Jump to content

Remotedesktopbenutzer beschränken


Recommended Posts

Hallo,

ich betreibe einen Windows Server 2019, habe im AD Benutzer erstellt, die sich mittels Remotedesktopverbindung auf den Server verbinden können.

Jetzt möchte ich erreichen, dass diese nur bestimmte Anwendungen ausführen dürfen.

Sie sollen auch keine systemrelevanten Veränderungen vornehmen können und nach Möglichkeit auch lediglich einen freigegebenen Ordner auf einer bestimmten Festplatte sehen. Alles andere soll für sie tabu sein.

Mit GPO kenne ich mich wenig aus.

Hat jemand dazu einen konkreten Vorschlag oder könnte mir jemand eine GPO dazu übermitteln?

 

Herzliche Grüße von einem Serverneuling.

Link to post
vor 33 Minuten schrieb JoVo59:

Hat jemand dazu einen konkreten Vorschlag oder könnte mir jemand eine GPO dazu übermitteln?

So funktioniert das nicht. Es gibt kein gpo das für alle einfach passt. Also wirst du wohl ein Tutorial nach dem anderen abarbeiten müssen und an deine Vorstellungen und Anforderungen anpassen müssen.

Link to post
7 hours ago, JoVo59 said:

Das hört sich nach einem ziemlich großen Aufwand an. Gibt es hier jemanden, der das vielleicht gegen Entgelt übernehmen würde?

Manche machen das so professionell, dass sie das kommerziell anbieten. Nennen sich IT Dienstleister.

  • Haha 1
Link to post
vor 2 Minuten schrieb Dukel:

Manche machen das so professionell, dass sie das kommerziell anbieten. Nennen sich IT Dienstleister.

...doch auch diese beherrschen nicht die Kunst der Gedanken-Osmose.

 

@JoVo59 Du musst Deine Anforderungen so präzise beschreiben, dass daraus klar wird, *was* gemacht werden muss. Im Prinzip musst Du daraus der besorgten Userin eine erschöpfende Antwort auf die Frage geben können, was sie genau auf dem neuen System machen kann und was nicht. Und wenn Du soweit bist, wirst Du feststellen, dass der größte Teil des Aufwandes - den Dir aber niemand abnehmen kann, außer vielleicht Dein Vorgesetzter - bereits erledigt ist. Für den Rest kannst Du dann die zuhauf im Internet vorhandenen Tutorials auf Deine Anforderungen projizieren.

Link to post

... manche erwerben diese Dienstleistung und "nageln" sich den/die Server dann so zu, dass kurze Zeit später alles wieder rückgängig gemacht wird.

 

Generell würde ich die User so wenig wie möglich einschränken.

  • "Systemrelevante Veränderungen" kann ein Standarduser nicht vornehmen.
  • "Nur bestimmte Anwendungen" lässt sich mit bspw. AppLocker realisieren. Ich würde einfach die "unbestimmten" Anwendungen gar nicht installieren, wenn die User damit nicht arbeiten sollen.
    • Wenn es verschiedene Applikationsgruppen für unterschiedliche User geben soll wäre auch FSLogix App Masking eine Option.
  • "Nur einen freigegebenen Ordner sehen" lässt sich durch passende Freigabe- und NTFS-Berechtigungen erledigen.
    • Theoretisch kann man auch im Windows Explorer Laufwerke ausblenden / Zugriff verbieten. Das gilt dann aber nur für den Explorer und fällt dir mit hoher Wahrscheinlichkeit früher oder später auf den Fuß.

Ansonsten sollte sich bei Microsoft und Citrix genügend zum Thema Remotedesktop oder XenApp / -Desktop  "Hardening" (AFAIK inkl. vorgefertigter GPOs) finden.

 

Gruß

Jan

  • Thanks 1
Link to post
vor 42 Minuten schrieb NorbertFe:

Die man aber im Zweifel verstehen und auch wieder an die eigenen Vorstellungen und Anforderungen anpassen sollte. :p

Überraschenderweise gilt das ja jetzt nicht nur im Bereich "GPO" oder "IT". ;)

Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...