4
APPDATA auf Terminal-Server
Hallo liebe Community,
sicherlich gibt es zu meinem Anliegen schon zahlreiche Forenbeiträge. Leider habe ich allerdings noch nicht die Lösung gefunden.
Folgendes Szenario:
vorhandene Infrastruktur:
- MS Active Directory auf Server 2016
- Terminal Broker inkl. 4 Terminal-Server in einer Farm
- ein File-Server
- User Profile werden umgeleitet (Dokumente, Bilder, Videos usw.) auf den Fileserver. Benutzerprofildatenträger ist aktiviert.
- AppData bei aktiver Terminal-Sitzung des jeweiligen Users liegt weiterhin unter C:\Benutzer\AppData des jeweiligen Terminal Servers ab.
Wie kann ich nun die Platte C auf allen Terminal-Servern für Benutzer so einschränken, dass diese nicht darauf zugreifen können, außer auf den Ordner AppData bzw. den Ordner C:\Benutzer? Domänen-Administratoren und lokale Administratoren sollen vollen Zugriff auf Platte C haben.
Wie macht ihr das in euren Umgebungen? Welcher Gruppenrichtlinien, welche NTFS-Berechtigungen und welche Freigabe-Berechtigungen setzt ihr, damit dieses Szenario funktioniert?
Vielen Dank im Voraus für eure Anregungen...
sicherlich gibt es zu meinem Anliegen schon zahlreiche Forenbeiträge. Leider habe ich allerdings noch nicht die Lösung gefunden.
Folgendes Szenario:
vorhandene Infrastruktur:
- MS Active Directory auf Server 2016
- Terminal Broker inkl. 4 Terminal-Server in einer Farm
- ein File-Server
- User Profile werden umgeleitet (Dokumente, Bilder, Videos usw.) auf den Fileserver. Benutzerprofildatenträger ist aktiviert.
- AppData bei aktiver Terminal-Sitzung des jeweiligen Users liegt weiterhin unter C:\Benutzer\AppData des jeweiligen Terminal Servers ab.
Wie kann ich nun die Platte C auf allen Terminal-Servern für Benutzer so einschränken, dass diese nicht darauf zugreifen können, außer auf den Ordner AppData bzw. den Ordner C:\Benutzer? Domänen-Administratoren und lokale Administratoren sollen vollen Zugriff auf Platte C haben.
Wie macht ihr das in euren Umgebungen? Welcher Gruppenrichtlinien, welche NTFS-Berechtigungen und welche Freigabe-Berechtigungen setzt ihr, damit dieses Szenario funktioniert?
Vielen Dank im Voraus für eure Anregungen...
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 540259
Url: https://administrator.de/contentid/540259
Printed on: April 24, 2024 at 13:04 o'clock
4 Comments
Latest comment
Hi,
kannst Du gar nicht, nicht effektiv.
Was max. praktikabel ist, das Laufwerk C: "auszublenden". D.h. es wird dann nicht mehr im Explorer und anhänglichen Dialogen wie "Datei öffnen" oder "Datei speichern" angezeigt. Es ist dann aber weiterhin über die CMD oder PowerShell verfügbar. Selbst im Windows Explorer kann man dann trotzdem oben in der Adressleiste "C:\" eingeben und kommt dann auf die Ordner.
E.
kannst Du gar nicht, nicht effektiv.
Was max. praktikabel ist, das Laufwerk C: "auszublenden". D.h. es wird dann nicht mehr im Explorer und anhänglichen Dialogen wie "Datei öffnen" oder "Datei speichern" angezeigt. Es ist dann aber weiterhin über die CMD oder PowerShell verfügbar. Selbst im Windows Explorer kann man dann trotzdem oben in der Adressleiste "C:\" eingeben und kommt dann auf die Ordner.
E.
@Underhill:
Hallo.
Was können denn unprivilegierte TS-User - ohne Adminrechte - auf C:\ überhaupt schlimmes anrichten? Dort, wo sie (je nach Programm auch schreibenden) Zugriff brauchen, ist es völlig wurscht (weil der vom User kommende Trojaner dann auch darf), und dort wo nicht, sollte ihnen eigentlich ein Admin-Anmeldeprompt entgegenleuchten, wo sie nicht weiterkommen.
Oder anders:
Auf FAT-Clients blendest Du doch C:\ auch nicht aus, oder?
Viele Grüße
von
departure69
Hallo.
Was können denn unprivilegierte TS-User - ohne Adminrechte - auf C:\ überhaupt schlimmes anrichten? Dort, wo sie (je nach Programm auch schreibenden) Zugriff brauchen, ist es völlig wurscht (weil der vom User kommende Trojaner dann auch darf), und dort wo nicht, sollte ihnen eigentlich ein Admin-Anmeldeprompt entgegenleuchten, wo sie nicht weiterkommen.
Oder anders:
Auf FAT-Clients blendest Du doch C:\ auch nicht aus, oder?
Viele Grüße
von
departure69
Den Schreibzugriff einzuschränken, ginge schon - den Lesezugriff jedoch nicht - reicht das?
Warum ??
Welchen Zweck soll das dienen?
Welchen Zweck soll das dienen?
