mofomulo
Goto Top

RDP Zugriff: Rechte auf bestimmten Server einschränken

Hi,

ich habe hier einen Server auf dem zurzeit jeder Domänenbenutzer Zugriff per RDP hat. Die Benutzer sollen nur eine bestimmte Software auf dem Rechner nutzen (Desktopverknüpfung). Also am liebsten wäre mir sie würden nichts anderes sehen können außer diese Verknüpfung und "Start-Abmelden".
Über Gruppenrichtlinien kann man das ja lösen. Nur wie schaffe ich es, dass sie nur für für diesen Server und nur für RDP Zugriffe funktioniert?
Wenn ich die User alle in eine OU stecke und dort eine Richtlinie mit brutalen Einschränkungen erstelle dann greifen diese ja auch auf den Client den sie nutzen.. das soll ja nicht der Fall sein..
Oder muss ich an den lokalen Richtlinen des Servers spielen? Aber es handelt sich ja um Domänenbenutzer.. ahhh.. oder sehe den Wald vor lauter Bäumen nicht?

Content-ID: 223624

Url: https://administrator.de/contentid/223624

Ausgedruckt am: 25.11.2024 um 21:11 Uhr

DerWoWusste
DerWoWusste 05.12.2013 um 00:34:09 Uhr
Goto Top
Hi.

Es gibt einige Ansätze. Zunächst einmal: die lokale Policy kann zwar von der Domänenpolicy überstimmt werden (wenn, ja wenn sich Settings denn überhaupt überschneiden), aber sie gilt für alle User, auch Domänennutzer, welche sich dort anmelden.
Wie könnte man es einschränken?
-NTFS-Rechte auf die Ordner/Programmordner legen und/oder
-Whitelist für Applocker anlegen
goscho
goscho 05.12.2013 um 09:28:54 Uhr
Goto Top
Zitat von @mofomulo:

Hi,
Moin
ich habe hier einen Server auf dem zurzeit jeder Domänenbenutzer Zugriff per RDP hat. Die Benutzer sollen nur eine bestimmte
Software auf dem Rechner nutzen (Desktopverknüpfung). Also am liebsten wäre mir sie würden nichts anderes sehen
können außer diese Verknüpfung und "Start-Abmelden".
Über Gruppenrichtlinien kann man das ja lösen. Nur wie schaffe ich es, dass sie nur für für diesen Server und
nur für RDP Zugriffe funktioniert?
Wenn ich die User alle in eine OU stecke und dort eine Richtlinie mit brutalen Einschränkungen erstelle dann greifen diese ja
auch auf den Client den sie nutzen.. das soll ja nicht der Fall sein..
Du erstellst die Richtlinien für die Domänenbenutzer in einer eigenen TS-GPO und nutzt die "Zielgruppenadressierung auf Elementebene", in welcher nur der TS ausgewählt ist.