt, um geerbte Rechte zu entfernen, mußt Du eben diese Vererbung

an der entsprechenden Stelle in der Verzeichnisstruktur unterbrechen, um ab da (also ab da wieder weiter rekursiv nach unten) neue Rechte vergeben zu können (oder auch nicht zu vergeben, was ja Dein Ziel ist).

 

Wenn Du einen Schritt weiter bist, schreib' gerne nochmal.

 

 

Grüße

 

von

 

departure

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...