innersmile
Goto Top

Remote Desktop Profil einschränken

Hallo zusammen,

ich habe folgendes Problem:

Auf einen Windows 2008 R2 Server (in Arbeitsgruppe, nicht Domäne) sollen verschiedene Remote Desktop Clients zugreifen. Zwei Clients allerdings, sollen nur die Möglichkeit haben eine Anwendung zu starten und sich natürlich abzumelden.

Diese beiden RDP-Clients sollen also nicht die Möglichkeit haben, andere Anwendungen (über den Start-Button, o.ä.) zu starten oder Laufwerk oder Verzeichnisse zu sehen. Die anderen RDP-Clients sollten ganz normal arbeiten dürfen.

Habt ihr da Lösungsmöglichkeiten ?

Herzlichen Dank im Voraus face-smile

Content-ID: 336619

Url: https://administrator.de/contentid/336619

Ausgedruckt am: 22.11.2024 um 05:11 Uhr

emeriks
emeriks 01.05.2017 aktualisiert um 13:57:04 Uhr
Goto Top
Hi,
also erstmal meinst Du sicher nicht "Client" sondern "Benutzer". Das ist ein Unterschied!
Und zweitens müssen wir wissen, ob sich die Anwender mit verschiedenen Benutzerkonten anmelden oder ob alle das selbe Konto nutzen.
So oder so: Du brauchst je Anwender ein separates Benutzerkonto.
Dann hast Du zwei Möglichkeiten:
  1. NTFS-Berechtigungen der EXE-Dateien bearbeiten
  2. AppLocker-Regeln ("Anwendungssteuerungsrichtlinien")

E.

Edit:
AppLocker
gpedit.msc --> Computerkonfiguration --> Windows-Einstellungen --> Sicherheitseinstellungen --> Anwendungssteuerungsrichtlinien
Innersmile
Innersmile 01.05.2017 um 14:16:55 Uhr
Goto Top
Hi,
stimmt natürlich Benutzer.

Die Anwender melden sich mit verschiedenen Benutzerkonten an.

Die NTFS-Berechtigungen durch zu gehen wäre eine Wahnsinnsarbeit. Die Möglichkeit fällt auf jeden Fall aus. Auch deshalb weil diese RDP-Benutzer sich mit der Zeit ändern könnten (andere Mitarbeiter).

Gäbe es nicht Möglichkeiten, den RDP-Benutzerdesktop für diese beiden Benutzer so zu gestalten, daß nur das Anwendungsicon sichtbar ist und Startbereich nur das Abmeldefeld sichtbar ist ?
emeriks
emeriks 01.05.2017 um 14:40:19 Uhr
Goto Top
Die NTFS-Berechtigungen durch zu gehen wäre eine Wahnsinnsarbeit. Die Möglichkeit fällt auf jeden Fall aus. Auch deshalb weil diese RDP-Benutzer sich mit der Zeit ändern könnten (andere Mitarbeiter).
Oh, es ist also ein Server mit 200 Anwendungen?
*Ironie aus*
Darum arbeitet man ja auch mit Gruppen! Gruppen erteilt man Berechtigungen. Benutzerkonten erlangen ihre Berechtigungen durch Mitgliedschaft in den entsprechenden Gruppen. Nennt sich auch A-G-P.
Und ist das ein einmaliger Aufwand. Das ist kein Hexenwerk und von jedem Hobby-Admin zu beherrschen.

Gäbe es nicht Möglichkeiten, den RDP-Benutzerdesktop für diese beiden Benutzer so zu gestalten, daß nur das Anwendungsicon sichtbar ist und Startbereich nur das Abmeldefeld sichtbar ist ?
Ja, das geht ganz einfach. Damit fängt man aber nur Dummies. Und auch hier musst Du Dir was bauen, dass das bei neuen Benutzern immer so eingerichtet wird, wie es zum Benutzer passt. Du hast ja keine Domäne.
em-pie
em-pie 01.05.2017 aktualisiert um 15:05:30 Uhr
Goto Top
Moin,

also wenn wirklich nur diese eine Applikation gestartet werden soll, hilft dir ggf. die GPO
Benutzerkonfiguration | Richtlinien | Administrative Vorlagen | System | Benutzerdefinierte Benutzeroberfläche weiter
diese setzt du auf Aktiv und gibst den Pfad nebst Exe zum Programm mit.

