Jump to content

RDS Sitzung - unerwünschter Vollzugriff

bersi23

Von bersi23
in Windows Server Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

bersi23 Fellow

bersi23   10

Geschrieben
Geschrieben (bearbeitet)

Hallo allerseits,

 

die SuFu ergab leider nichts sinnvolles. Auch beim googeln wurde ich nicht fündig, deshalb nun dieser Thread.

 

Ich habe hier einen 2K8R2 RDS Server mit folgenden Rollen:

- DC

- IIS

- DNS

- DHCP

- RDS Lizenzserver mit 20 aktivierten Lizenzen

 

Es gibt 20 WTOS Thin Cliens der Serie T10.

 

Im Moment befindet sich die ganze Umgebung in der Aufbauphase. Ich bin beim Feintuning.

 

Folgendes Problem:

Wenn sich ein Remoteuser am ThinClient per RDP auf den RDS Server drauf schaltet, hat er Zugriff auf alles ohne Einschränkungen. Die konfigurierten RemoteApps sowie alles andere steht ihm frei zur Verfügung. Selbst wenn ich die RemoteApps aus der Liste am Server entferne, hat der User trotzdem vollen Zugriff auf sämtliche Programme wie Windows-Funktionen.

 

Bitte sagt mir was ich falsch konfiguriert habe.

 

Im Voraus herzlichen Dank!

bearbeitet von bersi23
Link zu diesem Kommentar
bersi23 Fellow

bersi23   10

Geschrieben
  • Autor
Geschrieben

Das könnte ich, es würde jedoch ein zusätzlicher Aufwand sein. Ich werde die aktuelle Installation vermutlich plattmachen und alles komplett neu installieren, falls der Remoteuser auch weiterhin auf alles Vollzugriff hat. Dann kann ich den RDS Server in eine andere Domäne aufnehmen, in der es restriktive GPOs gibt.

 

Ich verstehe den Sinn der RemoteApps nicht ganz. Oder sind sie etwa nur für den Zugriff übers Web gedacht?

 

/EDIT

Hier hab ich einen Thread entdeckt, in dem ein anderer User vor genau demselben Problem stand:

http://meinews.niuz.biz/terminal-t210381.html?

Link zu diesem Kommentar
lefg Grand Master

lefg   276

Geschrieben
Geschrieben

Hallo

 

.....Ich verstehe den Sinn der RemoteApps nicht ganz. Oder sind sie etwa nur für den Zugriff übers Web gedacht?

 

Bei uns wurde der Terminalserver ursprunglich eingerichtet zum Verringern der Datenströme zwischen HQ - Branchoffce und HQ - Homeoffice. Wenn z.B. in einem BO mehrer Intensivnutzer leichzeitig mitder DB im HQ arbeiteten, dazu irgendjemand einen Download beim NDR machte, dann wurde es quälend langsam. Der Datenstrom von Tastatur, Maus und Bildschirm ist geringer als der der DB-Verbindung. Für das Homeoffice trifft das selbe zu wie fürs BO, einige HO-Berechtigte wohnen in der Pampa; weiter, verlassen die Daten das HQ nicht, ein Übertragen der Daten auf den Rechner daheim, wie auch auf das BO ist bei uns unterbunden.

 

Auch ist der Wartungsaufwand für die Anwendungen auf einem TS/RDP-S geringer als auf den Clients einzeln.

 

Ein Terminalserver, RDP-Server sollte nicht auf auf einem DC laufen, das wird hier am Board immer proklamiert.

Link zu diesem Kommentar
bersi23 Fellow

bersi23   10

Geschrieben
  • Autor
Geschrieben

Ja gut, das klingt logisch. Aber ist das denn jetzt wirklich so, dass der Remotezugriff per RDP immer ein Vollzugriff ist? Kann nicht sein, oder?

Wenn ich die RDP Verbindung über die wnos.ini (eine Script-Datei, die automatisch mehrere Parameter setzt) starte und beim Anmelden am RDS z.B. den IE9 starten lasse, wird nichts anderes ausser des IE angezeigt - nur blanker Hintergrund ohne Startleiste etc. Beim Schließen des IE wird der User automatisch abgemeldet.

Link zu diesem Kommentar
NilsK Grand Master

NilsK   2.785

Geschrieben
Geschrieben

Moin,

 

ein DC ist ein DC ist ein DC. Er ist kein Terminalserver und kein anderer Server.

