Jump to content
Sign in to follow this  
Haudrauf

Terminalserver

Recommended Posts

Szenario:

W2K Server, Terminalserver läuft, Anwendung bei Anmeldung soll gestartet werden, klappt auch, heißt, bei Anmeldung mit TSClient kann man sich auf dem Server einloggen und die dazugehörige Anwendung startet, sonst sieht man nichts.

 

Nun habe ich das allerdings nur bei Anmeldung als Admin probiert.

 

Ziel:

Ich möchte erreichen, das sich ein bzw mehrere User übers Internet auf dem Server als User einloggen können, um besagte Anwendung starten zu können (Warenwirtschaft).(Hardwarefirewall vorhanden, Port Redriection funktioniert)

 

Problem:

Ich habe an meinem Arbeitsplatz auch den TSClient, um auf den Server zugreifen zu können, damit ich nicht immer dahin rennen muß. Aber da ich ja nun eine Anwendung festgelegt habe, die bei Anmeldung startet, sehe ich als admin ja auch nix mehr.

 

Frage:

Wie richte ich nun einen oder mehrere User ein, die sich als TSClient anmelden können und nur besagte Anwendung starten können, damit ich als Admin im lokalen Netzwerk über den Client wie vorher den Vollzugriff habe ?

 

Welche Aspekte im Bezug au die Sicherheit müßte ich noch beachten ?

 

 

Danke !

Share this post


Link to post

Sämtliche von Dir gemachten Angaben lassen sich über den Client-Verbindungsmanager auch clientgenau machen, dort gibt es auch die Möglichkeit, direkt ein Programm zu starten. Dann muss allerdings in der Terminaldienstekonfiguration bei Eigenschaften von RDP-Tcp in den Anmeldeeinstellungen "Anmeldeinformationen vom Client verwenden" aktiviert sein und bei Umgebung -> "Clientverbindungs-Einstellungen deaktivieren" darf nicht aktiviert sein.

Damit lassen sich sogar verschiedene Zugriffe auf einen Terminalserver steuern. Die Einstellungen kann man dann exportieren und bei anderen Rechnern importieren, sie stehen auch bei "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client" und lassen sich von da in ein *.reg-file exportieren. Bei servergespeicherten Profilen wandern sie mit.

MfG

Apotheker

Share this post


Link to post

Sehr schön, das war genau die Info die ich haben wollte, also wenn ich das so aktiviere, kann auch ein eingetragener Domänenuser sich darüber verbinden, der dann nur das Ihm zugewiesene Programm starten kann, richtig ?

 

Und wenn ich mich als Admin einlogge kann ich wie vorher alles sehen ?

 

Hm, nun habe ich ja aber in rdp-tcp nur die möglichkeit einmal etwas einzustellen.

 

Was dann ja zur Folge hat, das ich nur einmal diese Einstellung treffen kann und somit auch als Admin nur das Programm habe wenn ich mich einlogge.

 

:confused:

Share this post


Link to post

Die Einstellungen in rdp-tcp müssen leer bleiben, Du muss die Einstellungen über den Clientverbindungsmanager auf dem Clientrechner (!) durchführen. Der Manager befindet sich in Start / Programme / Terminaldiensteclient / Clientverbindungsmanager oder in C:\Programme\Terminal Services Client\Conman.exe jeweils auf der WORKSTATION !!!

MfG

Apotheker

Share this post


Link to post

Aber dann hat ja der Client die Möglichkeit unter den Eigenschaften die Einstellung für das zu startende Programm zu entfernen und bekommt somit auch Zugriff auf die gesamte Serveroberfläche und genau das soll ja nicht passieren.

 

Bleibt mir offensichtlich nur, die Einstellung für den Terminal und das zu startende Programm doch auf dem Server einzustellen und mich selber weiter mit dem Remote Admin auf dem Server einzuloggen, dann habe ich Vollzugriff und die Clients eben nur das Programm.

 

 

Anders gehts offensichtlich nicht, ohne das am Client über den Manager die Einstellung vorzunehmen ist, die dann aber der Client ja ändern kann !

 

Gruß

Share this post


Link to post

Einfach die Sicherheitseinstellungen des o.g. Registrierungsschlüssels mit regedt32 ändern auf "Lesen" für den User, schon kann der Client die Einstellungen nicht mehr ändern. Alternativ kann man dem User das Recht entziehen, das Program Conman.exe auszuführen. Oder....

MfG

Apotheker

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...