Kombiniert mit anderen Richtlinien (z.B. einschränken von STRG+Alt+Entf, unterbinden von Windows+R etc.) können die User dann nahezu nichts machen. Wird dann das Programm beendet, meldet sich der User automatisch auch vom Server ab.

Das Ganze dann auf an eine User-Gruppe geheftet und du kannst es komfortabel für verschiedene User händeln...

Gruß
em-pie

P.S. und ja, GPOs kann man auch für Workgroups nutzen, jedoch dann nur auf dem jeweiligen Server:
https://technet.microsoft.com/de-de/library/cc731745(v=ws.11).aspx

P.S.2
Hatte vergessen, dass man hier keine (lokalen) Gruppen hinterlegen kann; dann dürfte die Richtlinie vermutlich für alle User gelten, die sich an dem System anmelden face-sad
Du könntest aber ggf. ein Script starten lassen, welches dann prüft, ob der User in der relevanten (lokalen) Gruppe enthalten ist. Wenn ja, wird nur das Programm gestartet wenn nicht, die explorer.exe
Innersmile
Innersmile 01.05.2017 aktualisiert um 15:36:29 Uhr
Goto Top
Hi,

es sind zwischen 30-40 Anwendungen. Wobei die RDP-Nutzer der Anwendungen variieren werden. Die Nutzer arbeiten lokal, als auch über RDP und werden von der Nutzung von jeweiligen Anwendungen aus- , bzw. eingeschlossen werden. Dies über die NTFS-Berechtigungen zu realisieren erscheint mir wesentlich umständlicher als Verknüpfungen aud den RDP-Benutzer Desktop zu plazieren oder zu löschen.

Wie gesagt meine Frage war:

"Gäbe es nicht Möglichkeiten, den RDP-Benutzerdesktop für diese beiden Benutzer so zu gestalten, daß nur das Anwendungsicon sichtbar ist und Startbereich nur das Abmeldefeld sichtbar ist ?"

Mit dem Kommentar:
"Ja, das geht ganz einfach. Damit fängt man aber nur Dummies. Und auch hier musst Du Dir was bauen, dass das bei neuen Benutzern immer so eingerichtet wird, wie es zum Benutzer passt. "

ist mir leider nicht geholfen, da es ja um das WIE und nicht das OB geht...
Innersmile
Innersmile 01.05.2017 aktualisiert um 15:37:37 Uhr
Goto Top
Hi em-pie,

danke erstmal.

Ja, diese GPO-Änderungen würden dann Auswirkungen auf andere Benutzer haben, soviel ich weiß... Aber du hast mich schon richtig verstanden, ich wollte den Desktop so einschränken können, das es weiter keine Möglichkeiten des Startens oder der Sichtung von Anwendungen oder Ordnern/Dateien gibt.

Den Weg über Scripte wollte ich eigentlich umgehen, da die dann ebenfalls wieder umgeschrieben werden müßten.
emeriks
emeriks 01.05.2017 um 17:28:43 Uhr
Goto Top
Na, dann musst Du auch fragen "...wie kann ich so gestalten, dass ..." face-wink
Es gibt da mehrere Möglichkeiten, welche aber alle entweder auf manuelles Einrichten hinauslaufen oder auf Scripten.
Du könntest z.B. das Default Profile so einrichten, dass es "nackig" ist, und dann per Anmeldscript, welches Du an jedem lokalen Benutzerobjekt hinterlegen kannst (sogar jedem Benutzer sein eigenes), lässt Du dem Benutzer Verknüpfungen auf dem Desktop und/oder im Startmenü erstellen.
Es ist aber ein Leichtes, z.B. aus dem Datei-Öffnen-Dialog von Notepad oder Winword oder der meisten anderen Programme, jedes beliebige andere Programm zu starten, auch wenn ich da keine Verknüpfung auf dem Desktop für habe. Oder ich erstelle mir einfach eigene Verknüpfungen auf dem Desktop. Sowas müsstest Du dann also auch noch abfangen.

