10
RDS Windows Server 2012 R2 - Programme für den Client sperren
Hallo,
ich habe die Befürchtung, dass die Frage ziemlich "newbie" ist. Also an jeden der sich unterfordert fühlt ... Sry. xD
Umgebung:
1 Windows Server 2012 R2 auf dem DC und Hyper-V (und noch andere Rollen installiert sind aber so glaube ich unerheblich sind für die Problemstellung) läuft.
Auf einem Hyper-V (ebenfalls mit Windows Server 2012 R2 drauf) habe ich den RDP installiert. Hat auch alles soweit geklappt (auch durch Hilfe hier im Forum danke nochmal!).
Problem:
Ich möchte nun, dass Clients, welche sich anmelden, zwar auf den Desktop aber nicht auf gewisse Programme zugreifen können. Z.B. den Server-Manager.
Nun habe ich eine kleines Verständnisproblem:
Muss ich diese Richtlinien lokal festlegen oder in der Domain?
Wenn ich die in der Domain festlege, dann gilt, dass ja global in der Domain oder? -> Also lokal auf dem Hyper-V? - und wenn ja (in beiden Fällen) wie?
Ich finde leider nicht wo man das einstellen kann... Habe eine Gruppe von Usern in der Domain eingetragen, aber wie gebe oder nehme ich jetzt Berechtigungen raus?
Noch eine kleine Frage, welche relativ "unwichtig" ist. Es wäre aber schön, wenn man es umsetzen kann...: Ist es mit Windows Server 2012 r2 möglich den Clients ein Windows 7 Desktop zur Verfügung zu stellen?
Ich habe den Eindruck, dass es dafür zu Hauf Tutorials/Literatur/etc. gibt aber ich fand bisher nichts was mir weiter geholfen hat bzw. was für "Einsteiger" verständlich ist. Würde mich trotzdem auch über einfache Links freuen wo ich mich selbst belesen kann. Natürlich soll sich jeder frei fühlen es hier in eigenen Worten kurz wieder zugeben :D.
Danke im Voraus!
ich habe die Befürchtung, dass die Frage ziemlich "newbie" ist. Also an jeden der sich unterfordert fühlt ... Sry. xD
Umgebung:
1 Windows Server 2012 R2 auf dem DC und Hyper-V (und noch andere Rollen installiert sind aber so glaube ich unerheblich sind für die Problemstellung) läuft.
Auf einem Hyper-V (ebenfalls mit Windows Server 2012 R2 drauf) habe ich den RDP installiert. Hat auch alles soweit geklappt (auch durch Hilfe hier im Forum danke nochmal!).
Problem:
Ich möchte nun, dass Clients, welche sich anmelden, zwar auf den Desktop aber nicht auf gewisse Programme zugreifen können. Z.B. den Server-Manager.
Nun habe ich eine kleines Verständnisproblem:
Muss ich diese Richtlinien lokal festlegen oder in der Domain?
Wenn ich die in der Domain festlege, dann gilt, dass ja global in der Domain oder? -> Also lokal auf dem Hyper-V? - und wenn ja (in beiden Fällen) wie?
Ich finde leider nicht wo man das einstellen kann... Habe eine Gruppe von Usern in der Domain eingetragen, aber wie gebe oder nehme ich jetzt Berechtigungen raus?
Noch eine kleine Frage, welche relativ "unwichtig" ist. Es wäre aber schön, wenn man es umsetzen kann...: Ist es mit Windows Server 2012 r2 möglich den Clients ein Windows 7 Desktop zur Verfügung zu stellen?
Ich habe den Eindruck, dass es dafür zu Hauf Tutorials/Literatur/etc. gibt aber ich fand bisher nichts was mir weiter geholfen hat bzw. was für "Einsteiger" verständlich ist. Würde mich trotzdem auch über einfache Links freuen wo ich mich selbst belesen kann. Natürlich soll sich jeder frei fühlen es hier in eigenen Worten kurz wieder zugeben :D.
Danke im Voraus!
