Wolke2k4 11 Geschrieben 14. Juli 2006 Melden Teilen Geschrieben 14. Juli 2006 Was aber geht, ist Windows-Sicherheit zu entschärfen, indem man über Administrative Vorlagen --> System --> Strg+Alt+Entf Optionen die unerwünschten Optionen deaktiviert. Dann ist der Zugriff darauf gesperrt und Windows-Sicherheit ist nur noch ein Schönheitsfehler... Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 14. Juli 2006 Melden Teilen Geschrieben 14. Juli 2006 Ich hab das auch probiert, dieser Punkt lässt sich mit der oben genannten Richtlinie entfernen , auch ohne die Punkte unter Einstellungen oder Einstellungen komplett auszublenden Zitieren Link zu diesem Kommentar
DDESER 10 Geschrieben 14. Juli 2006 Autor Melden Teilen Geschrieben 14. Juli 2006 Ich hab das auch probiert, dieser Punkt lässt sich mit der oben genannten Richtlinie entfernen , auch ohne die Punkte unter Einstellungen oder Einstellungen komplett auszublenden Hallo Jungs hier nochmal Daniel, bevor ich los muss.. ich verfolge mit großem Interesse eure Meldungen und bin sehr dankbar für eure Hilfe :) Vielleicht sollte ich euch nochmals das Gesamtkonzept so ausführlich wie möglich schildern und da ich davon überzeugt bin einiges Falsch gemacht zu haben werde ich zuerst einmal den Urzutand wieder herstellen damit eine vernünftige Ausgangsbasis geschaffen ist. Dann werde ich gerne mit eurer Hilfe zu dem gewünschten Ergebnis kommen. Bin ab 21.30 Uhr wieder an der Kiste - danke Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 14. Juli 2006 Melden Teilen Geschrieben 14. Juli 2006 Das kannst Du machen, dann bekommst Du mal eine Schritt für Schritt Anleitung, wie man das grundsätzlich macht (mal davon abgesehen, dass man Terminaldienste nicht auf einem DC aktiviert ;) ) Zitieren Link zu diesem Kommentar
Wolke2k4 11 Geschrieben 14. Juli 2006 Melden Teilen Geschrieben 14. Juli 2006 Ich hab das auch probiert, dieser Punkt lässt sich mit der oben genannten Richtlinie entfernen , auch ohne die Punkte unter Einstellungen oder Einstellungen komplett auszublenden Hmmm... wie meinen? Du willst sagen, dass sich Windows-Sicherheit komplett ausblenden lässt? Hast Du GPOs vom W2K3 R2? Mit R1, SP1 lässt sich der Menüpunkt nicht deaktivieren. Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 14. Juli 2006 Melden Teilen Geschrieben 14. Juli 2006 Ich hab das zwar hier mit nem R2 ausprobiert, die Einstellung gibt es aber auch auf einem ohne R2 Computerkonfiguration - Administrative Vorlagen - Windows-Komponenten - Terminaldienste - "Eintrag Windows-Sicherheit aus dem Startmenü entfernen" ... Zitieren Link zu diesem Kommentar
Wolke2k4 11 Geschrieben 14. Juli 2006 Melden Teilen Geschrieben 14. Juli 2006 Ist richtig, hatte Dein zweites Posting nicht beachtet... Zitieren Link zu diesem Kommentar
DDESER 10 Geschrieben 14. Juli 2006 Autor Melden Teilen Geschrieben 14. Juli 2006 Das kannst Du machen, dann bekommst Du mal eine Schritt für Schritt Anleitung, wie man das grundsätzlich macht (mal davon abgesehen, dass man Terminaldienste nicht auf einem DC aktiviert ;) ) Hallo da bin ich wieder.. Nun noch einmal etwas ausführlicher.. 1. Ich habe einen Server auf dem Windows 2003 Standard (englisch) R2 installiert ist. Im Grunde befinden sich im internen LAN 2 Computer die diesen Server als Terminal Server nutzen. Derzeit ist dieser Server als DC konfiguriert und es werden eben die Terminaldienste genutzt. Die Clients melden sich intern via RDP am Server an. Alle nötige Software die zum arbeiten benötigt wird ist bereits installiert und konfiguriert. 2. Es gibt auf dem Server eine Aplikation die für den externen Zugriff gedacht ist. Die User die sich extern am Server anmelden nutzen ebenfalls RDP über Port 3389 und dyndns. 3. Die externen User sollen lediglich 2 Symbole erhalten - zum einen Log Off und zum anderen eben dieses Programm. Alle anderen Windows Funktionen inkl. Drucken und Rechtsklick sollen deaktiviert sein. Es muss absolut sichergestellt sein, dass keiner von den externen Usern schaden an der Konfiguration anrichtet bzw. Zugriff auf Daten des Servers hat. - Nur das Programm bzw. zwei Programme sind es, dürfen geöffnet werden. Wie gehe ich das Problem nun an? Und was muss ich nun Schritt für Schritt am Server rückgängig machen ohne dass ich die bereits eingerichteten User Profile verliere oder wieder von vorne anfangen muss?? Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 14. Juli 2006 Melden Teilen Geschrieben 14. Juli 2006 Als erstes erstelle mal eine Gruppe für die externen User und mache sie zu Mitgliedern dieser Gruppe. Das gleiche machst Du mit den internen Benutzern, für die Du auch eine Gruppe erzeugst. Da Du unterschiedliche Richtlinien für die User haben willst, musst Du auch unterschiedliche Richlinien erzeugen. Du erzeugst also 2 Richtlinien, eine für die externen User und eine für die internen User. Beide Richtlinien werden in der Domain Controllers OU platziert und in beiden musst Du in der Computerkonfiguration die Loopbackverarbeitung auf Ersetzen konfigurieren. Die beiden Richtlinien schiebst Du höher als die Default Domain Controllers Policy. In der Richtlinie für die externen User werden die sehr restriktiven Einschränkungen in der Benutzerkonfiguration gemacht, die Du in den Administrativen Vorlagen an verschiedenen Orten findest (Startmenü,Systemsteuerung,Desktop ...). In der Computerkonfiguration wird an dem schon genannten Ort die Windows-Sicherheit ausgeschaltet (man kann dort noch wesentlich mehr einschränken, da aber in der Computerkonfiguration konfiguriert wird, gilt es für alle User, auch die internen). Als nächstes konfigurierst Du wie gewünscht die Policy für die internen Benutzer, die wahrscheinlich weniger restriktiv sein soll. Um jetzt unterscheiden zu können, wer welche Richtlinie anwenden soll, wird in jedem GPO die Sicherheitsfilterung konfiguriert (unter Sicherheit bzw. Delegierung, wenn Du die GPMC installiert hast). In der Policy der externen User entfernst Du die Gruppe der Authentifizierten Benutzer und fügst das Computerkonto des Domänencontrollers und die erstellte Gruppe für die externen User zu. Beide bekommen die Berechtigungen "Lesen" und "Gruppenrichtlinie übernehmen" auf Zulassen. Bei den Domänenadmins konfigurierst Du "Gruppenrichtlinie übernehmen" auf Verweigern. In der Policy für die internen User entfernst Du ebenfalls die Gruppe der Authentifizierten Benutzer und fügst das Computerkonto des DCs und die Gruppe der internen Benutzer zu. Diesen beiden gewährst Du ebenfalls die Berechtigungen "Lesen" und "Gruppenrichtlinie übernehmen". Den Domänenadmins verweigerst Du die Berechtigung "Gruppenrichtlinie übernehmen". Jetzt hast Du zwei verschiedene Gruppenrichtlinien, die nur von den jeweils berechtigten Usern angewendet werden dürfen, beide mit sehr unterschiedlichen Einstellungen in der Benutzerkonfoguration. Keiner der User wird eingeschränkt, wenn er sich an der lokalen Maschine anmeldet ... Die zweite Möglichkeit wäre, dass Du ebenso 2 Richtlinien erstellst, eine davon (die für die internen User) wird in die Domain Controllers OU gelinkt, Loopbackverarbeitung und wenigstens das Entfernen von Windows-Sicherheit in der Computerkonfiguration konfiguriert. Die Sicherheitseinstellungen werden genauso konfiguriert wie oben schon mal beschrieben. Dann erzeugst Du Dir eine OU für die externen User und verschiebst deren Benutzerkonten in diese OU. Dann erzeugst Du eine Richtlinie und verknüpfst sie mit der eben erstellten OU. In diesem GPO werden ausschliesslich Einstellungen in der Benutzerkonfiguration vorgenommen (die sehr einschränkenden für die externen Benutzer). In dieser OU kannst Du die Sicherheitsfilterung auf Standard lassen ... Zitieren Link zu diesem Kommentar
DDESER 10 Geschrieben 15. Juli 2006 Autor Melden Teilen Geschrieben 15. Juli 2006 Zunächst vielen Dank für Deine ausführlich Anleitung - Ich habe nun die entsprechenden Schritte durchgeführt und komme nun zu folgendem Ergebnis. Das Symbol "Windows Sicherheit" ist zwar jetzt nicht mehr vorhanden aber dafür eben bei allen Usern eben auch beim Administrator - das ist nicht ganz optimal. Beim Administrator soll natürlich das Symbol vorhanden sein. Dann habe ich immer noch das Problem, dass ich einen Rechtsklick auf dem Desktop ausführen kann, den eben ausschließlich der externe User nicht ausführen darf. Ansonsten funktionieren die restriktiven Einschränkungen. Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 15. Juli 2006 Melden Teilen Geschrieben 15. Juli 2006 Anders wird das nicht zu regeln sein (ich wüsste zumindest nicht wie) , da es eine Computereinstellung ist, die sich auf den TS bezieht (und demzufolge auf alle dort angemeldeten Benutzer). Mit der Siherheitsfilterung kann man auch nicht arbeiten. Da der Administrator nicht eingeschränkt wird, kann er die Funktionen der Windows-Sicherheit auch über Strg-Alt-Entf erreichen Zitieren Link zu diesem Kommentar
