peterpa
Goto Top

RDS Windows Server 2012 R2 - Programme für den Client sperren

Hallo,
ich habe die Befürchtung, dass die Frage ziemlich "newbie" ist. Also an jeden der sich unterfordert fühlt ... Sry. xD

Umgebung:
1 Windows Server 2012 R2 auf dem DC und Hyper-V (und noch andere Rollen installiert sind aber so glaube ich unerheblich sind für die Problemstellung) läuft.
Auf einem Hyper-V (ebenfalls mit Windows Server 2012 R2 drauf) habe ich den RDP installiert. Hat auch alles soweit geklappt (auch durch Hilfe hier im Forum danke nochmal!).

Problem:
Ich möchte nun, dass Clients, welche sich anmelden, zwar auf den Desktop aber nicht auf gewisse Programme zugreifen können. Z.B. den Server-Manager.
Nun habe ich eine kleines Verständnisproblem:
Muss ich diese Richtlinien lokal festlegen oder in der Domain?

Wenn ich die in der Domain festlege, dann gilt, dass ja global in der Domain oder? -> Also lokal auf dem Hyper-V? - und wenn ja (in beiden Fällen) wie?

Ich finde leider nicht wo man das einstellen kann... Habe eine Gruppe von Usern in der Domain eingetragen, aber wie gebe oder nehme ich jetzt Berechtigungen raus?


Noch eine kleine Frage, welche relativ "unwichtig" ist. Es wäre aber schön, wenn man es umsetzen kann...: Ist es mit Windows Server 2012 r2 möglich den Clients ein Windows 7 Desktop zur Verfügung zu stellen?


Ich habe den Eindruck, dass es dafür zu Hauf Tutorials/Literatur/etc. gibt aber ich fand bisher nichts was mir weiter geholfen hat bzw. was für "Einsteiger" verständlich ist. Würde mich trotzdem auch über einfache Links freuen wo ich mich selbst belesen kann. Natürlich soll sich jeder frei fühlen es hier in eigenen Worten kurz wieder zugeben :D.

Danke im Voraus!

Content-Key: 334390

Url: https://administrator.de/contentid/334390

Ausgedruckt am: 28.03.2024 um 14:03 Uhr

Mitglied: Pjordorf
Pjordorf 07.04.2017 um 11:34:04 Uhr
Goto Top
Hallo,

Zitat von @peterpa:
1 Windows Server 2012 R2 auf dem DC und Hyper-V (und noch andere Rollen installiert sind aber so glaube ich unerheblich sind für die Problemstellung) läuft.
Das ist dein erstes Problem. Ein DC ist ein Dc ist ein DC ist ein DC. Ein Hyper-V ist einHyper-V ist ein Hyper-V ist ein Hyper-V. Auf einen Hyper-V darfst du dir gerne VMs bauen welche dann z.B. DC sin. Aber du solltest nicht auf einen DC die Rolle Hype-V machen. Die Probleme wirst du bekommen, fragt sich nur wann. Beide Rollen sind jeweiles eigene Bleche oder halt VMs. Auf ein Hyper-V gehört ebenfalls nichts ausser den Hyper-V - und ein DC schon mal gar.

Auf einem Hyper-V (ebenfalls mit Windows Server 2012 R2 drauf) habe ich den RDP installiert.
Was hast du installiert? Den RDP (Remote Desktop Protokoll)? Was meinst du denn - einen TS (Terminal Server) oder einen RDS (Remote desktop Server). In beiden fällen nutzen die Clients zum zugreifen dann fast immer das RDP Protokoll.

Noch eine kleine Frage, welche relativ "unwichtig" ist. Es wäre aber schön, wenn man es umsetzen kann...: Ist es mit Windows Server 2012 r2 möglich den Clients ein Windows 7 Desktop zur Verfügung zu stellen?
Soll nur der Windows 7 Desktop dargestellt werden oder was? Als JPG oder BMP? Soll mit den Desktop auch gearbeitet werden? Oder willst du eine VDI Struktur bereitstellen? https://de.wikipedia.org/wiki/Virtual_Desktop_Infrastructure

Gruß,
Peter
Mitglied: peterpa
peterpa 07.04.2017 aktualisiert um 11:50:54 Uhr
Goto Top
Hi Danke für die schnelle Antwort.


Zitat von @peterpa:
Das ist dein erstes Problem. Ein DC ist ein Dc ist ein DC ist ein DC. Ein Hyper-V ist einHyper-V ist ein Hyper-V ist ein Hyper-V. Auf einen Hyper-> V darfst du dir gerne VMs bauen welche dann z.B. DC sin. Aber du solltest nicht auf einen DC die Rolle Hype-V machen. Die Probleme wirst du bekommen, fragt sich nur wann. Beide Rollen sind jeweiles eigene Bleche oder halt VMs. Auf ein Hyper-V gehört ebenfalls nichts ausser den Hyper-V - und ein DC >schon mal gar.

Die Struktur ist leider vorgegeben. Bin auch nur der Praktikant der den RDS einrichten soll ...

Was hast du installiert? Den RDP (Remote Desktop Protokoll)? Was meinst du denn - einen TS (Terminal Server) oder einen RDS (Remote
desktop Server). In beiden fällen nutzen die Clients zum zugreifen dann fast immer das RDP Protokoll.

