tmatheis 10 Posted April 11, 2006 Report Share Posted April 11, 2006 Hallo. Ich hab ein Problem mit einem Stand-Alone TS. Der TS steht aus Sicherheitsgründen in einer DMZ und ist kein Mitglied der Domäne. OS = Windows Server 2003 SP1 mit installiertem Citrix Presentation Server 4.0. Ich möchte nun verhindern, dass für einen vordefinierten Account (ist im ICA Protokoll definiert) der sich auf dem TS anmeldet, die lokalen Laufwerke des TS angezeigt werden. Da ich auf dem Stand-Alone TS keine GPO´s anwenden kann, stehe ich zur Zeit für mich vor einem unlösbaren Problem. Wäre toll wenn mir jemand weiter helfen kann. Grüße tmatheis Quote Link to comment
Wolke2k4 11 Posted April 11, 2006 Report Share Posted April 11, 2006 Ohne Domain hast Du in der Tat ein Problem (allerdings lösbar). Wenns nicht über OUs geht dann musst Du halt lokal ran. Das Problem ist, dass Du bei zu restirktiven Einstellungen Gefahr läufst dich schnell selber auszusperren. Gehe einfach wie folgt vor: 1. Notfallnutzer anlegen, nennen wir ihn: GPOGOTT 2. %Systemroot% --> System32 --> Grouppolicy --> Eingenschaften --> NTFS Berechtigungen --> GPOGOTT hinzufügen und den Vollzugriff verweigern. Mit GPOGOTT meldest Du dich am System anschließend nur im K-Fall an, wenn Du dich also ausgesperrt hast 3. Start --> ausführen --> gpedit.msc 4. Einstellungen für den TS anpassen, ggf. ein gpupdate /force hinterher 5. dem Administrator verweigerst Du, wie in 2. beschrieben, nach den Feineinstellungen ebenfalls den Zugriff. An Deiner stelle würde ich mit ein paar Test beginnen und dann die GPO so anpassen wie Du es für richtig hälst. Quote Link to comment
tmatheis 10 Posted April 11, 2006 Author Report Share Posted April 11, 2006 Danke für Deine Hinweise. Habe ich alles so ausprobiert. Mein Problem ist aber jetzt, das der Admin-Account mit dem ich die gpedit.msc aufgerufen habe, die Änderungen (Laufwerke ausblenden) übernimmt, obwohl ich ihm den Zugriff (NTFS) auf dem Ordner "grouppolicy" verweigert habe. Die ntuser.pol, die das System im Profilpfad des Admins angelegt hat habe ich auch bereits gelöscht. Der einzige der jetzt die Restriktionen nicht hat ist der "gpogott" Grüße tmatheis Quote Link to comment
Wolke2k4 11 Posted April 11, 2006 Report Share Posted April 11, 2006 Melde dich mal vom System ab und wieder an. Die Richtlinien werden natürlich bei Aktivierung auch gleich für den Admin übernommen. Also den Zugriff für den Admin weiterhin auf verweigert --> abmelden --> anmelden und schon ist wieder alles wie vorher (zumindest für den Admin). Quote Link to comment
tmatheis 10 Posted April 12, 2006 Author Report Share Posted April 12, 2006 Habe ich schon ausprobiert. Der Admin hat solange die Laufwerksverweigerung bis ich ihm über gpedit.msc explizit die Laufwerke wieder zuweise (Richtlinie erst auf deaktiviert, dann auf nicht konfiguriert). Quote Link to comment
Wolke2k4 11 Posted April 12, 2006 Report Share Posted April 12, 2006 Dann ist noch irgendwo der Wurm drin. Kann eventuell damit zusammenhängen, dass Du die ntuser.pol gelöscht hast. Wenn es bei GPOGOTT funktioniert muss es auch für den Administrator gehen. Ist das nicht der Fall dann gibt es Unterschiede, die Du rausfinden musst. Alternativen: 1. ntuser.pol vom GPOGOTT in das Profil des Admin kopieren 2. Profil vom Administrator platt machen Quote Link to comment
tmatheis 10 Posted April 12, 2006 Author Report Share Posted April 12, 2006 Habe das Problem mit ein wenig friemelerei gelöst. Ich haben dem Admin zuerst den Zugriff auf den Ordner GroupPolicy verweigert und dann die Restriktionen mit dem Account "gpogott" festgelegt. Mein Admin arbeitet jetzt wunderbar und hat alle Laufwerke. Alle anderen Laufwerke haben keine Laufwerke mehr. Trotzdem Danke für den Fingerzeig in die richtige Richtung :) tmatheis Quote Link to comment
Wolke2k4 11 Posted April 12, 2006 Report Share Posted April 12, 2006 Kein Problem! Quote Link to comment
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.