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 334390
Url: https://administrator.de/forum/rds-windows-server-2012-r2-programme-fuer-den-client-sperren-334390.html
Ausgedruckt am: 16.02.2025 um 21:02 Uhr
10 Kommentare
Neuester Kommentar
Hallo,
Gruß,
Peter
Zitat von @peterpa:
1 Windows Server 2012 R2 auf dem DC und Hyper-V (und noch andere Rollen installiert sind aber so glaube ich unerheblich sind für die Problemstellung) läuft.
Das ist dein erstes Problem. Ein DC ist ein Dc ist ein DC ist ein DC. Ein Hyper-V ist einHyper-V ist ein Hyper-V ist ein Hyper-V. Auf einen Hyper-V darfst du dir gerne VMs bauen welche dann z.B. DC sin. Aber du solltest nicht auf einen DC die Rolle Hype-V machen. Die Probleme wirst du bekommen, fragt sich nur wann. Beide Rollen sind jeweiles eigene Bleche oder halt VMs. Auf ein Hyper-V gehört ebenfalls nichts ausser den Hyper-V - und ein DC schon mal gar.1 Windows Server 2012 R2 auf dem DC und Hyper-V (und noch andere Rollen installiert sind aber so glaube ich unerheblich sind für die Problemstellung) läuft.
Auf einem Hyper-V (ebenfalls mit Windows Server 2012 R2 drauf) habe ich den RDP installiert.
Was hast du installiert? Den RDP (Remote Desktop Protokoll)? Was meinst du denn - einen TS (Terminal Server) oder einen RDS (Remote desktop Server). In beiden fällen nutzen die Clients zum zugreifen dann fast immer das RDP Protokoll.Noch eine kleine Frage, welche relativ "unwichtig" ist. Es wäre aber schön, wenn man es umsetzen kann...: Ist es mit Windows Server 2012 r2 möglich den Clients ein Windows 7 Desktop zur Verfügung zu stellen?
Soll nur der Windows 7 Desktop dargestellt werden oder was? Als JPG oder BMP? Soll mit den Desktop auch gearbeitet werden? Oder willst du eine VDI Struktur bereitstellen? https://de.wikipedia.org/wiki/Virtual_Desktop_InfrastructureGruß,
Peter
Hi Danke für die schnelle Antwort.
Die Struktur ist leider vorgegeben. Bin auch nur der Praktikant der den RDS einrichten soll ...
Ansich ein Terminal Server... aber seit Windows Server 2012 R2 heißt das ja RDS (das P hat sich da eingeschlichen ...).
Ja naja nen Bild solls nicht sein ... es soll schon drauf gearbeitet werden.
Zitat von @peterpa:
Das ist dein erstes Problem. Ein DC ist ein Dc ist ein DC ist ein DC. Ein Hyper-V ist einHyper-V ist ein Hyper-V ist ein Hyper-V. Auf einen Hyper-> V darfst du dir gerne VMs bauen welche dann z.B. DC sin. Aber du solltest nicht auf einen DC die Rolle Hype-V machen. Die Probleme wirst du bekommen, fragt sich nur wann. Beide Rollen sind jeweiles eigene Bleche oder halt VMs. Auf ein Hyper-V gehört ebenfalls nichts ausser den Hyper-V - und ein DC >schon mal gar.
Das ist dein erstes Problem. Ein DC ist ein Dc ist ein DC ist ein DC. Ein Hyper-V ist einHyper-V ist ein Hyper-V ist ein Hyper-V. Auf einen Hyper-> V darfst du dir gerne VMs bauen welche dann z.B. DC sin. Aber du solltest nicht auf einen DC die Rolle Hype-V machen. Die Probleme wirst du bekommen, fragt sich nur wann. Beide Rollen sind jeweiles eigene Bleche oder halt VMs. Auf ein Hyper-V gehört ebenfalls nichts ausser den Hyper-V - und ein DC >schon mal gar.
Die Struktur ist leider vorgegeben. Bin auch nur der Praktikant der den RDS einrichten soll ...