Ansich ein Terminal Server... aber seit Windows Server 2012 R2 heißt das ja RDS (das P hat sich da eingeschlichen ...).


Soll nur der Windows 7 Desktop dargestellt werden oder was? Als JPG oder BMP? Soll mit den Desktop auch gearbeitet werden? Oder willst > du eine VDI Struktur bereitstellen? https://de.wikipedia.org/wiki/Virtual_Desktop_Infrastructure


Ja naja nen Bild solls nicht sein ... es soll schon drauf gearbeitet werden.
Mitglied: Pjordorf
Pjordorf 07.04.2017 um 11:56:56 Uhr
Goto Top
Hallo,

Zitat von @peterpa:
Die Struktur ist leider vorgegeben. Bin auch nur der Praktikant der den RDS einrichten soll ...
Da ist die Struktur schon falsch vorgegeben.

Ansich ein Terminal Server...
Dann eine neue VM mit dein TS bzw. ab Server 2008R2 eben den RDS

es soll schon drauf gearbeitet werden.
Schon klar. TS oder RDS oder VDI oder Remote Apps ... suchs dir aus.

Gruß,
Peter
Mitglied: peterpa
peterpa 07.04.2017 um 12:00:27 Uhr
Goto Top
Na ich möchte ein Desktop über ein Terminalserver für Clients bereitstellen, habe dafür Windows 2012 R2, also RDS. (Keine RemoteApps, da der komplette Desktop bereit stehen soll, es sei denn es gibt eine RemoteApp die genau das tut, dann auch gerne das)
Mitglied: peterpa
peterpa 08.04.2017 um 11:24:04 Uhr
Goto Top
Niemand eine Idee?
Würde mich auch sehr über hilfreiche Tutorials etc. freuen (habe bisher keines gefunden das mir wirklich hilft) ...
Mitglied: XPFanUwe
XPFanUwe 08.04.2017 um 22:02:34 Uhr
Goto Top
1 Windows Server 2012 R2 auf dem DC und Hyper-V (und noch andere Rollen installiert

Naja, damit ist das Ding eigentlich versaut...

Problem:
Ich möchte nun, dass Clients, welche sich anmelden, zwar auf den Desktop aber nicht auf gewisse Programme zugreifen können. Z.B. den Server-Manager.
Nun habe ich eine kleines Verständnisproblem:
Muss ich diese Richtlinien lokal festlegen oder in der Domain?


Es würde beides gehen. Es gibt auf den Clients Softwarerichtlinen es geht nat. auch über die Domäne. Wenn Du Erfahrungen mit AD / GPO hast.

Ist es mit Windows Server 2012 r2 möglich den Clients ein Windows 7 Desktop zur Verfügung zu stellen?

Also eine Art Terminalserver? Es gibt für W7 dafür nicht alles, da 2012r2 ja für W8 gedacht ist.

Allgemeiner Hinweis: Eure Struktur ist sehr unüblich aufgebaut, Du hast eher keine AD / DC Erfahrung. Sei vorsichtig, nicht das Du das Ding breit machst.
Mitglied: Pjordorf
Pjordorf 08.04.2017 um 23:18:52 Uhr
Goto Top
Mitglied: peterpa
peterpa 11.04.2017 aktualisiert um 11:51:30 Uhr
Goto Top
Soo ich bin weiter gekommen! Wegen eurer Hilfe, danke dafür!

Nun habe ich allerdings direkt das nächste Problem...

Unter:Computer Configuration/Policies/Windows Settings/Security Settings/Application Control Policies/AppLocker erstelle ich eine Standardregel welche gleich 3 Punkte mitbringt ...
gpofehler

ABER... die zweite die auch hier auf "verweigern" steht führt dazu, dass ich keine zugriff mehr per Remote (als RDS-USER) auf den Server habe, es kommt keine Fehlermeldung es wird einfach abgebrochen.

Es hat keinen Einfluss ob ich die Regel auf "verweigern" oder "zulassen" stelle. Nur wenn unter Benutzer "Jeder" steht funktioniert die RD-Verbindung.

Testweise habe ich die obere Regel auch mal abgeändert, dass Firefox eigentlich geblockt sein sollte... egal ob Zulassen oder Verweigern da steht Firefox ist ausführbar ?!?!?!?!


Mal zu meinem Vorhaben: Ziel soll es sein, dass nur ~5 Programme (Browser,Adobe Reader,...) von einem User ausgeführt werden dürfen.


Vielen Dank für evtl. Hilfe face-smile

P.S.
Der Dienst für die Programmidentifikation habe ich angestellt und auf automatisch.
Mitglied: peterpa
peterpa 11.04.2017 aktualisiert um 13:55:03 Uhr
Goto Top
Ich habe noch ein wenig experimentiert ... daher kleiner Nachtrag:

Sobald ich irgendeine der Standardregeln ändere bricht die Verbindung beim einwählen über RD-Verbindung ab.
Aber wenn ich eine neue "normale" Regel erstelle und da entsprechend sperre funktioniert es einwandfrei... also es sollte reichen für mein Vorhaben aber warum ist das so, dass diese Standardregeln jedem vollen Zugriff geben muss damit es funktioniert? Ist doch bestimmt nicht der Sinn der Sache?!