Oder Du meldest jeden Benutzer nach dem Erstellen an und richtest manuell dessen Umgebung ein, bevor Du das Konto an den Anwender übergibst. Ob das effektiv ist, sei dahingestellt.

Und wenn ich es mir erlaube, aus Deiner Fragestellung Deinen fachlichen Background abzuleiten (dabei kann ich mich natürlich irren), dann liegt es für mich sehr nahe, Dir zu empfehlen, es einfach über die NTFS-Berechtigungen zu machen. Das ist in wenigen Minuten eingerichtet. Für jede Anwendung eine Gruppe. Die Berechtigungen für diese Anwendung bearbeiten, dabei die zur Anwendung gehörende Gruppe benutzen. Danach musst Du einfach nur noch die einzelnen Benutzerkonten (auch zukünftige) den Gruppen hinzufügen und gut ist.
Innersmile
Innersmile 01.05.2017 aktualisiert um 18:26:29 Uhr
Goto Top
Hallo Emeriks,

erstmal vielen Dank für deine Mühe.

Die Möglichkeit per "nackiges" Default profile ein vom Benutzer anpassbares Profil zu generieren, ist leider auch in meinen Augen zu aufwendig, da es sich vorerst um eine Anwendung und zwei User-Profile handelt.

Das es möglich ist bei diversen Anwendungen u.a. über den "Öffnen"-Dialog auch andere Anwendungen zu starten (und weiteres) ist mir schon klar. Dies fällt allerdings bei dieser Anwendung ebenfalls aus.

Mit NTFS-Berechtigungen herum zu werken, halte ich für recht unsauber und ist mittel- und langfristig, wie amerikanische Kollegen oft meinen, "a pain in the ass"... face-smile

Ich habe mir mittlererweile die Lösung zu meinem Problem selbst erstellt. Eine Skriptlösung. Da der "Startbutton" ja ebenfalls fehlt, habe ich noch eine kompilierte Anwendung erstellt um die anschliessende Abmeldung auszuführen.

Mußte etwas im englischsprachigen Raum recherchieren, aber so ist es genau wie ich es wollte.

Vielen Dank an Alle für die Mühe und einen schönen Abend noch !
DerWoWusste
DerWoWusste 02.05.2017 um 08:20:20 Uhr
Goto Top
Hi.

Du kannst simplerweise mit Remoteapps arbeiten und benutzergruppengebunden einzelne Anwendungen veröffentlichen. Die Lete sehen dann nur die, auf welche sie Zugriff haben. Um eine Vollsitzung zu vermeiden, müsstest Du im Anmeldeskript einfach logoff.exe eintragen.
Innersmile
Innersmile 02.05.2017 um 09:36:22 Uhr
Goto Top
Danke DerWoWusste,

dein Lösungsvorschlag klingt auch gut. Ich habe nun bereits eine Lösung gebastelt, die gut funktioniert. Werde mich aber mit deinem Ansatz ebenfalls beschäftigen.

Wünsche eine gute Woche
Larmina
Larmina 03.05.2017 um 07:17:34 Uhr
Goto Top
Hi Innersmile,
im Sinne der Community wäre es echt nett wenn du in groben Zügen deine Lösung posten würdest, es gibt vermutlich mehrere Leute die diese oder eine ähnliche Problemstellung haben. Diese sind (weiß ich aus Erfahrung) immer froh, wenn sie durch googeln in Foren dann eine Lösung finden.

LG Larmina
Innersmile
Innersmile 26.05.2023 um 10:16:12 Uhr
Goto Top
Hallo an Alle,

auch wenn es Jahre her ist, meine Rückmeldung:

Ich habe mich dann doch nach @emeriks Tipps gerichtet. Ich habe gescriptet. Läuft bis heute gut und sauber.

Vielen Dank nochmal an alle !