Was hast du installiert? Den RDP (Remote Desktop Protokoll)? Was meinst du denn - einen TS (Terminal Server) oder einen RDS (Remote
desktop Server). In beiden fällen nutzen die Clients zum zugreifen dann fast immer das RDP Protokoll.
desktop Server). In beiden fällen nutzen die Clients zum zugreifen dann fast immer das RDP Protokoll.
Ansich ein Terminal Server... aber seit Windows Server 2012 R2 heißt das ja RDS (das P hat sich da eingeschlichen ...).
Soll nur der Windows 7 Desktop dargestellt werden oder was? Als JPG oder BMP? Soll mit den Desktop auch gearbeitet werden? Oder willst > du eine VDI Struktur bereitstellen? https://de.wikipedia.org/wiki/Virtual_Desktop_Infrastructure
Ja naja nen Bild solls nicht sein ... es soll schon drauf gearbeitet werden.
Hallo,
Gruß,
Peter
Zitat von @peterpa:
Die Struktur ist leider vorgegeben. Bin auch nur der Praktikant der den RDS einrichten soll ...
Da ist die Struktur schon falsch vorgegeben.Die Struktur ist leider vorgegeben. Bin auch nur der Praktikant der den RDS einrichten soll ...
Ansich ein Terminal Server...
Dann eine neue VM mit dein TS bzw. ab Server 2008R2 eben den RDSes soll schon drauf gearbeitet werden.
Schon klar. TS oder RDS oder VDI oder Remote Apps ... suchs dir aus.Gruß,
Peter
Na ich möchte ein Desktop über ein Terminalserver für Clients bereitstellen, habe dafür Windows 2012 R2, also RDS. (Keine RemoteApps, da der komplette Desktop bereit stehen soll, es sei denn es gibt eine RemoteApp die genau das tut, dann auch gerne das)
Niemand eine Idee?
Würde mich auch sehr über hilfreiche Tutorials etc. freuen (habe bisher keines gefunden das mir wirklich hilft) ...
Würde mich auch sehr über hilfreiche Tutorials etc. freuen (habe bisher keines gefunden das mir wirklich hilft) ...
1 Windows Server 2012 R2 auf dem DC und Hyper-V (und noch andere Rollen installiert
Naja, damit ist das Ding eigentlich versaut...
Problem:
Ich möchte nun, dass Clients, welche sich anmelden, zwar auf den Desktop aber nicht auf gewisse Programme zugreifen können. Z.B. den Server-Manager.
Nun habe ich eine kleines Verständnisproblem:
Muss ich diese Richtlinien lokal festlegen oder in der Domain?
Es würde beides gehen. Es gibt auf den Clients Softwarerichtlinen es geht nat. auch über die Domäne. Wenn Du Erfahrungen mit AD / GPO hast.
Ist es mit Windows Server 2012 r2 möglich den Clients ein Windows 7 Desktop zur Verfügung zu stellen?
Also eine Art Terminalserver? Es gibt für W7 dafür nicht alles, da 2012r2 ja für W8 gedacht ist.
Allgemeiner Hinweis: Eure Struktur ist sehr unüblich aufgebaut, Du hast eher keine AD / DC Erfahrung. Sei vorsichtig, nicht das Du das Ding breit machst.
Naja, damit ist das Ding eigentlich versaut...
Problem:
Ich möchte nun, dass Clients, welche sich anmelden, zwar auf den Desktop aber nicht auf gewisse Programme zugreifen können. Z.B. den Server-Manager.
Nun habe ich eine kleines Verständnisproblem:
Muss ich diese Richtlinien lokal festlegen oder in der Domain?
Es würde beides gehen. Es gibt auf den Clients Softwarerichtlinen es geht nat. auch über die Domäne. Wenn Du Erfahrungen mit AD / GPO hast.
Ist es mit Windows Server 2012 r2 möglich den Clients ein Windows 7 Desktop zur Verfügung zu stellen?
Also eine Art Terminalserver? Es gibt für W7 dafür nicht alles, da 2012r2 ja für W8 gedacht ist.
