Jump to content

Terminalsever zum DC hochstufen?


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hi,

 

hier unser Netzwerk und mein vorhanben.

 

Zur Zeit haben wir 4 W2K Server im Einsatz

 

Server 1 = Datenserver und gleichzeitg auch einziger DC der Domäne ist

Server 2 = Terminalserver für Hauptanwendung

Server 3 = SQL-Server

Server 4 = Terminalserver für eine Spezialanwendung

 

Da ich in meiner Domäne bisher nur einen DC habe (Server1) möchte ich nun einen weiteren DC zur Ausfallsicherheit in das System einbinden. Dazu würde sich aber nur Server4 anbieten, da dieser von den wenigsten Benutzern gleichzeitig genutzt wird. Zwar dürfen sich theoretisch alle User anmelden, in der Regel sind es aber nicht mehr als 4-6 User gleichzeitig.

Meine Frage ist nun, worauf ich achten muss, wenn ich den Server4 zu einem DC meiner Domäne hochstufen möchte.

Einen Replikationszeitplan werden wir nicht erstllen wollen, da nicht sehr oft etwas genädert wird und nur ein LAN exisitiert.

Was kann man in Punkto Sicherheit aber noch machen?

Z.B. verhindern von Anzeigen der "Verwaltung" und "Systemsteuerung" per GPO ect.

Gibt es evtl. die Möglichkeit bestimmte Ordner für Benutzer per GPO unsichtbar zu machen, ähnlich dem "Ausblenden von Systemdateien"?

Gibt es noch andere Fallen wenn man einer Terminalserver auch als DC nutzen will?

Link zu diesem Kommentar

hmm, ich hab zwar keinen DC als TerminalServer, aber sehr wichtig ist dass du das System den Benutzern gegenüber seeeeeehr stark einschränkst.

Mit den Gruppenrichtlinien erreichst du schon sehr viel, aber du musst trotzdem auch auf Dateisystemebene, sprich NTFS Berechtigungen ordentlich Hand anlegen.

Hast du an Virenscanner gedacht oder hat dieser Server kein Inet Zugang?

Link zu diesem Kommentar

Hi Frieda,

 

1)

Die TS-Benutzer sollen die lokalen Laufwerke nicht sehen. Weiterhin die Systemsteuerung, Verwaltung nicht. Beim letzteren weis ich wo ich es in der GPO deaktivieren muss. Ich finde nur nichts wie ich die lokalen Laufwerke intransparent mache. Weist Du wo ich das einstellen muss?

 

2)

NTFS-Berechtigungen habe ich so vergeben, dass die User nur auf die Daten zugreifen dürfen die wir vorgeben. Bei den lokalen Laufwerken des TS habe ich aber das Problen, dass die alles sehen. Siehe auch 1).

 

3) Ein Virenscanner ist nicht nötig, da wir über den AVM-Accessserver über unseren Proxy (DATEV) ins Netz gehen.

 

Also am meisten interessiert mich, wie ich den TS so dicht machen kann, dass die User Programme nutzen können aber ansonsten keine Möglichkeit haben das System gewollt oder ungewollt, zu ändern. Ich denke dass sollte mit einer GPO-Strategie, ich hatte schon kurz mal auf http://www.gruppenrichtlinien.de geschaut, funktionieren.

Link zu diesem Kommentar

Hi,

 

zum Laufwerksverstecken gibt es einen Punkt in der Gpo, unter Windows Komponenten - Windows Explorer. Dort werden aber nur die Standardlaufwerke angeboten. Falls du andere Laufwerke hast musst du die system.adm erweitern.

Es gab in den letzten Tagen ein Thread zu diesem Thema....

 

Mit den gpo kannst du das ganze Aussehen der Arbeitsumgebung beeinflussen.

Bei mir z.B. sehen die Benutzer auf dem Desktop nur den Arbeitsplatz und einen Anwendungsordner.

Im Startmenü gibt es auch unter dem Punkt Einstellungen die Windows Sicherheit zum Kennwort ändern, die Taskleiste und die Drucker. Ach ja, den Knopf zum Abmelden.

Das alles hab ich über die gpo gemacht.

Und damit die User im System nich ändern können, bin ich nochmal beigeganen und hab die System Verzeichnisse auf Berechtigungen geprüft und überall wo zuviel Rechte waren hab ich sie weggenommen...

Es ist aber schon so, dass die Gruppe "Benutzer" auf den TS recht eingeschränkt ist.... und diese Rechte reichen auch völlig aus...

 

Ich kann dir echt raten, dich einzulesen zu diesem Thema, den es ist recht umfangreich und man kann es schlecht hier abhandeln. Die Hilfe von dem Betriebssytem ist mittlerweile ziemlich gut, die würde ich nutzen.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...