Remotedesktopbenutzer beschränken

[JoVo59 0]

Hallo,

ich betreibe einen Windows Server 2019, habe im AD Benutzer erstellt, die sich mittels Remotedesktopverbindung auf den Server verbinden können.

Jetzt möchte ich erreichen, dass diese nur bestimmte Anwendungen ausführen dürfen.

Sie sollen auch keine systemrelevanten Veränderungen vornehmen können und nach Möglichkeit auch lediglich einen freigegebenen Ordner auf einer bestimmten Festplatte sehen. Alles andere soll für sie tabu sein.

Mit GPO kenne ich mich wenig aus.

Hat jemand dazu einen konkreten Vorschlag oder könnte mir jemand eine GPO dazu übermitteln?

 

Herzliche Grüße von einem Serverneuling.

[NorbertFe 861]

vor 33 Minuten schrieb JoVo59:

Hat jemand dazu einen konkreten Vorschlag oder könnte mir jemand eine GPO dazu übermitteln?

So funktioniert das nicht. Es gibt kein gpo das für alle einfach passt. Also wirst du wohl ein Tutorial nach dem anderen abarbeiten müssen und an deine Vorstellungen und Anforderungen anpassen müssen.

[JoVo59 0]

Das hört sich nach einem ziemlich großen Aufwand an. Gibt es hier jemanden, der das vielleicht gegen Entgelt übernehmen würde?

 

[Dukel 371]

7 hours ago, JoVo59 said:

Das hört sich nach einem ziemlich großen Aufwand an. Gibt es hier jemanden, der das vielleicht gegen Entgelt übernehmen würde?

Manche machen das so professionell, dass sie das kommerziell anbieten. Nennen sich IT Dienstleister.

[cj_berlin 310]

vor 2 Minuten schrieb Dukel:

Manche machen das so professionell, dass sie das kommerziell anbieten. Nennen sich IT Dienstleister.

...doch auch diese beherrschen nicht die Kunst der Gedanken-Osmose.

 

@JoVo59 Du musst Deine Anforderungen so präzise beschreiben, dass daraus klar wird, *was* gemacht werden muss. Im Prinzip musst Du daraus der besorgten Userin eine erschöpfende Antwort auf die Frage geben können, was sie genau auf dem neuen System machen kann und was nicht. Und wenn Du soweit bist, wirst Du feststellen, dass der größte Teil des Aufwandes - den Dir aber niemand abnehmen kann, außer vielleicht Dein Vorgesetzter - bereits erledigt ist. Für den Rest kannst Du dann die zuhauf im Internet vorhandenen Tutorials auf Deine Anforderungen projizieren.

[testperson 774]

... manche erwerben diese Dienstleistung und "nageln" sich den/die Server dann so zu, dass kurze Zeit später alles wieder rückgängig gemacht wird.

 

Generell würde ich die User so wenig wie möglich einschränken.

• "Systemrelevante Veränderungen" kann ein Standarduser nicht vornehmen.
• "Nur bestimmte Anwendungen" lässt sich mit bspw. AppLocker realisieren. Ich würde einfach die "unbestimmten" Anwendungen gar nicht installieren, wenn die User damit nicht arbeiten sollen.
  • Wenn es verschiedene Applikationsgruppen für unterschiedliche User geben soll wäre auch FSLogix App Masking eine Option.
• "Nur einen freigegebenen Ordner sehen" lässt sich durch passende Freigabe- und NTFS-Berechtigungen erledigen.
  • Theoretisch kann man auch im Windows Explorer Laufwerke ausblenden / Zugriff verbieten. Das gilt dann aber nur für den Explorer und fällt dir mit hoher Wahrscheinlichkeit früher oder später auf den Fuß.

Ansonsten sollte sich bei Microsoft und Citrix genügend zum Thema Remotedesktop oder XenApp / -Desktop  "Hardening" (AFAIK inkl. vorgefertigter GPOs) finden.

 

Gruß

Jan

[NorbertFe 861]

vor 27 Minuten schrieb testperson:

AFAIK inkl. vorgefertigter GPOs

Die man aber im Zweifel verstehen und auch wieder an die eigenen Vorstellungen und Anforderungen anpassen sollte. :p

[JoVo59 0]

Danke für die aufklärenden Informationen. Dann will ich mal versuchen, das umzusetzen.

[testperson 774]

vor 42 Minuten schrieb NorbertFe:

Die man aber im Zweifel verstehen und auch wieder an die eigenen Vorstellungen und Anforderungen anpassen sollte. :p

Überraschenderweise gilt das ja jetzt nicht nur im Bereich "GPO" oder "IT". ;)