6
Remote Desktop Service Session based Desktop - Laufwerkesmapping nur für interne Clients bestimmen
Hallo zusammen,
wir benutzen RDS mit Windows Server 2012 R2. Dabei arbeiten die Benutzer auf dem Server.
Um dies zu realisieren erstellt man so eine genannten Sammlung, die ja dann die ganzen Einstellungen beinhaltet. Darunter auch das Laufwerks-Mapping. Wir haben das aktiviert, damit die internen User auf lokale Laufwerke zugreifen können. Wir haben aber auch externe Mitarbeiter, die über ein Webinterface ihre Remote-Desktop-Sitzung ebenfalls aufbauen. Aus Sicherheitsgründen möchten wir das Mapping der lokalen Laufwerke für diese externe Geräte deaktivieren.
Die Frage ist jetzt nur, wie man das machen kann? Deaktiviere ich in der RDS-Konfiguration (also die "Sammlung") das Laufwerksmapping, funktioniert es intern ja auch nicht.
Es gibt ja eine GPO unter:
Computerkonfiguration\Richtlinien\Administrative Vorlagen\Windows-Komponenten\Remotedesktopdienste\Remotedesktop-Sitzungshost\Geräte- und Ressourcenumleitung\Laufwerksumleitung nicht zulassen.
Ich kann diese GPO ja aber nicht auf unbekannte Geräte anwenden, oder? Ich dachte an einen WMI-Filter, der angewandt wird, bei allen IPs, die nicht aus dem internen Adressraum stammen. Geht das überhaupt?
Ich hoffe, mir kann jemand weiter helfen.
Danke und Grüße
wir benutzen RDS mit Windows Server 2012 R2. Dabei arbeiten die Benutzer auf dem Server.
Um dies zu realisieren erstellt man so eine genannten Sammlung, die ja dann die ganzen Einstellungen beinhaltet. Darunter auch das Laufwerks-Mapping. Wir haben das aktiviert, damit die internen User auf lokale Laufwerke zugreifen können. Wir haben aber auch externe Mitarbeiter, die über ein Webinterface ihre Remote-Desktop-Sitzung ebenfalls aufbauen. Aus Sicherheitsgründen möchten wir das Mapping der lokalen Laufwerke für diese externe Geräte deaktivieren.
Die Frage ist jetzt nur, wie man das machen kann? Deaktiviere ich in der RDS-Konfiguration (also die "Sammlung") das Laufwerksmapping, funktioniert es intern ja auch nicht.
Es gibt ja eine GPO unter:
Computerkonfiguration\Richtlinien\Administrative Vorlagen\Windows-Komponenten\Remotedesktopdienste\Remotedesktop-Sitzungshost\Geräte- und Ressourcenumleitung\Laufwerksumleitung nicht zulassen.
Ich kann diese GPO ja aber nicht auf unbekannte Geräte anwenden, oder? Ich dachte an einen WMI-Filter, der angewandt wird, bei allen IPs, die nicht aus dem internen Adressraum stammen. Geht das überhaupt?
Ich hoffe, mir kann jemand weiter helfen.
Danke und Grüße
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 308973
Url: https://administrator.de/contentid/308973
Ausgedruckt am: 23.11.2024 um 02:11 Uhr
6 Kommentare
Neuester Kommentar
Moin,
Gruß,
Dani
Ich kann diese GPO ja aber nicht auf unbekannte Geräte anwenden, oder?
Gute Frage. Warum nicht einfach ausprobieren? Ist an sich kein Hexenwerk.Ich dachte an einen WMI-Filter, der angewandt wird, bei allen IPs, die nicht aus dem internen Adressraum stammen. Geht das überhaupt?
Schau dir mal SELECT * FROM Win32_IP4RouteTable an. Damit solltest du weiterkommen...Details kannst du mit Tools wie WMIExplorer heraussuchen und die Abfragen auch testen.Gruß,
Dani
Hallo Dani,
dass Problem ist, das sich eine GPO machen muss, die bei allen IPs greift, außer unser Netzwerk 192.168.x.x.
Ich muss die GPO "Laufwerksumleitung nicht zulassen" auf Clients aktivieren, die sich nicht in unserem internen Netz befinden.
Mit SELECT * FROM Win32_IP4RouteTable kann ich nur spezielle Netze definieren, oder kennt jemand einen entsprechenden Befehl? Trotz WMIExplorer komm ich da nicht weiter...
dass Problem ist, das sich eine GPO machen muss, die bei allen IPs greift, außer unser Netzwerk 192.168.x.x.
Ich muss die GPO "Laufwerksumleitung nicht zulassen" auf Clients aktivieren, die sich nicht in unserem internen Netz befinden.
Mit SELECT * FROM Win32_IP4RouteTable kann ich nur spezielle Netze definieren, oder kennt jemand einen entsprechenden Befehl? Trotz WMIExplorer komm ich da nicht weiter...
Moin,
ich habe mir gerade nochmal deine Frage angeschaut. Aus meiner Sicht wird dein Vorhaben nicht funktionieren, denn
Gruß,
Dani
ich habe mir gerade nochmal deine Frage angeschaut. Aus meiner Sicht wird dein Vorhaben nicht funktionieren, denn
Computerkonfiguration\Richtlinien\Administrative Vorlagen\Windows-Komponenten\Remotedesktopdienste\Remotedesktop-Sitzungshost\Geräte- und Ressourcenumleitung\Laufwerksumleitung
Wird nicht auf die Clients angewendet sondern auf den RDS-Host. Da gibt es nur Hop oder Top. Wie willst du eine Richtlinie mit zwei Werten anwenden?!Gruß,
Dani
Du hast wahrscheinlich recht. Das wird nicht gehen. Bei Citrix konnte man das mit dem Richtlinien des Presentation Server einstellen...
Ist aber irgendwie schon doof, dass man nicht einfach sagen kann, dass interne RDP-Sitzungen die lokalen Laufwerke gemappt werden dürfen, aber unkontrollierte Clients von Extern nicht.
Wir haben uns rein nur aus Sicherheitstechnischen Gründen dazu entscheiden, externe Clients das Mappen der lokalen Laufwerke auf dem Host zu verbieten, aber von der praktischen Seite ist das halt natürlich super.
Wie machen das die anderen? wir sind ja nicht die Einzigsten, die mit RDS-Hosts arbeiten....
Ist aber irgendwie schon doof, dass man nicht einfach sagen kann, dass interne RDP-Sitzungen die lokalen Laufwerke gemappt werden dürfen, aber unkontrollierte Clients von Extern nicht.
Wir haben uns rein nur aus Sicherheitstechnischen Gründen dazu entscheiden, externe Clients das Mappen der lokalen Laufwerke auf dem Host zu verbieten, aber von der praktischen Seite ist das halt natürlich super.
Wie machen das die anderen? wir sind ja nicht die Einzigsten, die mit RDS-Hosts arbeiten....
Moin,
Gruß,
Dani
Wie machen das die anderen? wir sind ja nicht die Einzigsten, die mit RDS-Hosts arbeiten....
Bei uns grundsätzlich verboten. Es werden entsprechend Netzlaufwerke in die Sitzung verbunden oder eben per Mail. Somit ist klar definiert, wie der Datenfluss aussieht. Wer Daten lokal ablegt, wird spätestens am nächsten Morgen wundern, dass alles Weg ist. Gruß,
Dani
danke für die Info. Wir möchten aber auch USB-Disks in der Sitzung haben.... hmm...
