W2k3-Terminalserver ohne AD - wie absichern?

[Darksun777 10]

Hallo,

 

wir haben hier einen W2k3-Terminalserver für unsere Kunden stehen, die sich via VPN darauf verbinden.

Aus Sicherheitsgründen ist der Terminalserver nicht in unserer Domäne, er ist also Standalone.

 

Was gibt es jetzt für Möglichkeiten den Server abzusichern? Gruppenrichtlinien fallen ja flach.

 

Ich würde gerne z.B. über die Lokalen Richtlinien alle Desktopsymbole ausblenden, die Systemsteuerung, das Ausführen von Anwendungen verhindern etc etc.

 

Wenn ich das aber so mache dann gilt das doch auch für das lokale Administrator-Konto oder ? Das sollte halt nicht so sein ...der Admin sollte alles dürfen und alle Icons etc. sehen, nur die Benutzer nicht.

 

Könnt ihr mir ein paar Tips geben wie man am besten vorgehen könnte ?

 

Danke schonmal :)

[grizzly999 11]

Wieso fallen Gruppenrichtlinien flach?

gpedit.msc liefert wunderbar die Möglichkeit, lokale Gruppenrichtlinien einzurichten. Und das für lokale Admins zu unterbinden, waren hier schon Postings im Board, z.B.

http://www.mcseboard.de/showthread.php?t=18462

 

grizzly999

[Darksun777 10]

Aha, danke! :)

 

Gpedit.msc is klar, hab ich ja oben auch geschrieben. Hab das von Dir verlinkte Posting im board trotz SuFu leider nicht gefunden.

 

Werds gleich mal ausprobieren :)

[Darksun777 10]

So, wollte nochmal Rückmeldung geben ...

 

Also die Möglichkeit die in dem MS-Artikel beschrieben wird hat nur unzureichend funktioniert. Das Admin-Konto hat trotzdem sporadisch alle einstellungen übernommen.

 

Habs dann so gemacht wie in dem anderen Thread beschrieben

 

- Dem Admin-Konto den Zugriff verweigert auf \System32\Grouppolicy\User

- Ein zweites Admin-Konto erstellt mit Vollzugriff auf \System32\Grouppolicy\User

 

Mit dem zweiten Admin-Konto alle Einstellungen konfiguriert.

 

Siehe da, die Einstellungen gelten für alle Benutzer ausser für den 1.Admin.

 

Funzt perfekt .. :) Danke nochmal!