11
RDP Ausnahmen per GPO
Hallo!
Ich brauche eine besondere Gruppenrichtlinie, um hier lokal RDP einzuengen, aber gleichzeitig den Domain-Admin ausklammert.
Im Moment habe ich auf Computerebene die Verbotseinträge gesetzt, wie z. B. Zwischenablage verboten.
Diese Regeln gelten für alle PC.
Ich brauche eine besondere Gruppenrichtlinie, um hier lokal RDP einzuengen, aber gleichzeitig den Domain-Admin ausklammert.
Im Moment habe ich auf Computerebene die Verbotseinträge gesetzt, wie z. B. Zwischenablage verboten.
Diese Regeln gelten für alle PC.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 7825530420
Url: https://administrator.de/contentid/7825530420
Printed on: May 7, 2024 at 01:05 o'clock
11 Comments
Latest comment
Ich kenne deine Umgebung nicht, aber nach draußen sperrt man RDP per Firewall und intern gibt es normalerweise keinen Grund, RDP zu sperren.
Moin.
Es klingt, als wolltest Du pro Benutzer Dinge blocken.
Die RDP-Einstellnugen, die Du setzen möchtest, sind jedoch alle auf Computerebene zu setzen.
Auch ist schwer davon abzuraten, den Domänneadmin per RDP auf irgendetwas anderem als dem DC zu nutzen.
Es klingt, als wolltest Du pro Benutzer Dinge blocken.
Die RDP-Einstellnugen, die Du setzen möchtest, sind jedoch alle auf Computerebene zu setzen.
Auch ist schwer davon abzuraten, den Domänneadmin per RDP auf irgendetwas anderem als dem DC zu nutzen.
Es gibt nicht ums Netzwerk, sondern einige Optionen.
Moin
Das ist so "by Design" und Du wirst daran auch nichts ändern können.
Willst Du Richtlinien haben, die nur für bestimmte Benutzer gelten sollen, dann musst Du eben Benutzerrichtlinen erstellen und die Übernahme der Richtlinie entsprechend einschränken.
Gruß
Zitat von @Harald99:
Im Moment habe ich auf Computerebene die Verbotseinträge gesetzt, wie z. B. Zwischenablage verboten.
Diese Regeln gelten für alle PC.
Im Moment habe ich auf Computerebene die Verbotseinträge gesetzt, wie z. B. Zwischenablage verboten.
Diese Regeln gelten für alle PC.
Das ist so "by Design" und Du wirst daran auch nichts ändern können.
Willst Du Richtlinien haben, die nur für bestimmte Benutzer gelten sollen, dann musst Du eben Benutzerrichtlinen erstellen und die Übernahme der Richtlinie entsprechend einschränken.
Gruß
Mit GPP kann man per Zielgruppenadressierung auch auf Computer-Ebene Benutzer ausschließen.
Ich kenn die GPP von Netzlaufwerk-Zuordnungen, aber bei anderen Regeln habe ich keine GPP gesehen.
... wenn es das Deaktivieren der Zwischenablage auf einem RDP-Server geht, dann macht man das über die Eigenschaften der Bereitstellung.
Bei meinen Servern geht das nicht.
Zitat von @Inf1d3l:
Mit GPP kann man per Zielgruppenadressierung auch auf Computer-Ebene Benutzer ausschließen.
Da kannst Du auf jeden Fall mehr als ich kann Mit GPP kann man per Zielgruppenadressierung auch auf Computer-Ebene Benutzer ausschließen.
Bei meinen Servern geht das nicht.Zitat von @Hubert.N:
... wenn es das Deaktivieren der Zwischenablage auf einem RDP-Server geht, dann macht man das über > die Eigenschaften der Bereitstellung.
... wenn es das Deaktivieren der Zwischenablage auf einem RDP-Server geht, dann macht man das über > die Eigenschaften der Bereitstellung.
Was meinst du damit? Ich meinte übrigens keinen Terminalserver, sondern Desktop-Windows.
Zitat von @user3086:
Ist das hier nicht so beschrieben wie du vor hast?
Zwischenablage bei RDP verbieten für non AD PCs
Ist das hier nicht so beschrieben wie du vor hast?
Zwischenablage bei RDP verbieten für non AD PCs
So in etwa, aber als Fire and Forget-Sache. User nachpflegen wollte ich nicht.
Zitat von @Hubert.N:
Willst Du Richtlinien haben, die nur für bestimmte Benutzer gelten sollen, dann musst Du eben Benutzerrichtlinien erstellen und die Übernahme der Richtlinie entsprechend einschränken.
Willst Du Richtlinien haben, die nur für bestimmte Benutzer gelten sollen, dann musst Du eben Benutzerrichtlinien erstellen und die Übernahme der Richtlinie entsprechend einschränken.
Schrieb ich schon oben, dass man es übe eine Benutzerrichtline regeln muss.
Musst Du ja auch nicht. Du konfigurierst einmalig die Richtlinie (Stichwort "Loopbackverarbeitung"), verbindest eine entsprechende Sicherheitsgruppe, die die Einstellung übernimmt und fertig ist die Sache.
Wenn Du das für alle Benutzer haben willst, dann musst Du halt eine Benutzergruppe nehmen, in der alle Benutzer ohnehin drin sind und der Admin nicht.
Gruß
