wacky80
Goto Top

Remote Desktop Service Session based Desktop - Laufwerkesmapping nur für interne Clients bestimmen

Hallo zusammen,

wir benutzen RDS mit Windows Server 2012 R2. Dabei arbeiten die Benutzer auf dem Server.
Um dies zu realisieren erstellt man so eine genannten Sammlung, die ja dann die ganzen Einstellungen beinhaltet. Darunter auch das Laufwerks-Mapping. Wir haben das aktiviert, damit die internen User auf lokale Laufwerke zugreifen können. Wir haben aber auch externe Mitarbeiter, die über ein Webinterface ihre Remote-Desktop-Sitzung ebenfalls aufbauen. Aus Sicherheitsgründen möchten wir das Mapping der lokalen Laufwerke für diese externe Geräte deaktivieren.

Die Frage ist jetzt nur, wie man das machen kann? Deaktiviere ich in der RDS-Konfiguration (also die "Sammlung") das Laufwerksmapping, funktioniert es intern ja auch nicht.

Es gibt ja eine GPO unter:
Computerkonfiguration\Richtlinien\Administrative Vorlagen\Windows-Komponenten\Remotedesktopdienste\Remotedesktop-Sitzungshost\Geräte- und Ressourcenumleitung\Laufwerksumleitung nicht zulassen.

Ich kann diese GPO ja aber nicht auf unbekannte Geräte anwenden, oder? Ich dachte an einen WMI-Filter, der angewandt wird, bei allen IPs, die nicht aus dem internen Adressraum stammen. Geht das überhaupt?


Ich hoffe, mir kann jemand weiter helfen.

Danke und Grüße

Content-Key: 308973

Url: https://administrator.de/contentid/308973

Printed on: July 21, 2024 at 06:07 o'clock

Member: Dani
Dani Jul 05, 2016 updated at 18:01:46 (UTC)
Goto Top
Moin,
Ich kann diese GPO ja aber nicht auf unbekannte Geräte anwenden, oder?
Gute Frage. Warum nicht einfach ausprobieren? Ist an sich kein Hexenwerk.

Ich dachte an einen WMI-Filter, der angewandt wird, bei allen IPs, die nicht aus dem internen Adressraum stammen. Geht das überhaupt?
Schau dir mal SELECT * FROM Win32_IP4RouteTable an. Damit solltest du weiterkommen...Details kannst du mit Tools wie WMIExplorer heraussuchen und die Abfragen auch testen.


Gruß,
Dani
Member: wacky80
wacky80 Jul 12, 2016 at 07:58:07 (UTC)
Goto Top
Hallo Dani,

dass Problem ist, das sich eine GPO machen muss, die bei allen IPs greift, außer unser Netzwerk 192.168.x.x.
Ich muss die GPO "Laufwerksumleitung nicht zulassen" auf Clients aktivieren, die sich nicht in unserem internen Netz befinden.
Mit SELECT * FROM Win32_IP4RouteTable kann ich nur spezielle Netze definieren, oder kennt jemand einen entsprechenden Befehl? Trotz WMIExplorer komm ich da nicht weiter...
Member: Dani
Dani Jul 12, 2016 at 10:20:49 (UTC)
Goto Top
Moin,
ich habe mir gerade nochmal deine Frage angeschaut. Aus meiner Sicht wird dein Vorhaben nicht funktionieren, denn
Computerkonfiguration\Richtlinien\Administrative Vorlagen\Windows-Komponenten\Remotedesktopdienste\Remotedesktop-Sitzungshost\Geräte- und Ressourcenumleitung\Laufwerksumleitung
Wird nicht auf die Clients angewendet sondern auf den RDS-Host. Da gibt es nur Hop oder Top. Wie willst du eine Richtlinie mit zwei Werten anwenden?!


Gruß,
Dani
Member: wacky80
wacky80 Jul 12, 2016 at 12:00:09 (UTC)
Goto Top
Du hast wahrscheinlich recht. Das wird nicht gehen. Bei Citrix konnte man das mit dem Richtlinien des Presentation Server einstellen...
Ist aber irgendwie schon doof, dass man nicht einfach sagen kann, dass interne RDP-Sitzungen die lokalen Laufwerke gemappt werden dürfen, aber unkontrollierte Clients von Extern nicht.

Wir haben uns rein nur aus Sicherheitstechnischen Gründen dazu entscheiden, externe Clients das Mappen der lokalen Laufwerke auf dem Host zu verbieten, aber von der praktischen Seite ist das halt natürlich super.

Wie machen das die anderen? wir sind ja nicht die Einzigsten, die mit RDS-Hosts arbeiten....
Member: Dani
Dani Jul 12, 2016 updated at 12:22:07 (UTC)
Goto Top
Moin,
Wie machen das die anderen? wir sind ja nicht die Einzigsten, die mit RDS-Hosts arbeiten....
Bei uns grundsätzlich verboten. Es werden entsprechend Netzlaufwerke in die Sitzung verbunden oder eben per Mail. Somit ist klar definiert, wie der Datenfluss aussieht. Wer Daten lokal ablegt, wird spätestens am nächsten Morgen wundern, dass alles Weg ist. face-smile


Gruß,
Dani
Member: wacky80
wacky80 Jul 12, 2016 at 13:43:22 (UTC)
Goto Top
danke für die Info. Wir möchten aber auch USB-Disks in der Sitzung haben.... hmm...