GPO-Anpassungen im Explorer bei Server 2012R2
Hallo Zusammen,
ich bin momentan dabei Server2012R2 für RD-User so weit, wie es geht einzuschränken, wobei ich gerade beim Explorer an meine Grenzen stoße. Ich hoffe ihr könnt mir bei ein paar Anpassungen helfen, die ich per GPO nicht angepasst bekomme.
1. Explorer-> Datei-> "Eingabeaufforderungen öffnen"<- soll deaktiviert (ausgegraut oder entfernt) werden
2. Explorer-> Datei-> "Windows PowerShell öffnen"<- soll deaktiviert (ausgegraut oder entfernt) werden
3. Explorer-> Klick auf "Dieser PC"-> Verwalten-> "Optimieren"<- soll deaktiviert (ausgegraut oder entfernt) werden (Siehe Anhang Optimieren.jpg)
4. Explorer-> Klick auf "Dieser PC"-> Computer-> "Netzwerkadresse hinzufügen"<- soll deaktiviert (ausgegraut oder entfernt) werden (Siehe Anhang Netzwerkadresse.jpg)
An diesen Punkten beiße ich mir echt die Zähne aus. Ich vermute, dass es sich hier im Registry-Einträge konzentiert. Diese kann ich dann aber per GPO ersetzen/erstellen/löschen
Vielen Dank im Voraus
Gruß
ich bin momentan dabei Server2012R2 für RD-User so weit, wie es geht einzuschränken, wobei ich gerade beim Explorer an meine Grenzen stoße. Ich hoffe ihr könnt mir bei ein paar Anpassungen helfen, die ich per GPO nicht angepasst bekomme.
1. Explorer-> Datei-> "Eingabeaufforderungen öffnen"<- soll deaktiviert (ausgegraut oder entfernt) werden
2. Explorer-> Datei-> "Windows PowerShell öffnen"<- soll deaktiviert (ausgegraut oder entfernt) werden
3. Explorer-> Klick auf "Dieser PC"-> Verwalten-> "Optimieren"<- soll deaktiviert (ausgegraut oder entfernt) werden (Siehe Anhang Optimieren.jpg)
4. Explorer-> Klick auf "Dieser PC"-> Computer-> "Netzwerkadresse hinzufügen"<- soll deaktiviert (ausgegraut oder entfernt) werden (Siehe Anhang Netzwerkadresse.jpg)
An diesen Punkten beiße ich mir echt die Zähne aus. Ich vermute, dass es sich hier im Registry-Einträge konzentiert. Diese kann ich dann aber per GPO ersetzen/erstellen/löschen
Vielen Dank im Voraus
Gruß
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 257906
Url: https://administrator.de/forum/gpo-anpassungen-im-explorer-bei-server-2012r2-257906.html
Ausgedruckt am: 25.12.2024 um 14:12 Uhr
3 Kommentare
Neuester Kommentar
Hi
als erstes: Eine Lösung für die ersten 2 Einstellungen habe ich auch nicht.
Aber ich sehe auch keinen Sinn darin:
1. All diese Einstellungen sind nur Verknüpfungen auf Programme / Befehle, die der User auch anderweitig aufrufen kann.
Wenn, dann müsste man dem User das Recht auf die entsprechenden Programme verbieten.
die CMD bzw Powershell abzustellen dürfte allerdings massive andere Probleme verursachen, da noch sehr viele Programme heimlich die cmd aufrufen um da befehle auszuführen. Natürlich im Benutzerkontext, der aber dann keine Berechtigung dafür hätte.
Auch kann man sich als Admin nicht mal kurz an den Platz hocken und einen befehl absetzen, ohne den User wechseln zu müssen
2. Alles was der User in der cmd oder Powershell macht, würde seinen Berechtigungen unterliegen. Sofern bei euch die Berechtiungen nicht völlig aus dem Ruder laufen, besteht also keine wirkliche Gefahr.
3. Der User kann eh nicht "Optimieren"
Für letzteres gibt es eine GPO. Aber die verhindert nur, das die Option im Explorer angezeigt wird. wenn der User "net use" kennt bekommt er das immer noch hin.
Pfad: Benutzerkonfig/Richtlinien/Administrative Vorlagen/Windows-Komponenten/Datei-Explorer/Optionen "Netlaufwerk verbinden".....
als erstes: Eine Lösung für die ersten 2 Einstellungen habe ich auch nicht.