Ebenso ist ein Terminalserver ein Terminalserver.

 

Wenn der User sich direkt am TS anmeldet, sieht er dessen Desktop und kann alles nutzen, worauf er Rechte hat. RemoteApps sind dafür da, dass ein User eben nicht den ganzen Desktop bekommt, sondern nur eine einzelne Applikation. In dem Fall muss er dann die RemoteApp starten (per RDS-Verknüpfung, per MSI oder per Web-GUI) und nicht den Server-Desktop.

 

Berechtigungen werden über RemoteApps nicht automatisch vergeben, das müsste man bei Bedarf separat tun.

 

Gruß, Nils

Link zu diesem Kommentar
bersi23 Fellow

bersi23   10

Geschrieben
  • Autor
Geschrieben
Moin,

 

ein DC ist ein DC ist ein DC. Er ist kein Terminalserver und kein anderer Server.

Ebenso ist ein Terminalserver ein Terminalserver.

 

Wenn der User sich direkt am TS anmeldet, sieht er dessen Desktop und kann alles nutzen, worauf er Rechte hat. RemoteApps sind dafür da, dass ein User eben nicht den ganzen Desktop bekommt, sondern nur eine einzelne Applikation. In dem Fall muss er dann die RemoteApp starten (per RDS-Verknüpfung, per MSI oder per Web-GUI) und nicht den Server-Desktop.

 

Berechtigungen werden über RemoteApps nicht automatisch vergeben, das müsste man bei Bedarf separat tun.

 

Gruß, Nils

 

Hallo Nils und Danke für Deine Antwort,

 

Du hast vollkommen Recht, ein DC sollte aus Sicherheitsgründen und aus Gründen der unnötigen Leistungsverschwendung keine anderen Rollen haben. In meinem Fall ist das aber nun mal so, dass der DC andere Dienste hostet, bitte gönne mir diesen schwachsinnigen Luxus vorerst :) Ich werde die Umgebung wahrscheinlich eh neu aufbauen und den RDS nur als einen Mitgliedsserver ohne zusätzliche Rollen aufstellen.

 

Nun, Leider verstehe ich nicht ganz, was genau Du sagen möchtest. ich habe ja das Problem beschrieben und kann deinen Text in Bezug auf das im OT beschriebene Problem nicht ganz nachvollziehen.

 

Wenn der User sich direkt am TS anmeldet, sieht er dessen Desktop und kann alles nutzen, worauf er Rechte ha

Der User meldet sich aber nicht "direkt" an. Er meldet sich am RDS Server remote an, per RDP. Und hat auf alles Vollzugriff. Ich würde gerne wissen, ob sich dieser Vollzugriff irgendwie nur auf die freigeschalteten RemoteApps minimieren lässt. Innerhalb der RDP Sitzung.

Link zu diesem Kommentar
nerd Grand Master

nerd   28

Geschrieben
Geschrieben

Hi,

 

also wie einige vorher schon geschrieben haben, sollte man möglichst versuchen Rollen auf Servern nicht zu bündeln. Das gilt insbesondere für Sicherheitskritische Systeme wie DC's. Neben dem Sicherheitsproblem bekommst du damit auch noch weitere Probleme z. B. beim Backup & Restore.

 

Der Benutzer der sich via RDP auf dem TS Anmeldet hat grundsätzlich die gleichen Rechte wie die, die er hätte wenn er sich lokal an dem System anmeldet. Wenn du die Sitzung also mit deinem DomAdmin startest, dann hast du auf der Kiste DomAdmin Rechte. Wenn du den Zugriff auf eine Anwendung z. B. mittels NTFS eingeschränkt hast, dann hat der Benutzer nur Zugriff, wenn er auf NTFS Ebene Berechtigt ist. etc.

Link zu diesem Kommentar
bersi23 Fellow

bersi23   10

Geschrieben
  • Autor
Geschrieben

Ich danke euch für die vielen hilfreichen Antworten!

Es führt wirklich kein Weg daran vorbei, die RDS Maschine als einen Mitgliedsserver neu zu installieren.

 

In welchen Domänengruppen sind die User?

in Domänen-Benutzer und in Remotedesktop-Benutzer

 

Eine letzt Frage hätte ich noch: Wie stellt man Usern die RemoteApps zur Verfügung? Man kann ja die Apps in die Liste aufnehmen aber wie kann man die App denn einem User als Link zur Verfügung stellen?

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...