Jump to content

Empfohlene Gruppenrichtlinien Server 2008 R2


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo!

 

Ich habe die Gruppenrichlinien auf einem Server 2008 R2 wie folgt konfiguriert und allen Benutzer, ausgenommen dem Admin, zugewiesen:

[b]
[benutzerkonfiguration\Administrative Vorlagen\Windowskomponenten\Windows Explorer][/b]

-    Blendet den Menü-Eintrag "Verwalten" im Windows Explorer-Kontextmenü aus

   -    Diese angegebenen Datenträger im Fenster "Arbeitsplatz" ausblenden

   -    Optionen "Netzwerklaufwerk verbinden" und "Netzwerklaufwerk trennen" entfernen

   -    Registerkarte "Hardware" ausbelnden

   -    Schaltfläche "Suchen" aus Windows Explorer entfernen

   -    Standardkontextmenü des Windows Explorers entfernen

   -    Zugriff auf Laufwerke vom Arbeitsplatz nicht zulassen


[b][benutzerkonfiguration\Administrative Vorlagen\Windowskomponenten\Taskplaner][/b]

   -    Ausführen und Beenden von einem Tasks verhindern

   -    Erstellen von neuen Tasks nicht zulassen


[b][benutzerkonfiguration\Administrative Vorlagen\Startmenü und Taskleiste][/b]

   -    "Netzwerkverbindungen" aus dem Startmenü entfernen

   -    Ändern der Einstellungen für die Taskleiste und das Startmenü verhindern

   -    Befehl "Herunterfahren" entfernen und Zugriff darauf verweigern

   -    Menü "Suchen" aus dem Startmenü entfernen

   -    Menüeintrag "Hilfe" aus dem Startmenü entfernen

   -    Menüeintrag "Ausführen" aus dem Startmenü entfernen

   -    Option "Abmelden" dem Startmenü hinzufügen

   -    Programme im Menü "Einstellungen" entfernen

   -    Standardprogrammgruppen aus dem Startmenü entfernen

   -    Verknüpfung und Zugriff auf Windows-Update entfernen

[b]
[benutzerkonfiguration\Administrative Vorlagen\Desktop][/b]

   -    Desktopsymbol "Netzwerkumgebung" ausblenden

   -    Pfadänderung für den Ordner "Meine Dateien" nicht zulassen


[b][benutzerkonfiguration\Administrative Vorlagen\Systemsteuerung][/b]

   -    Zugriff auf Systemsteuerung nicht zulassen

[b]
[benutzerkonfiguration\Administrative Vorlagen\System][/b]

   -    Zugriff auf Eingabeaufforderung verhindern (Für Scriptverarbeitung: Nein einstellen)

   -    Zugriff auf Programme zum Bearbeiten der Registrierung verhindern


[b][benutzerkonfiguration\Administrative Vorlagen\System\Strg+Alt+Entf-Optionen][/b]

   -    Sperren des Computers entfernen

   -    Task-Manager entfernen

Als Grundlage habe ich einige der empfohlenen Gruppenrichtlinien für einen Terminalserver verwendet (Gruppenrichtlinien - Übersicht, FAQ und Tutorials).

 

Es funktioniert alles, doch:

 

1) Funktioniert das Windows Update noch bei diesen Einstellungen?

 

2) Kann ich als Admin noch Software installieren, wenn der Windows Installer gesperrt ist bzw. sollte ich diesen vorher wieder aktivieren?

 

3) Wie bekomme ich Programme ins Startmenü? Derzeit sind nur noch der Autostart-Ordner, Zubehör und 2 weitere Ordner im Startmenü?

 

4) Microsoft empfiehlt zu Absicherung eines TS sehr viele GPO Einstellungen vorzunehmen, weit mehr als die o.g. von mir.

Ist es empfehlenswert ristriktiv vorzugehen bzw. die von mir vorgenommenen GPOs zu verwenden?

 

Weiter Infos:

 

- Server 2008 R2 Datenserver

- 15 Clients, meist XP Prof. und Win 7 Prof.

- derzeit keine Remote-Nutzer

 

Danke und Gruß

 

Ayur

Link zu diesem Kommentar

hast du dir überhaupt mal angeschaut was du da eigentlich konfiguriert hast?

 

z.B. macht das Entfernen des "Herunterfahren" Buttons keinen Sinn wenn die User nicht an einem TS sind sondern am eigenen Rechner.

Genauso unsinnig finde ich z.B.:

- Sperren entfernen

- Taskmanager entfernen

- Zugriff auf Laufwerke vom Arbeitsplatz nicht zulassen

- Optionen "Netzwerklaufwerk verbinden" und "Netzwerklaufwerk trennen" entfernen

 

Zu deinen Fragen:

 

1) keiner deiner Einstellungen betrifft das Updateverhalten, also gilt das was bei der Installation ausgewählt wurde. Ob das passt weißt nur du ;)

 

2) wie kommst du darauf dass du den Windows Installer gesperrt hast?

 

3) könnte der Punkt "Standardprogrammgruppen aus dem Startmenü entfernen" sein, näheres sollte dir die Hilfe dazu sagen

 

4) welche Einstellungen du verwenden solltest hängt hauptsächlich von euren Anforderungen ab

Link zu diesem Kommentar

Vielen Dank für Eure Infos!

 

Derzeit ist es noch im Testmodus, da bis dato alle Benutzer unter einer Kennung arbeiten und dieser nicht im AD Ordner liegt, auf welche die Gruppenrichtlinien greifen.

 

Den Button zum Herunterfahren und die Möglichkeit zum Sperren habe ich nicht deaktiviert.

 

Ich suche Empfehlungen für Richlinien, welche eher allgemeiner Natur sind.

 

D.h. was sollte man auf jeden Fall per GPO einrichten.

 

Meine bisherigen Infos sind zwiespältig. Einige sagen, dass man möglichst restriktiv vorgehen sollte, wiederum andere sagen, dass es übertrieben ist.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...