Allgemeiner Hinweis: Eure Struktur ist sehr unüblich aufgebaut, Du hast eher keine AD / DC Erfahrung. Sei vorsichtig, nicht das Du das Ding breit machst.
Hallo,
Schon gelesen?
https://www.petri.com/configure-enforce-applocker-windows-server-2012-r2
https://technet.microsoft.com/de-de/library/dd723686%28v=ws.10%29.aspx
http://www.itfaq.dk/2016/01/28/block-per-user-install-on-remote-desktop ...
https://community.spiceworks.com/how_to/120169-so-you-need-to-lock-down- ...
http://searchvirtualdesktop.techtarget.com/tip/Using-AppLocker-to-lock- ...
http://www.it.ltsoy.com/windows/lock-down-remote-desktop-services-serve ...
https://vdssystems.wordpress.com/2015/10/12/lock-down-remote-desktop-ser ...
https://social.technet.microsoft.com/wiki/contents/articles/5800.termina ...
https://social.technet.microsoft.com/Forums/office/en-US/da1b4dc6-efaf-4 ...
Können nicht Admins (Domänenbenutzer) über den Servermanager nutzen? Die können ja noch nicht mal die Uhrzeit ändern.
Gruß,
Peter
Schon gelesen?
https://www.petri.com/configure-enforce-applocker-windows-server-2012-r2
https://technet.microsoft.com/de-de/library/dd723686%28v=ws.10%29.aspx
http://www.itfaq.dk/2016/01/28/block-per-user-install-on-remote-desktop ...
https://community.spiceworks.com/how_to/120169-so-you-need-to-lock-down- ...
http://searchvirtualdesktop.techtarget.com/tip/Using-AppLocker-to-lock- ...
http://www.it.ltsoy.com/windows/lock-down-remote-desktop-services-serve ...
https://vdssystems.wordpress.com/2015/10/12/lock-down-remote-desktop-ser ...
https://social.technet.microsoft.com/wiki/contents/articles/5800.termina ...
https://social.technet.microsoft.com/Forums/office/en-US/da1b4dc6-efaf-4 ...
Können nicht Admins (Domänenbenutzer) über den Servermanager nutzen? Die können ja noch nicht mal die Uhrzeit ändern.
Würde mich auch sehr über hilfreiche Tutorials etc. freuen (habe bisher keines gefunden das mir wirklich hilft) ...
Es gibt nicht den einen Button wo du drauf klicken kannst, ausser du baust dir einen. Gruß,
Peter
Hallo,
danke für die Antworten!
Gut zu wissen!
Noch nicht aber gleich danke dir!
danke für die Antworten!
Es würde beides gehen. Es gibt auf den Clients Softwarerichtlinen es geht nat. auch über die Domäne. Wenn Du Erfahrungen mit AD / GPO hast.
Gut zu wissen!
Schon gelesen?
https://www.petri.com/configure-enforce-applocker-windows-server-2012-r2
https://technet.microsoft.com/de-de/library/dd723686%28v=ws.10%29.aspx
http://www.itfaq.dk/2016/01/28/block-per-user-install-on-remote-desktop ...
https://community.spiceworks.com/how_to/120169-so-you-need-to-lock-down- ...
http://searchvirtualdesktop.techtarget.com/tip/Using-AppLocker-to-lock- ...
http://www.it.ltsoy.com/windows/lock-down-remote-desktop-services-serve ...
https://vdssystems.wordpress.com/2015/10/12/lock-down-remote-desktop-ser ...
https://social.technet.microsoft.com/wiki/contents/articles/5800.termina ...
https://social.technet.microsoft.com/Forums/office/en-US/da1b4dc6-efaf-4 ...
https://www.petri.com/configure-enforce-applocker-windows-server-2012-r2
https://technet.microsoft.com/de-de/library/dd723686%28v=ws.10%29.aspx
http://www.itfaq.dk/2016/01/28/block-per-user-install-on-remote-desktop ...
https://community.spiceworks.com/how_to/120169-so-you-need-to-lock-down- ...
http://searchvirtualdesktop.techtarget.com/tip/Using-AppLocker-to-lock- ...
http://www.it.ltsoy.com/windows/lock-down-remote-desktop-services-serve ...
https://vdssystems.wordpress.com/2015/10/12/lock-down-remote-desktop-ser ...
https://social.technet.microsoft.com/wiki/contents/articles/5800.termina ...
https://social.technet.microsoft.com/Forums/office/en-US/da1b4dc6-efaf-4 ...
