holliknolli
Goto Top

Remotedesktop nein, Remote App ja - nur wie?

Hallo ihr lieben,

wieder ne knifflige Spezialfrage für die ich bis jetzt keine brauchbare Lösung gefunden habe.

Das Szenario selbst ist schnell erklärt:

Windows Server-Landschaft 2008R2 - 2016 mit Spezial-Software auf jedem Server, die als Remote App zur Verfügung steht.

Problem: die User sollen diese auch gefälligst als Remote App nutzen. Findige Leute loggen allerdings mittels MSTSC ein und erhalten damit Zugriff auf den Server-Desktop, was natürlich nicht Sinn der Sache ist.

Lässt sich das irgendwie verhindern, damit Standarduser nur die Remote Apps zu Gesicht bekommen und am besten gleich MSTSC für diese gesperrt wird, Admins dagegen sehr wohl noch darauf und damit Zugriff auf den Dekstop haben?

LG,
holliknolli

Content-ID: 399985

Url: https://administrator.de/forum/remotedesktop-nein-remote-app-ja-nur-wie-399985.html

Ausgedruckt am: 03.04.2025 um 06:04 Uhr

jsysde
jsysde 31.01.2019 um 08:42:06 Uhr
Goto Top
em-pie
em-pie 31.01.2019 um 09:44:17 Uhr
Goto Top
Moin,

lege eine GPO an, lasse die auf die ganzen User los und stelle folgendes ein:
Benutzerkonfiguration \ Richtlinien \ Administrative Vorlagen \ System \ [Richtlinie] \ Benutzerdefinierte Oberfläche\ Dateiname für Benutzeroberfläche =  "c:\myProgram\crazyProgram\run.exe"

Dazu noch die eine oder andere weitere Sinnvolle Richtlinie und die Kollegen können zwar via mstsc sich am Server anmelden, bekommen dann aber auch nur ihr Programm zu Gesicht.
Wird das Programm geschlossen, meldet sich der User auch ab.


Gruß
em-pie
Bem0815
Bem0815 31.01.2019 aktualisiert um 13:21:24 Uhr
Goto Top
Noch besser ist, du gibst in die GPO von em-pie einfach als Benutzoberfläche die Datei C:\windows\system32\logoff.exe an.
Dann wird man beim versuch sich auf den Terminalserver anzumelden automatisch wieder ausgeloggt.

Dann nur noch sicherstellen dass deine GPO nur für die User und nicht für die Administratoren greift und fertig.


So wird das in der Regel umgesetzt, denn eine offizielle Möglichkeit von Micrsoft den Zugriff auf den kompletten Terminalserver zu unterbinden und nur Remote-App zu erlauben gibt es nicht. Nur diesen Workaround.
Th0mKa
Th0mKa 31.01.2019 um 17:19:52 Uhr
Goto Top
Zitat von @Bem0815:

So wird das in der Regel umgesetzt, denn eine offizielle Möglichkeit von Micrsoft den Zugriff auf den kompletten Terminalserver zu unterbinden und nur Remote-App zu erlauben gibt es nicht. Nur diesen Workaround.

Meines Wissens ist das die "offizielle" Methode die auch der Microsoft Support empfiehlt, funktioniert jedenfalls bestens.

Thomas
Dani
Dani 31.01.2019 um 19:04:32 Uhr
Goto Top
Moin,
wir haben über AppLocker auf allen Clients MSTSC verboten.
Somit kann man auch nicht ohne weiteres andere Server per RDP "angreifen. face-smile


Gruß,
Dani