Jump to content
Sign in to follow this  
ayur

Empfohlene Gruppenrichtlinien Server 2008 R2

Recommended Posts

Hallo!

 

Ich habe die Gruppenrichlinien auf einem Server 2008 R2 wie folgt konfiguriert und allen Benutzer, ausgenommen dem Admin, zugewiesen:

[b]
[benutzerkonfiguration\Administrative Vorlagen\Windowskomponenten\Windows Explorer][/b]

-    Blendet den Menü-Eintrag "Verwalten" im Windows Explorer-Kontextmenü aus

   -    Diese angegebenen Datenträger im Fenster "Arbeitsplatz" ausblenden

   -    Optionen "Netzwerklaufwerk verbinden" und "Netzwerklaufwerk trennen" entfernen

   -    Registerkarte "Hardware" ausbelnden

   -    Schaltfläche "Suchen" aus Windows Explorer entfernen

   -    Standardkontextmenü des Windows Explorers entfernen

   -    Zugriff auf Laufwerke vom Arbeitsplatz nicht zulassen


[b][benutzerkonfiguration\Administrative Vorlagen\Windowskomponenten\Taskplaner][/b]

   -    Ausführen und Beenden von einem Tasks verhindern

   -    Erstellen von neuen Tasks nicht zulassen


[b][benutzerkonfiguration\Administrative Vorlagen\Startmenü und Taskleiste][/b]

   -    "Netzwerkverbindungen" aus dem Startmenü entfernen

   -    Ändern der Einstellungen für die Taskleiste und das Startmenü verhindern

   -    Befehl "Herunterfahren" entfernen und Zugriff darauf verweigern

   -    Menü "Suchen" aus dem Startmenü entfernen

   -    Menüeintrag "Hilfe" aus dem Startmenü entfernen

   -    Menüeintrag "Ausführen" aus dem Startmenü entfernen

   -    Option "Abmelden" dem Startmenü hinzufügen

   -    Programme im Menü "Einstellungen" entfernen

   -    Standardprogrammgruppen aus dem Startmenü entfernen

   -    Verknüpfung und Zugriff auf Windows-Update entfernen

[b]
[benutzerkonfiguration\Administrative Vorlagen\Desktop][/b]

   -    Desktopsymbol "Netzwerkumgebung" ausblenden

   -    Pfadänderung für den Ordner "Meine Dateien" nicht zulassen


[b][benutzerkonfiguration\Administrative Vorlagen\Systemsteuerung][/b]

   -    Zugriff auf Systemsteuerung nicht zulassen

[b]
[benutzerkonfiguration\Administrative Vorlagen\System][/b]

   -    Zugriff auf Eingabeaufforderung verhindern (Für Scriptverarbeitung: Nein einstellen)

   -    Zugriff auf Programme zum Bearbeiten der Registrierung verhindern


[b][benutzerkonfiguration\Administrative Vorlagen\System\Strg+Alt+Entf-Optionen][/b]

   -    Sperren des Computers entfernen

   -    Task-Manager entfernen

Als Grundlage habe ich einige der empfohlenen Gruppenrichtlinien für einen Terminalserver verwendet (Gruppenrichtlinien - Übersicht, FAQ und Tutorials).

 

Es funktioniert alles, doch:

 

1) Funktioniert das Windows Update noch bei diesen Einstellungen?

 

2) Kann ich als Admin noch Software installieren, wenn der Windows Installer gesperrt ist bzw. sollte ich diesen vorher wieder aktivieren?

 

3) Wie bekomme ich Programme ins Startmenü? Derzeit sind nur noch der Autostart-Ordner, Zubehör und 2 weitere Ordner im Startmenü?

 

4) Microsoft empfiehlt zu Absicherung eines TS sehr viele GPO Einstellungen vorzunehmen, weit mehr als die o.g. von mir.

Ist es empfehlenswert ristriktiv vorzugehen bzw. die von mir vorgenommenen GPOs zu verwenden?

 

Weiter Infos:

 

- Server 2008 R2 Datenserver

- 15 Clients, meist XP Prof. und Win 7 Prof.

- derzeit keine Remote-Nutzer

 

Danke und Gruß

 

Ayur

Share this post


Link to post
Share on other sites

hast du dir überhaupt mal angeschaut was du da eigentlich konfiguriert hast?

 

z.B. macht das Entfernen des "Herunterfahren" Buttons keinen Sinn wenn die User nicht an einem TS sind sondern am eigenen Rechner.

Genauso unsinnig finde ich z.B.:

- Sperren entfernen

- Taskmanager entfernen

- Zugriff auf Laufwerke vom Arbeitsplatz nicht zulassen

- Optionen "Netzwerklaufwerk verbinden" und "Netzwerklaufwerk trennen" entfernen

 

Zu deinen Fragen:

 

1) keiner deiner Einstellungen betrifft das Updateverhalten, also gilt das was bei der Installation ausgewählt wurde. Ob das passt weißt nur du ;)

 

2) wie kommst du darauf dass du den Windows Installer gesperrt hast?

 

3) könnte der Punkt "Standardprogrammgruppen aus dem Startmenü entfernen" sein, näheres sollte dir die Hilfe dazu sagen

 

4) welche Einstellungen du verwenden solltest hängt hauptsächlich von euren Anforderungen ab

Share this post


Link to post
Share on other sites

Vielen Dank für Eure Infos!

 

Derzeit ist es noch im Testmodus, da bis dato alle Benutzer unter einer Kennung arbeiten und dieser nicht im AD Ordner liegt, auf welche die Gruppenrichtlinien greifen.

 

Den Button zum Herunterfahren und die Möglichkeit zum Sperren habe ich nicht deaktiviert.

 

Ich suche Empfehlungen für Richlinien, welche eher allgemeiner Natur sind.

 

D.h. was sollte man auf jeden Fall per GPO einrichten.

 

Meine bisherigen Infos sind zwiespältig. Einige sagen, dass man möglichst restriktiv vorgehen sollte, wiederum andere sagen, dass es übertrieben ist.

Share this post


Link to post
Share on other sites

Moin,

 

falscher Ansatz. Am Anfang muss die Analyse stehen, was du erreichen willst. (Ja, das ist Arbeit.) Erst danach gehst du an die Umsetzung.

 

Gruß, Nils

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...