Remote Desktop Profil einschränken
Hallo zusammen,
ich habe folgendes Problem:
Auf einen Windows 2008 R2 Server (in Arbeitsgruppe, nicht Domäne) sollen verschiedene Remote Desktop Clients zugreifen. Zwei Clients allerdings, sollen nur die Möglichkeit haben eine Anwendung zu starten und sich natürlich abzumelden.
Diese beiden RDP-Clients sollen also nicht die Möglichkeit haben, andere Anwendungen (über den Start-Button, o.ä.) zu starten oder Laufwerk oder Verzeichnisse zu sehen. Die anderen RDP-Clients sollten ganz normal arbeiten dürfen.
Habt ihr da Lösungsmöglichkeiten ?
Herzlichen Dank im Voraus
ich habe folgendes Problem:
Auf einen Windows 2008 R2 Server (in Arbeitsgruppe, nicht Domäne) sollen verschiedene Remote Desktop Clients zugreifen. Zwei Clients allerdings, sollen nur die Möglichkeit haben eine Anwendung zu starten und sich natürlich abzumelden.
Diese beiden RDP-Clients sollen also nicht die Möglichkeit haben, andere Anwendungen (über den Start-Button, o.ä.) zu starten oder Laufwerk oder Verzeichnisse zu sehen. Die anderen RDP-Clients sollten ganz normal arbeiten dürfen.
Habt ihr da Lösungsmöglichkeiten ?
Herzlichen Dank im Voraus
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 336619
Url: https://administrator.de/contentid/336619
Ausgedruckt am: 05.11.2024 um 13:11 Uhr
12 Kommentare
Neuester Kommentar
Hi,
also erstmal meinst Du sicher nicht "Client" sondern "Benutzer". Das ist ein Unterschied!
Und zweitens müssen wir wissen, ob sich die Anwender mit verschiedenen Benutzerkonten anmelden oder ob alle das selbe Konto nutzen.
So oder so: Du brauchst je Anwender ein separates Benutzerkonto.
Dann hast Du zwei Möglichkeiten:
E.
Edit:
AppLocker
gpedit.msc --> Computerkonfiguration --> Windows-Einstellungen --> Sicherheitseinstellungen --> Anwendungssteuerungsrichtlinien
also erstmal meinst Du sicher nicht "Client" sondern "Benutzer". Das ist ein Unterschied!
Und zweitens müssen wir wissen, ob sich die Anwender mit verschiedenen Benutzerkonten anmelden oder ob alle das selbe Konto nutzen.
So oder so: Du brauchst je Anwender ein separates Benutzerkonto.
Dann hast Du zwei Möglichkeiten:
- NTFS-Berechtigungen der EXE-Dateien bearbeiten
- AppLocker-Regeln ("Anwendungssteuerungsrichtlinien")
E.
Edit:
AppLocker
gpedit.msc --> Computerkonfiguration --> Windows-Einstellungen --> Sicherheitseinstellungen --> Anwendungssteuerungsrichtlinien
Die NTFS-Berechtigungen durch zu gehen wäre eine Wahnsinnsarbeit. Die Möglichkeit fällt auf jeden Fall aus. Auch deshalb weil diese RDP-Benutzer sich mit der Zeit ändern könnten (andere Mitarbeiter).
Oh, es ist also ein Server mit 200 Anwendungen?*Ironie aus*
Darum arbeitet man ja auch mit Gruppen! Gruppen erteilt man Berechtigungen. Benutzerkonten erlangen ihre Berechtigungen durch Mitgliedschaft in den entsprechenden Gruppen. Nennt sich auch A-G-P.
Und ist das ein einmaliger Aufwand. Das ist kein Hexenwerk und von jedem Hobby-Admin zu beherrschen.
Gäbe es nicht Möglichkeiten, den RDP-Benutzerdesktop für diese beiden Benutzer so zu gestalten, daß nur das Anwendungsicon sichtbar ist und Startbereich nur das Abmeldefeld sichtbar ist ?
Ja, das geht ganz einfach. Damit fängt man aber nur Dummies. Und auch hier musst Du Dir was bauen, dass das bei neuen Benutzern immer so eingerichtet wird, wie es zum Benutzer passt. Du hast ja keine Domäne.
Moin,
also wenn wirklich nur diese eine Applikation gestartet werden soll, hilft dir ggf. die GPO
Benutzerkonfiguration | Richtlinien | Administrative Vorlagen | System | Benutzerdefinierte Benutzeroberfläche weiter
diese setzt du auf Aktiv und gibst den Pfad nebst Exe zum Programm mit.
Kombiniert mit anderen Richtlinien (z.B. einschränken von STRG+Alt+Entf, unterbinden von Windows+R etc.) können die User dann nahezu nichts machen. Wird dann das Programm beendet, meldet sich der User automatisch auch vom Server ab.
Das Ganze dann auf an eine User-Gruppe geheftet und du kannst es komfortabel für verschiedene User händeln...
Gruß
em-pie
P.S. und ja, GPOs kann man auch für Workgroups nutzen, jedoch dann nur auf dem jeweiligen Server:
https://technet.microsoft.com/de-de/library/cc731745(v=ws.11).aspx
P.S.2
Hatte vergessen, dass man hier keine (lokalen) Gruppen hinterlegen kann; dann dürfte die Richtlinie vermutlich für alle User gelten, die sich an dem System anmelden
Du könntest aber ggf. ein Script starten lassen, welches dann prüft, ob der User in der relevanten (lokalen) Gruppe enthalten ist. Wenn ja, wird nur das Programm gestartet wenn nicht, die explorer.exe
also wenn wirklich nur diese eine Applikation gestartet werden soll, hilft dir ggf. die GPO
Benutzerkonfiguration | Richtlinien | Administrative Vorlagen | System | Benutzerdefinierte Benutzeroberfläche weiter
diese setzt du auf Aktiv und gibst den Pfad nebst Exe zum Programm mit.
