Interaktiven Start von Powershell verhindern
Hi,
wir bertreiben einen 2003 Terminalserver auf dem ich zur automatisierung versch sachen
die Powershell installiert habe. Ich habe nun festgestellt dass die User die Shell starten dürfen,
was ich so nicht will. Für CMD habe ich über GPO Einstellen könen dass Scriptausführung erlaubt ist,
ein interaktiver aufruf jedoch nicht möglich ist. Die Powershell ist von der Einstellung jedoch
nicht beeindruckt
.
Gibts doch ne Möglichketi den Interaktiven Aufruf der PS zu unterbinden und die Scriptausführung zuzulassen?
Bitte keine Antworten wie: "Google Powershell und Gruppenrichtlinien"
Natürlich gibts ein ADM file zum hinzuladen darüber lässt sich jedoch nur die execution-policy vorgeben.
Und das kann man dann in 1800 treffern nachlesen.
Auch über NTFS-berechtigungen, wie schon mal gepostet, lässt sich dieses Problem nicht hinbekommen.
Über konkrete Anworten bin ich sehr Dankbar!
Gruss
SC
wir bertreiben einen 2003 Terminalserver auf dem ich zur automatisierung versch sachen
die Powershell installiert habe. Ich habe nun festgestellt dass die User die Shell starten dürfen,
was ich so nicht will. Für CMD habe ich über GPO Einstellen könen dass Scriptausführung erlaubt ist,
ein interaktiver aufruf jedoch nicht möglich ist. Die Powershell ist von der Einstellung jedoch
nicht beeindruckt
.Gibts doch ne Möglichketi den Interaktiven Aufruf der PS zu unterbinden und die Scriptausführung zuzulassen?
Bitte keine Antworten wie: "Google Powershell und Gruppenrichtlinien"
Natürlich gibts ein ADM file zum hinzuladen darüber lässt sich jedoch nur die execution-policy vorgeben.
Und das kann man dann in 1800 treffern nachlesen.
Auch über NTFS-berechtigungen, wie schon mal gepostet, lässt sich dieses Problem nicht hinbekommen.
Über konkrete Anworten bin ich sehr Dankbar!
Gruss
SC
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 118349
Url: https://administrator.de/forum/interaktiven-start-von-powershell-verhindern-118349.html
Ausgedruckt am: 28.04.2025 um 20:04 Uhr
2 Kommentare
Neuester Kommentar
Hallo Scroller
Ich verstehe es richtig: Du willst, dass die Scripts ausgeführt werden können, die Shell selber (z.B. Start > Ausführen > "Powershell.exe") aber nicht?
Dies geht nicht, da immer die PowerShell.exe aufgerufen wird, wenn ein PowerShell-Script ausgeführt wird. Dies ist bei Batch nicht anders. Wenn du eine Batchdatei z.B. per Doppelklick ausführst, wird auch im Hintergrund die CMD.exe aufgerufen. Bei VBS ist es ebenfalls so, dort wird im Hintergrund immer die Cscript.exe oder WScript.exe aufgerufen. Dein Vorhaben ist nicht realisierbar.
PS: Was ist eigentlich so schlimm, wenn die Benutzer der PowerShell starten? Wenn die User nicht als lokale Administratoren auf dem TS hinterlegt sind, ist das doch kein Problem. Schliesslich kann auch jeder normale User die CMD.exe starten. Er kann einfach nicht alles damit machen wie ein Administrator......
Ich verstehe es richtig: Du willst, dass die Scripts ausgeführt werden können, die Shell selber (z.B. Start > Ausführen > "Powershell.exe") aber nicht?
Dies geht nicht, da immer die PowerShell.exe aufgerufen wird, wenn ein PowerShell-Script ausgeführt wird. Dies ist bei Batch nicht anders. Wenn du eine Batchdatei z.B. per Doppelklick ausführst, wird auch im Hintergrund die CMD.exe aufgerufen. Bei VBS ist es ebenfalls so, dort wird im Hintergrund immer die Cscript.exe oder WScript.exe aufgerufen. Dein Vorhaben ist nicht realisierbar.
PS: Was ist eigentlich so schlimm, wenn die Benutzer der PowerShell starten? Wenn die User nicht als lokale Administratoren auf dem TS hinterlegt sind, ist das doch kein Problem. Schliesslich kann auch jeder normale User die CMD.exe starten. Er kann einfach nicht alles damit machen wie ein Administrator......
Hallo TuxHunt3r,
daneke für deine ANtwort.
Also bei CMD ist das durchaus möglich und ich arbeite auch schon so. Ich habe per GPO den Interaktiven Start
untersagt, die Scriptausführung geht jedoch nach wie vor.
Dass das keine 100 %ige Sicherheit bietet weis ich schon.
Der User darf immer noch ein cmd script erstellen und dies starten.
und wenn er ein pause hinten anhängt ists ja praktisch wie ein interaktiver aufruf.
Bei Powershell könnte ich aber das per execution-policy unterbinden.
Das der User, auch mit der Powershell, nur das darf was ihm als User erlaubt ist,
sollte man denken. Es ist aber so, dass ich den zugriff auf Laufwerk C über GPO untersagt habe.
In der Terminalsitzung im Explorer funktioniert das wunderbar.
In der PS-Sitzung innerhalb der TS-Sitzung darf er sehr wohl nach c: wecseln und kann sich alles ansehen.
Zwar greifen hier dann NTFS-Berechtigungen, Ich habe jetzt auf c noch keine Datei gefunden,
die er hätte löschen dürfen, es liegen jedoch auch Daten auf dem Server wo die Berechtigungen nicht vom OS vorgegeben wurden sondern von mir . Und wer macht nicht mal Fehler...
Ausserdem stört es mich prinzipiell das der User, auch nur lesenden Zugriff
auf die Systempartition und das Datenverzeichnis hat.
Gruss
SC
daneke für deine ANtwort.
Also bei CMD ist das durchaus möglich und ich arbeite auch schon so. Ich habe per GPO den Interaktiven Start
untersagt, die Scriptausführung geht jedoch nach wie vor.
Dass das keine 100 %ige Sicherheit bietet weis ich schon.
Der User darf immer noch ein cmd script erstellen und dies starten.
und wenn er ein pause hinten anhängt ists ja praktisch wie ein interaktiver aufruf.
Bei Powershell könnte ich aber das per execution-policy unterbinden.
Das der User, auch mit der Powershell, nur das darf was ihm als User erlaubt ist,
sollte man denken. Es ist aber so, dass ich den zugriff auf Laufwerk C über GPO untersagt habe.
In der Terminalsitzung im Explorer funktioniert das wunderbar.
In der PS-Sitzung innerhalb der TS-Sitzung darf er sehr wohl nach c: wecseln und kann sich alles ansehen.
Zwar greifen hier dann NTFS-Berechtigungen, Ich habe jetzt auf c noch keine Datei gefunden,
die er hätte löschen dürfen, es liegen jedoch auch Daten auf dem Server wo die Berechtigungen nicht vom OS vorgegeben wurden sondern von mir . Und wer macht nicht mal Fehler...
Ausserdem stört es mich prinzipiell das der User, auch nur lesenden Zugriff
auf die Systempartition und das Datenverzeichnis hat.
Gruss
SC
