martins 11 Geschrieben 17. Juli 2013 Melden Teilen Geschrieben 17. Juli 2013 Hallo, folgendes Szenario bereitet mir gerade Kopfzerbrechen... Ein Windows 2008 RDS-Server (in Firmendomäne), auf dem diverse User (Domänenmitglieder) innerhalb des Unternehmens arbeiten und die Zwischenablage des RDS nutzen, auch mit der Möglichkeit Daten auf den Unternehmens-PC zu kopieren. => so weit ist das iO! Ein Teil der User soll nun Notebooks für den RDS-Zugriff via VPN bekommen. Die Notebooks sind keine Domänenmitlgieder. Sobald die User sich vom Notebook (OS: Windows 7 Prof.) aus auf den RDS-Server einloggen, soll es keinerlei Möglichkeit mehr geben, die Zwischenablage des RDS-Servers auf das lokale Gerät umzuleiten. Wenn auf dem Notebook die lokale Richtlinie: Computerkonfiguration\Richtlinien\Administrative Vorlagen\Windows-Komponenten\Remotedesktopdienste\Remotedesktop-Sitzungshost\Geräte- und Ressourcenumleitung > "Zwischenablageumleitung nicht zulassen" aktiviert ist, hat das leider keinen Einfluss auf die Möglichkeit, weiterhin Daten vom RDS auf das lokale System zu übertragen. Wie kann ich also den Zugriff auf die Zwischenablage (und auch lokale Laufwerke) verhindern, wenn sich ein User von einem bestimmten Notebook aus auf den RDS einwählt? Besten Dank für euren Support! Martin Zitieren Link zu diesem Kommentar
martins 11 Geschrieben 18. Juli 2013 Autor Melden Teilen Geschrieben 18. Juli 2013 Wenn das nicht mit Boardmitteln zu funktionieren scheint, könnt ihr eine Alternativsoftware empfehlen oder sonst einen Workaround? Zitieren Link zu diesem Kommentar
NorbertFe 1.809 Geschrieben 18. Juli 2013 Melden Teilen Geschrieben 18. Juli 2013 Die Notebooks sind keine Domänenmitlgieder. Warum? Wenn auf dem Notebook die lokale Richtlinie: Computerkonfiguration\Richtlinien\Administrative Vorlagen\Windows-Komponenten\Remotedesktopdienste\Remotedesktop-Sitzungshost\Geräte- und Ressourcenumleitung > "Zwischenablageumleitung nicht zulassen" aktiviert ist, hat das leider keinen Einfluss auf die Möglichkeit, weiterhin Daten vom RDS auf das lokale System zu übertragen. Was auch vollkommen logisch ist, da du damit ja die Ressourcenumleitung des lokalen PCs definierst und nicht die des Terminalservers. ;) Wie kann ich also den Zugriff auf die Zwischenablage (und auch lokale Laufwerke) verhindern, wenn sich ein User von einem bestimmten Notebook aus auf den RDS einwählt? Ich befürchte, dass du das mit Boardmitteln nicht hinbekommen kannst. Alternativ wäre Citrix XenApp zu nennen, die sowas in Abhängigkeit des Anmelde-Clients steuern können sollten. (Hab ich mich aber lange nicht mehr mit befaßt, also eventuell mal nen Blick riskieren). Bye Norbert Besten Dank für euren Support! Martin Zitieren Link zu diesem Kommentar
martins 11 Geschrieben 18. Juli 2013 Autor Melden Teilen Geschrieben 18. Juli 2013 Würde es etwas ändern, wenn der Client Mitglied der Domäne wäre? Die Anmeldung am RDS vom Notebook soll ja mit dem gleichen Userprofil durchgeführt werden, als wenn der User an seinem Client im Büro sitzt. Es scheint so, als hätte ich jetzt eine Lösung. Ich habe Zwischenablage und Drucker über die Registrierung deaktiviert: HKLM >SOFTWARE >MicrosoftTerminal Server Client > neues DWORD: disableclipboardredirection = 1 disableprinterredirection = 1 Beim RDS-Client am Notebook sind nun die beiden Felder "Drucker" + "Zwischenablage" ausgegraut. ;) Einspruch / Bedenken? Zitieren Link zu diesem Kommentar
NorbertFe 1.809 Geschrieben 18. Juli 2013 Melden Teilen Geschrieben 18. Juli 2013 Würde es etwas ändern, wenn der Client Mitglied der Domäne wäre? Nein, aber dann wäre es zumindest grundsätzlich durch dich verwaltbar. Es scheint so, als hätte ich jetzt eine Lösung. Ich habe Zwischenablage und Drucker über die Registrierung deaktiviert: HKLM >SOFTWARE >MicrosoftTerminal Server Client > neues DWORD: Müßte http://gpsearch.azurewebsites.net/Default.aspx?PolicyID=2508 sein, oder? Was passiert, wenn ich einen anderen rdp Client benutze, der diese Einstellungen ignoriert? Bye Norbert Zitieren Link zu diesem Kommentar
martins 11 Geschrieben 19. Juli 2013 Autor Melden Teilen Geschrieben 19. Juli 2013 Mit der Vewaltbarkeit hast du recht. Da die Maschine aber nur unterwegs genutzt wird, war das jetzt zu vernachlässigen. Das was du verlinkt hast, ist nicht ganz das, was von mir eingetragen wurde. Wenn die lokale Richtlinie entsprechend deines Links angepasst wird, hatte dies keine Auswirkung auf das tatsächliche Verhalten. Hier der Link Link der von mir angewendeten Lösung: http://terminalservicesforums.virtualizationadmin.com/Disable-Clipboard-RDP-client-ftopict13236.html Einen anderen RDP-Client konnte ich leider nicht mehr testen. Der User stand schon unter Zeitdruck und riss mir das Notebook förmlich aus der Hand. Sobald ich die nächste Maschine entsprechend bestücke, werde ich die Funktion ausführlicher testen und berichte dann noch einmal! ;) cu Martin Zitieren Link zu diesem Kommentar
Dunkelmann 96 Geschrieben 20. Juli 2013 Melden Teilen Geschrieben 20. Juli 2013 Moin, Du könntest einen Remote Desktop Gateway verwenden. In den Richtlinien kannst Du unabhängig von der RDS Host- und Clientkonfiguration angeben welche Geräte umgeleitet werden dürfen. http://technet.microsoft.com/en-us/library/cc725706.aspx http://technikblog.rachfahl.de/technik/einrichtung-eines-remote-desktop-services-remotedesktopgateway/ Zitieren Link zu diesem Kommentar
martins 11 Geschrieben 21. Juli 2013 Autor Melden Teilen Geschrieben 21. Juli 2013 Danke für den Tipp. Ich setzte es mal auf meine ellenlange to-do-Liste! :) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.