best. GPO gesucht!

[WolverineJR 10]

Hallo Leute!

 

Um unseren Terminalserver-Usern eine möglichst "unkomplizierte" ;) Verwendung der Terminalserver zu gewährleisten, suche ich noch nach einer Möglichkeit per Gruppenrichtlinien das Öffnen des Dialogfenster bei dem Rechtsklick der Maus im Desktop zu verhindern (sonst können sich die Kollegen eine Batchdatei erstellen, mit der sie viel anstellen können). Habe leider nichts in den Standardgruppenrichtlinien finden können.

Hat hier jemand ne Idee??

 

Als ADS-Domän-Server haben wir Windows 2003 Server (noch ohne ServicePack 1) und als Terminalserver ebenfalls Windows 2003 Server (aber mit ServicePack1).

 

Danke schonmal im voraus!

[overlord 10]

Hallo,

bringt dir "Hinzufügen von Objekten nicht zulassen" (ActiveDesktop) was?!

[WolverineJR 10]

"Active Desktop" habe ich per Gruppenrichtlinie bereits deaktiviert. Dürfte also wirkungslos sein. Trotzdem Danke!

 

Weitere Ideen?

[PAT 10]

Schon mal hier geschaut?

[WolverineJR 10]

Auf der gruppenrichtlinien-Seite habe ich nicht nach dem Problem gesucht. Dort sind ja auch nur die Gruppenrichtlinien (zwar ein wenig übersichtlicher) abgebildet. Und ich habe auf dem DC in den GPO´s nichts finden können. Darum habe ich ja hier gepostet, ob jemand Abhilfe weiß... die Gruppenrichtlinien sind des öfteren nicht gerade in ihrem Namen und der Beschreibung verständlich. Und vielleicht hat ja jemand das Problem vorher schonmal lösen können.

[gotama 10]

hallo

 

wen du die active desktop richtig anpast sollte es gehen..ich habe bei mir gleiche ein einheitliches firmen hingergrundbild definiert taskleiste gesperrt alle symbole enfernt und bildschirmschoner haben auch alle den selben...

 

ps: batchdateien können user auch in ihrem profil erstellen und ausführen

[lefg 276]

per Gruppenrichtlinien das Öffnen des Dialogfenster bei dem Rechtsklick der Maus im Desktop zu verhindern (sonst können sich die Kollegen eine Batchdatei erstellen, mit der sie viel anstellen können).

Hallo,

 

das Kontextmenu des Desktops ist also nicht das primäre Ziel des Beitrages?

Eine Batch kann jeder einigermaßen Kundige mit einem beliebigen Editor erstellen.

Entscheidend wäre, kann der User das in der Batch programmierte mit seinen Berechtigungen ausführen?

 

Gruß

 

Edgar

[WolverineJR 10]

Der User hat in der Terminalsession keine (uns bisher bekannte) Möglichkeit einen Editor zu starten. Das Startmenü wurde stark eingeschränkt und die lokalen Platten sind nicht sichtbar. Darum sehen wir als einzige Möglichkeit sich mittels des Kontextmenüs eine Batchdatei auf den Desktop zu legen und dort etwaige Kommandos abzusetzen.

Die Möglichkeit bestimmte Abläufe einer Batch zu verbieten haben wir gar nicht in Betracht gezogen, weil dadurch etwaige Anwendungen, mit denen die Benutzer arbeiten sollen, dadurch in Mitleidenschaft gezogen werden könnten.

[lefg 276]

Der User hat in der Terminalsession keine (uns bisher bekannte) Möglichkeit einen Editor zu starten. Das Startmenü wurde stark eingeschränkt und die lokalen Platten sind nicht sichtbar.

Mit dem Entfernen von Ausführen und der Eingabeaufforderung nimmt man einen User doch einige Möglichkeiten. Aber auch Word und Wordpad sind Editoren. Wurde daran gedacht? Kann ein User eine Batch an einem anderen Rechner programmieren und auf dem TS verpflanzen?

Die Möglichkeit bestimmte Abläufe einer Batch zu verbieten haben wir gar nicht in Betracht gezogen,

Das habe ich so nicht gemeint.

Welche schlimmen Dinge könnte ein User in einer Batch programmieren? Das Löschen von Dateien, das Durchsuchen von verborgenen Ressoucen?

Leider kann ich zu der eigentlichen Frage in diesem Thead nichts sagen, ich bin bei TS unbedarft.

 

Ist ein Kontextmeu eigentlich system- oder profilbzogen? Die Registry besteht bei eingeloggtem User aus System.dat und User.dat. Änderungen von Kontextmenüs werden auf jedem in der Registry durchgeführt. Auch Gruppenrichtlinien wirken im Endeffekt dort hinein.

Ich kann mich an einen Thread zum Erweitern des Kontextmenüs des Startknopfes, der Netzwerkverbindung u.s.w. erinnern.

 

http://www.mcseboard.de/showthread.php?t=53364&highlight=lefg+explorer

 

Ich habe eben an einer WS in den Schlüsseln HKEY_USERS HKEY_Current_USER nach dem Begriff Textdatei gesucht und den Eintrag entfernt. Damit war dieser auch aus dem Kontextmenü.

 

Man könnte den Teilschlüssel in eine Reg-Datei exportieren, diese bearbeiten und testen. Anschliessend aus dieser Datei ein Administrative Vorlage bauen, per Editor oder mit reg2adm.

 

Gruß

 

Edgar

[overlord 10]

Hi wolverine,

ich stimme da lefg zu.

ist es nicht ausreichend, die ua genannten optionen einzuschränken, also:

- LW ausblenden und (viel wichtiger) zugriff verweigern! LW ausblenden allein bringt "gar nix" !!, da man per Datei-Öffnen "überall" hin kommt.

- active desktop anpassen und beschränken

- änderungen desktop nicht speichern

- eingabeaufforderung deaktivieren

- bearbeiten der REG für user verbieten

- event. nur zugelassene shellerweiterungen zulassen

- standarddialoge bei datei öffnen ausblenden

- deakt. von drag&drop

- und viel. nochn paar neben den üblichen sachen...

[WolverineJR 10]

Danke für die rege Anteilnahme!

Also die TS-Server-User haben keine Möglichkeit, selbstständig Programme, welche wir ihnen nicht als Shortcut auf den Desktop legen, zu starten.

Office ist auf den TS nicht installiert. Nur die Office-Viewer (für Word und Excel). Taskleiste ist in keinster Weise manipulierbar. "Eigene Dateien" sind nicht sichtbar.

Der einzige Punkt, welche noch nicht implementiert wurde, ist die Manipulierbarkeit des Desktops... gibt es dafür bereits eine GPO?

 

Die Idee mit dem Registry-Key werde ich mal verfolgen. Das wäre eine Möglichkeit.

[lefg 276]

Die Idee mit dem Registry-Key werde ich mal verfolgen. Das wäre eine Möglichkeit.

Viel Erfolg

[lefg 276]

Bei Google findet man mit Desktop Kontextmenü so einiges.

 

http://forum.tecchannel.de/forum/archive/index.php/t-2376.html

 

http://www.winfaq.de/faq_html/tip1585.htm