Noch nicht aber gleich danke dir!
Soo ich bin weiter gekommen! Wegen eurer Hilfe, danke dafür!
Nun habe ich allerdings direkt das nächste Problem...
Unter:Computer Configuration/Policies/Windows Settings/Security Settings/Application Control Policies/AppLocker erstelle ich eine Standardregel welche gleich 3 Punkte mitbringt ...
ABER... die zweite die auch hier auf "verweigern" steht führt dazu, dass ich keine zugriff mehr per Remote (als RDS-USER) auf den Server habe, es kommt keine Fehlermeldung es wird einfach abgebrochen.
Es hat keinen Einfluss ob ich die Regel auf "verweigern" oder "zulassen" stelle. Nur wenn unter Benutzer "Jeder" steht funktioniert die RD-Verbindung.
Testweise habe ich die obere Regel auch mal abgeändert, dass Firefox eigentlich geblockt sein sollte... egal ob Zulassen oder Verweigern da steht Firefox ist ausführbar ?!?!?!?!
Mal zu meinem Vorhaben: Ziel soll es sein, dass nur ~5 Programme (Browser,Adobe Reader,...) von einem User ausgeführt werden dürfen.
Vielen Dank für evtl. Hilfe
P.S.
Der Dienst für die Programmidentifikation habe ich angestellt und auf automatisch.
Nun habe ich allerdings direkt das nächste Problem...
Unter:Computer Configuration/Policies/Windows Settings/Security Settings/Application Control Policies/AppLocker erstelle ich eine Standardregel welche gleich 3 Punkte mitbringt ...
ABER... die zweite die auch hier auf "verweigern" steht führt dazu, dass ich keine zugriff mehr per Remote (als RDS-USER) auf den Server habe, es kommt keine Fehlermeldung es wird einfach abgebrochen.
Es hat keinen Einfluss ob ich die Regel auf "verweigern" oder "zulassen" stelle. Nur wenn unter Benutzer "Jeder" steht funktioniert die RD-Verbindung.
Testweise habe ich die obere Regel auch mal abgeändert, dass Firefox eigentlich geblockt sein sollte... egal ob Zulassen oder Verweigern da steht Firefox ist ausführbar ?!?!?!?!
Mal zu meinem Vorhaben: Ziel soll es sein, dass nur ~5 Programme (Browser,Adobe Reader,...) von einem User ausgeführt werden dürfen.
Vielen Dank für evtl. Hilfe
P.S.
Der Dienst für die Programmidentifikation habe ich angestellt und auf automatisch.
Ich habe noch ein wenig experimentiert ... daher kleiner Nachtrag:
Sobald ich irgendeine der Standardregeln ändere bricht die Verbindung beim einwählen über RD-Verbindung ab.
Aber wenn ich eine neue "normale" Regel erstelle und da entsprechend sperre funktioniert es einwandfrei... also es sollte reichen für mein Vorhaben aber warum ist das so, dass diese Standardregeln jedem vollen Zugriff geben muss damit es funktioniert? Ist doch bestimmt nicht der Sinn der Sache?!
Sobald ich irgendeine der Standardregeln ändere bricht die Verbindung beim einwählen über RD-Verbindung ab.
Aber wenn ich eine neue "normale" Regel erstelle und da entsprechend sperre funktioniert es einwandfrei... also es sollte reichen für mein Vorhaben aber warum ist das so, dass diese Standardregeln jedem vollen Zugriff geben muss damit es funktioniert? Ist doch bestimmt nicht der Sinn der Sache?!
