JoVo59 0 Posted January 14 Report Share Posted January 14 Hallo, ich betreibe einen Windows Server 2019, habe im AD Benutzer erstellt, die sich mittels Remotedesktopverbindung auf den Server verbinden können. Jetzt möchte ich erreichen, dass diese nur bestimmte Anwendungen ausführen dürfen. Sie sollen auch keine systemrelevanten Veränderungen vornehmen können und nach Möglichkeit auch lediglich einen freigegebenen Ordner auf einer bestimmten Festplatte sehen. Alles andere soll für sie tabu sein. Mit GPO kenne ich mich wenig aus. Hat jemand dazu einen konkreten Vorschlag oder könnte mir jemand eine GPO dazu übermitteln? Herzliche Grüße von einem Serverneuling. Quote Link to post
NorbertFe 807 Posted January 14 Report Share Posted January 14 vor 33 Minuten schrieb JoVo59: Hat jemand dazu einen konkreten Vorschlag oder könnte mir jemand eine GPO dazu übermitteln? So funktioniert das nicht. Es gibt kein gpo das für alle einfach passt. Also wirst du wohl ein Tutorial nach dem anderen abarbeiten müssen und an deine Vorstellungen und Anforderungen anpassen müssen. Quote Link to post
JoVo59 0 Posted January 14 Author Report Share Posted January 14 Das hört sich nach einem ziemlich großen Aufwand an. Gibt es hier jemanden, der das vielleicht gegen Entgelt übernehmen würde? Quote Link to post
Dukel 353 Posted January 15 Report Share Posted January 15 7 hours ago, JoVo59 said: Das hört sich nach einem ziemlich großen Aufwand an. Gibt es hier jemanden, der das vielleicht gegen Entgelt übernehmen würde? Manche machen das so professionell, dass sie das kommerziell anbieten. Nennen sich IT Dienstleister. 1 Quote Link to post
cj_berlin 76 Posted January 15 Report Share Posted January 15 vor 2 Minuten schrieb Dukel: Manche machen das so professionell, dass sie das kommerziell anbieten. Nennen sich IT Dienstleister. ...doch auch diese beherrschen nicht die Kunst der Gedanken-Osmose. @JoVo59 Du musst Deine Anforderungen so präzise beschreiben, dass daraus klar wird, *was* gemacht werden muss. Im Prinzip musst Du daraus der besorgten Userin eine erschöpfende Antwort auf die Frage geben können, was sie genau auf dem neuen System machen kann und was nicht. Und wenn Du soweit bist, wirst Du feststellen, dass der größte Teil des Aufwandes - den Dir aber niemand abnehmen kann, außer vielleicht Dein Vorgesetzter - bereits erledigt ist. Für den Rest kannst Du dann die zuhauf im Internet vorhandenen Tutorials auf Deine Anforderungen projizieren. Quote Link to post
testperson 673 Posted January 15 Report Share Posted January 15 ... manche erwerben diese Dienstleistung und "nageln" sich den/die Server dann so zu, dass kurze Zeit später alles wieder rückgängig gemacht wird. Generell würde ich die User so wenig wie möglich einschränken. "Systemrelevante Veränderungen" kann ein Standarduser nicht vornehmen. "Nur bestimmte Anwendungen" lässt sich mit bspw. AppLocker realisieren. Ich würde einfach die "unbestimmten" Anwendungen gar nicht installieren, wenn die User damit nicht arbeiten sollen. Wenn es verschiedene Applikationsgruppen für unterschiedliche User geben soll wäre auch FSLogix App Masking eine Option. "Nur einen freigegebenen Ordner sehen" lässt sich durch passende Freigabe- und NTFS-Berechtigungen erledigen. Theoretisch kann man auch im Windows Explorer Laufwerke ausblenden / Zugriff verbieten. Das gilt dann aber nur für den Explorer und fällt dir mit hoher Wahrscheinlichkeit früher oder später auf den Fuß. Ansonsten sollte sich bei Microsoft und Citrix genügend zum Thema Remotedesktop oder XenApp / -Desktop "Hardening" (AFAIK inkl. vorgefertigter GPOs) finden. Gruß Jan 1 Quote Link to post
NorbertFe 807 Posted January 15 Report Share Posted January 15 vor 27 Minuten schrieb testperson: AFAIK inkl. vorgefertigter GPOs Die man aber im Zweifel verstehen und auch wieder an die eigenen Vorstellungen und Anforderungen anpassen sollte. :p 1 Quote Link to post
JoVo59 0 Posted January 15 Author Report Share Posted January 15 Danke für die aufklärenden Informationen. Dann will ich mal versuchen, das umzusetzen. Quote Link to post
testperson 673 Posted January 15 Report Share Posted January 15 vor 42 Minuten schrieb NorbertFe: Die man aber im Zweifel verstehen und auch wieder an die eigenen Vorstellungen und Anforderungen anpassen sollte. :p Überraschenderweise gilt das ja jetzt nicht nur im Bereich "GPO" oder "IT". ;) Quote Link to post
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.