Jump to content

Remotedesktopbenutzer beschränken


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

ich betreibe einen Windows Server 2019, habe im AD Benutzer erstellt, die sich mittels Remotedesktopverbindung auf den Server verbinden können.

Jetzt möchte ich erreichen, dass diese nur bestimmte Anwendungen ausführen dürfen.

Sie sollen auch keine systemrelevanten Veränderungen vornehmen können und nach Möglichkeit auch lediglich einen freigegebenen Ordner auf einer bestimmten Festplatte sehen. Alles andere soll für sie tabu sein.

Mit GPO kenne ich mich wenig aus.

Hat jemand dazu einen konkreten Vorschlag oder könnte mir jemand eine GPO dazu übermitteln?

 

Herzliche Grüße von einem Serverneuling.

Link zu diesem Kommentar
vor 33 Minuten schrieb JoVo59:

Hat jemand dazu einen konkreten Vorschlag oder könnte mir jemand eine GPO dazu übermitteln?

So funktioniert das nicht. Es gibt kein gpo das für alle einfach passt. Also wirst du wohl ein Tutorial nach dem anderen abarbeiten müssen und an deine Vorstellungen und Anforderungen anpassen müssen.

Link zu diesem Kommentar
vor 2 Minuten schrieb Dukel:

Manche machen das so professionell, dass sie das kommerziell anbieten. Nennen sich IT Dienstleister.

...doch auch diese beherrschen nicht die Kunst der Gedanken-Osmose.

 

@JoVo59 Du musst Deine Anforderungen so präzise beschreiben, dass daraus klar wird, *was* gemacht werden muss. Im Prinzip musst Du daraus der besorgten Userin eine erschöpfende Antwort auf die Frage geben können, was sie genau auf dem neuen System machen kann und was nicht. Und wenn Du soweit bist, wirst Du feststellen, dass der größte Teil des Aufwandes - den Dir aber niemand abnehmen kann, außer vielleicht Dein Vorgesetzter - bereits erledigt ist. Für den Rest kannst Du dann die zuhauf im Internet vorhandenen Tutorials auf Deine Anforderungen projizieren.

Link zu diesem Kommentar

... manche erwerben diese Dienstleistung und "nageln" sich den/die Server dann so zu, dass kurze Zeit später alles wieder rückgängig gemacht wird.

 

Generell würde ich die User so wenig wie möglich einschränken.

  • "Systemrelevante Veränderungen" kann ein Standarduser nicht vornehmen.
  • "Nur bestimmte Anwendungen" lässt sich mit bspw. AppLocker realisieren. Ich würde einfach die "unbestimmten" Anwendungen gar nicht installieren, wenn die User damit nicht arbeiten sollen.
    • Wenn es verschiedene Applikationsgruppen für unterschiedliche User geben soll wäre auch FSLogix App Masking eine Option.
  • "Nur einen freigegebenen Ordner sehen" lässt sich durch passende Freigabe- und NTFS-Berechtigungen erledigen.
    • Theoretisch kann man auch im Windows Explorer Laufwerke ausblenden / Zugriff verbieten. Das gilt dann aber nur für den Explorer und fällt dir mit hoher Wahrscheinlichkeit früher oder später auf den Fuß.

Ansonsten sollte sich bei Microsoft und Citrix genügend zum Thema Remotedesktop oder XenApp / -Desktop  "Hardening" (AFAIK inkl. vorgefertigter GPOs) finden.

 

Gruß

Jan

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...