DDESER 10 Geschrieben 15. Juli 2006 Autor Melden Teilen Geschrieben 15. Juli 2006 Anders wird das nicht zu regeln sein (ich wüsste zumindest nicht wie) , da es eine Computereinstellung ist, die sich auf den TS bezieht (und demzufolge auf alle dort angemeldeten Benutzer). Mit der Siherheitsfilterung kann man auch nicht arbeiten. Da der Administrator nicht eingeschränkt wird, kann er die Funktionen der Windows-Sicherheit auch über Strg-Alt-Entf erreichen Wenn ich das also richtig sehe - sobald ich Einschränkungen in den Computereinstellungen vornehme, gelten diese für alle User die sich am Terminal via RDP anmelden. Der Grund liegt hiefür wars***einlich darin, dass in den Sicherheitseinstellungen das Computerkonto des Domänencontrollers hinterlegt ist und dieser die Policy übernimmt. Jetzt frage ich mich, warum kann ich dann in den verschiedenen policies also externe user und interne user unterschiedliche Einstellungen in der Computerkonfiguration vornehmen? Hmm. ich werde da ein wenig damit herum spielen :) Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 15. Juli 2006 Melden Teilen Geschrieben 15. Juli 2006 Weil diese Einstellungen für Benutzer gelten, durch die Loopbackverarbeitung für Benutzer, die sich am TS anmelden, obwohl sie sich gar nicht in der OU befinden. Der DC muss in der Sicherheitsfilterung in dem GPO in der Domain Controllers OU vorhanden sein, damit die Loopbackverarbeitung aktiviert werden kann und die Benutzereinstellungen in diesem GPO überhaupt wirken. Normalerweise wirken die Einstellungen in der Benutzerkonfiguration nur, wenn sich auch solche Objekte in der Reichweite des GPOs befinden (in der Domain Controllers OU ist aber kein solches Objekt, sondern nur das Computerkonto des DCs) und daher die Loopbackverarbeitung. Durch die Sicherheitsfilterung lege ich fest, auf welche Benutzer (wenn sie denn betroffen sind) dieses GPO bzw. dessen Einstellungen anwenden (nur den Benutzerteil) ... Die Einschränkung für die Windows-Sicherheit gilt auch, wenn der Admin sich interaktiv anmeldet ... Zitieren Link zu diesem Kommentar
Wolke2k4 11 Geschrieben 15. Juli 2006 Melden Teilen Geschrieben 15. Juli 2006 Nur mal so als Gedanke, ohne Gewähr, dass es funktioniert. Theoretisch kannst Du einen zweiten "RPD Listener" in der Terminaldienstekonfiguration einrichten und diesen mit den gewünschten Eigenschaften versehen (bspw. wird nur ein Programm für den neuen Listener bei Verbindungsaufbau gestartet). Damit würdest Du den Desktop umgehen und den externen Nutzern nur die Anwendung bereitstellen. GPOs müsstest Du dann nicht so restirktiv einstellen. Die Externen Nutzer verbinden sich dann auf den RDP Listener 2 und interne Nutzer auf den ersten. Als voraussetzung sollten allerdings zwei NICs im Server stecken. Mein kurzer Test hat allerdings auch mit zwei NICs nicht geklappt. Angeblich, weil ich keine eindeutige Netzwerkverbindung angegeben habe... Hab mich allerdings auch nicht mehr hinter geklemmt... Zitieren Link zu diesem Kommentar
DDESER 10 Geschrieben 15. Juli 2006 Autor Melden Teilen Geschrieben 15. Juli 2006 Nur mal so als Gedanke, ohne Gewähr, dass es funktioniert. Theoretisch kannst Du einen zweiten "RPD Listener" in der Terminaldienstekonfiguration einrichten und diesen mit den gewünschten Eigenschaften versehen (bspw. wird nur ein Programm für den neuen Listener bei Verbindungsaufbau gestartet). Damit würdest Du den Desktop umgehen und den externen Nutzern nur die Anwendung bereitstellen. GPOs müsstest Du dann nicht so restirktiv einstellen. Die Externen Nutzer verbinden sich dann auf den RDP Listener 2 und interne Nutzer auf den ersten. Als voraussetzung sollten allerdings zwei NICs im Server stecken. Mein kurzer Test hat allerdings auch mit zwei NICs nicht geklappt. Angeblich, weil ich keine eindeutige Netzwerkverbindung angegeben habe... Hab mich allerdings auch nicht mehr hinter geklemmt... Ich habe das gerade getestet.. naja das funktioniert schon.. jetzt ist es so, dass die externen User sich eben nur noch über die externe Netzwerkkarte anmelden können und nicht mehr über das lokale LAN. Jedoch bin ich im Grunde wieder da wo ich schon war - ein Rechtsklick auf den Desktop ist immer noch möglich. Wenn ich dann zum bsp. auf Neu klicke und dann ein Textdokument erstelle, dieses dann öffne und dann unter DATEI auf durchsuchen klicke, dann kann ich die gesamte Festplatte C:\ durchforsten und komme an Dateien ran, die den externen User nichts angehen.. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.