Aber ich sehe auch keinen Sinn darin:
1. All diese Einstellungen sind nur Verknüpfungen auf Programme / Befehle, die der User auch anderweitig aufrufen kann.
Wenn, dann müsste man dem User das Recht auf die entsprechenden Programme verbieten.
die CMD bzw Powershell abzustellen dürfte allerdings massive andere Probleme verursachen, da noch sehr viele Programme heimlich die cmd aufrufen um da befehle auszuführen. Natürlich im Benutzerkontext, der aber dann keine Berechtigung dafür hätte.
Auch kann man sich als Admin nicht mal kurz an den Platz hocken und einen befehl absetzen, ohne den User wechseln zu müssen
2. Alles was der User in der cmd oder Powershell macht, würde seinen Berechtigungen unterliegen. Sofern bei euch die Berechtiungen nicht völlig aus dem Ruder laufen, besteht also keine wirkliche Gefahr.
3. Der User kann eh nicht "Optimieren"
Für letzteres gibt es eine GPO. Aber die verhindert nur, das die Option im Explorer angezeigt wird. wenn der User "net use" kennt bekommt er das immer noch hin.
Pfad: Benutzerkonfig/Richtlinien/Administrative Vorlagen/Windows-Komponenten/Datei-Explorer/Optionen "Netlaufwerk verbinden".....
Moin Moin,
Hiermit graust du zwar keine Schaltfläche aus, aber die die Ausführung der CMD kannst du hiermit unterbinden.
Benutzerkongfiguration aber auch Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Windows Powershell\Skriptausführung aktivieren
sehr genau einstellen oder deaktivieren.
Damit wird allerdings nicht unterbunden das die Powershell Konsole geöffnet werden kann bzw. dort Cmdlets ausgeführt werden.
Dazu müste man wohl den Anwendern die Ausführenrechte an der powershell.exe nehmen.
Wie Sea Storm schon schrieb erfodert dies eh höhere Rechte. Unkritisch.
Informationen übers Laufwerk liefert auch Rechtklick Eigenschaften.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
"WebView"=dword:00000001
Dieser Schlüssel sollte den Punkt deaktivieren.
Gruß L.
Zitat von @Modjo85:
1. Explorer-> Datei-> "Eingabeaufforderungen öffnen"<- soll deaktiviert (ausgegraut oder entfernt) werden
Benutzerkongfiguration\Administrative Vorlagen\System\Zugriff auf Eingabeaufforderung verhindern1. Explorer-> Datei-> "Eingabeaufforderungen öffnen"<- soll deaktiviert (ausgegraut oder entfernt) werden
Hiermit graust du zwar keine Schaltfläche aus, aber die die Ausführung der CMD kannst du hiermit unterbinden.
2. Explorer-> Datei-> "Windows PowerShell öffnen"<- soll deaktiviert (ausgegraut oder entfernt) werden
Die Ausführung von Powershell Skripten kannst Du unterBenutzerkongfiguration aber auch Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Windows Powershell\Skriptausführung aktivieren
sehr genau einstellen oder deaktivieren.
Damit wird allerdings nicht unterbunden das die Powershell Konsole geöffnet werden kann bzw. dort Cmdlets ausgeführt werden.
Dazu müste man wohl den Anwendern die Ausführenrechte an der powershell.exe nehmen.
3. Explorer-> Klick auf "Dieser PC"-> Verwalten-> "Optimieren"<- soll deaktiviert (ausgegraut oder
entfernt) werden
Ich kenne keinen Weg diesen Punkt auszublenden bzw. zu dekativieren.entfernt) werden
Wie Sea Storm schon schrieb erfodert dies eh höhere Rechte. Unkritisch.
Informationen übers Laufwerk liefert auch Rechtklick Eigenschaften.
4. Explorer-> Klick auf "Dieser PC"-> Computer-> "Netzwerkadresse hinzufügen"<- soll
deaktiviert (ausgegraut oder entfernt) werden (Siehe Anhang Netzwerkadresse.jpg)
Ich kenne nur den (Um)Weg über die Registry:deaktiviert (ausgegraut oder entfernt) werden (Siehe Anhang Netzwerkadresse.jpg)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
"WebView"=dword:00000001
Dieser Schlüssel sollte den Punkt deaktivieren.
Gruß L.