Kombiniert mit anderen Richtlinien (z.B. einschränken von STRG+Alt+Entf, unterbinden von Windows+R etc.) können die User dann nahezu nichts machen. Wird dann das Programm beendet, meldet sich der User automatisch auch vom Server ab.
Das Ganze dann auf an eine User-Gruppe geheftet und du kannst es komfortabel für verschiedene User händeln...
Gruß
em-pie
P.S. und ja, GPOs kann man auch für Workgroups nutzen, jedoch dann nur auf dem jeweiligen Server:
https://technet.microsoft.com/de-de/library/cc731745(v=ws.11).aspx
P.S.2
Hatte vergessen, dass man hier keine (lokalen) Gruppen hinterlegen kann; dann dürfte die Richtlinie vermutlich für alle User gelten, die sich an dem System anmelden
Du könntest aber ggf. ein Script starten lassen, welches dann prüft, ob der User in der relevanten (lokalen) Gruppe enthalten ist. Wenn ja, wird nur das Programm gestartet wenn nicht, die explorer.exe
Na, dann musst Du auch fragen "...wie kann ich so gestalten, dass ..."
Es gibt da mehrere Möglichkeiten, welche aber alle entweder auf manuelles Einrichten hinauslaufen oder auf Scripten.
Du könntest z.B. das Default Profile so einrichten, dass es "nackig" ist, und dann per Anmeldscript, welches Du an jedem lokalen Benutzerobjekt hinterlegen kannst (sogar jedem Benutzer sein eigenes), lässt Du dem Benutzer Verknüpfungen auf dem Desktop und/oder im Startmenü erstellen.
Es ist aber ein Leichtes, z.B. aus dem Datei-Öffnen-Dialog von Notepad oder Winword oder der meisten anderen Programme, jedes beliebige andere Programm zu starten, auch wenn ich da keine Verknüpfung auf dem Desktop für habe. Oder ich erstelle mir einfach eigene Verknüpfungen auf dem Desktop. Sowas müsstest Du dann also auch noch abfangen.
Oder Du meldest jeden Benutzer nach dem Erstellen an und richtest manuell dessen Umgebung ein, bevor Du das Konto an den Anwender übergibst. Ob das effektiv ist, sei dahingestellt.
Und wenn ich es mir erlaube, aus Deiner Fragestellung Deinen fachlichen Background abzuleiten (dabei kann ich mich natürlich irren), dann liegt es für mich sehr nahe, Dir zu empfehlen, es einfach über die NTFS-Berechtigungen zu machen. Das ist in wenigen Minuten eingerichtet. Für jede Anwendung eine Gruppe. Die Berechtigungen für diese Anwendung bearbeiten, dabei die zur Anwendung gehörende Gruppe benutzen. Danach musst Du einfach nur noch die einzelnen Benutzerkonten (auch zukünftige) den Gruppen hinzufügen und gut ist.
Es gibt da mehrere Möglichkeiten, welche aber alle entweder auf manuelles Einrichten hinauslaufen oder auf Scripten.
Du könntest z.B. das Default Profile so einrichten, dass es "nackig" ist, und dann per Anmeldscript, welches Du an jedem lokalen Benutzerobjekt hinterlegen kannst (sogar jedem Benutzer sein eigenes), lässt Du dem Benutzer Verknüpfungen auf dem Desktop und/oder im Startmenü erstellen.
Es ist aber ein Leichtes, z.B. aus dem Datei-Öffnen-Dialog von Notepad oder Winword oder der meisten anderen Programme, jedes beliebige andere Programm zu starten, auch wenn ich da keine Verknüpfung auf dem Desktop für habe. Oder ich erstelle mir einfach eigene Verknüpfungen auf dem Desktop. Sowas müsstest Du dann also auch noch abfangen.
Oder Du meldest jeden Benutzer nach dem Erstellen an und richtest manuell dessen Umgebung ein, bevor Du das Konto an den Anwender übergibst. Ob das effektiv ist, sei dahingestellt.
Und wenn ich es mir erlaube, aus Deiner Fragestellung Deinen fachlichen Background abzuleiten (dabei kann ich mich natürlich irren), dann liegt es für mich sehr nahe, Dir zu empfehlen, es einfach über die NTFS-Berechtigungen zu machen. Das ist in wenigen Minuten eingerichtet. Für jede Anwendung eine Gruppe. Die Berechtigungen für diese Anwendung bearbeiten, dabei die zur Anwendung gehörende Gruppe benutzen. Danach musst Du einfach nur noch die einzelnen Benutzerkonten (auch zukünftige) den Gruppen hinzufügen und gut ist.
Hi Innersmile,
im Sinne der Community wäre es echt nett wenn du in groben Zügen deine Lösung posten würdest, es gibt vermutlich mehrere Leute die diese oder eine ähnliche Problemstellung haben. Diese sind (weiß ich aus Erfahrung) immer froh, wenn sie durch googeln in Foren dann eine Lösung finden.
LG Larmina
im Sinne der Community wäre es echt nett wenn du in groben Zügen deine Lösung posten würdest, es gibt vermutlich mehrere Leute die diese oder eine ähnliche Problemstellung haben. Diese sind (weiß ich aus Erfahrung) immer froh, wenn sie durch googeln in Foren dann eine Lösung finden.
LG Larmina