Jump to content

Remote Desktop Server mit Gruppenrichtlinien einschränken


Recommended Posts

Hallo,

 

ich habe eine Remote Desktop Server Win2019 aufgesetzt (Hyper-V) mit DC und diesem Terminalserver und mit Gruppenrichtlinien (es gibt ja schon eine ältere Doku zum Einschränken) für die Standard-RD-User vorgegeben - das funktioniert auch. Jedoch habe ich immer noch im Menü z.B. der Servermanager oder die Verwaltung zur Auswahl - das würde ich gerne komplett einschränken oder entfernen - ich finde nur keine passenden Richtlinien.

zur Erläuterung - ich habe in der AD
eine Gruppe mit dem RDServer angelegt und in die Gruppenrichtlinie die Lizenzierung gesteckt. Dann:
eine Gruppe Mitarbeiter und eine Gruppe IT angelegt - auf die Gruppe Mitarbeiter die Richtlinie RD_User_eingeschränkt und hier die Beschränkungen (keine Systemsteuerung, kein Netzlaufwerk verbinden, etc.) - die Info, die ich im Internet gefunden habe, sind aus älteren Zeiten (server 2012) - leider konnte ich keine aktuellere Doku zu diesem Thema entdecken. (https://www.gruppenrichtlinien.de/artikel/remote-desktop-server-terminal-server)

Vielleicht habt ihr bessere Vorschläge aus der Praxis, wie der RD-User möglichst wenig zu Gesicht bekommt? Er soll ja nur seine Programme, die ich ihm per Sammlung erteilt habe, nutzen

Noch eine andere Frage, die mir gerade einfällt:
wenn ich ein Gerät tausche, oder nicht mehr benutze, das bereits eine Lizenz gezogen hat (Lizenzierung PRO GERÄT) - wie kann ich das entfernen, so dass möglichst schnell ein anderes dafür die Lizenz nutzen kann?

vorab herzlichen Dank

Gruß
EMW


 

 

Link to post

Hi,

 

ich würde so wenig wie möglich per GPO ausblenden / einschränken. Seit Server 2012 (R2)(?) oder auch Server 2016(?) kann auch der neugierige User kaum noch was (aus versehen) "kaputt" machen. Er kann zwar hier und da Dinge ggfs. öffnen, wird dann aber früher oder später mit einem "Zugriff verweigert" abgelehnt. Generell würde ich eher zu "Applocker" tendieren und Software whitelisting betreiben.

 

Startmenü: https://docs.microsoft.com/en-us/windows/configuration/customize-and-export-start-layout

Default Profile: https://docs.microsoft.com/en-us/troubleshoot/windows-client/deployment/customize-default-local-user-profile

 

Ansonsten:

 

Wenn die User möglichst wenig zu Gesicht bekommen sollen: RemoteApps. Die verhindern aber auch nicht, dass der User sich trotzdem zum Desktop verbindet.

 

vor einer Stunde schrieb emw:

Noch eine andere Frage, die mir gerade einfällt:
wenn ich ein Gerät tausche, oder nicht mehr benutze, das bereits eine Lizenz gezogen hat (Lizenzierung PRO GERÄT) - wie kann ich das entfernen, so dass möglichst schnell ein anderes dafür die Lizenz nutzen kann?

Das ist nicht notwendig. Das neue Device bekommt dann vorerst eine temporäre CAL, die 90 Tage gültig ist. Wenn das alte Device x (AFAIK irgendwas um 50 Tage) bis 89 Tage keine Verbindung mehr herstellt, wandert diese CAL zurück in den Lizenz-Pool.

 

Gruß

Jan

Link to post

Hallo,

herzlichen Dank für die Infos!

ich habe zu den Gruppenrichtlinien jetzt noch eine Frage - nachdem ich fast alles durchgetestet habe, was der "Terminialuser = Domänenbenutzer" alles darf oder auch nicht, hab ich schon gesehen, dass oft die Meldung kommt, sie sind als Standardbenutzer angemeldet oder Zugriff verweigert...
Aber was so ein User könnte, ist CMD starten und z.B. auf C:\ Ordner anlegen, löschen.....  - auch Powershell steht ihm zur Verfügung und Netzlaufwerke könnte er auch verbinden, falls dort die Rechte nicht stark eingeschränkt sind - wäre eine Gruppenrichtlinie für alle Remotedesktopbenutzer (ohne die Admins) für so einen Fall nicht doch sinnvoll - vermutlich hab ich noch weitere Einschränkungen, die ganz wichtig wären vergessen? Manchmal gibt es ja in der Firma Leute, die einfach nur mal "probieren" wollen was geht - was ich nicht sehe, kann ich auch nicht "probieren"?

Habt ihr noch ein paar Tips?

Noch etwas beschäftigt mich hierbei:

wenn ich auf dem Hyper-V-Host einen Datenbereich für die User des Remotedesktopservers für die Datenablage freigeben möchte, dann weigert sich der Host standhaft dieses Laufwerk per Logon-Script zu mappen - das lässt er nur zu, wenn der DC-Admin angemeldet ist, alle anderen müssen Benutzer und Passwort hierbei eingeben, das möchte ich im Script aber nicht hinterlegen - ich steh auf der Leitung.... (ich weiß, die Domäne sitzt auf dem Host - wäre es sinnvoll einen lokalen Benutzer auf dem Host anzulegen, der eine spezielles Passwort bekommt, das ich dann im Script samt diesem Benutzernamen hinterlege und dieser Benutzer darf nur diesen einen Bereich nutzen?
Hoffentlich hab ich mich richtig ausgedrückt - vielleicht hab ich vor lauter Rechten und Usern aber auch nur irgendwo einen Knopf rein gebracht?

Danke schon mal

EMW

Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...