5
Remotedesktop nein, Remote App ja - nur wie?
Hallo ihr lieben,
wieder ne knifflige Spezialfrage für die ich bis jetzt keine brauchbare Lösung gefunden habe.
Das Szenario selbst ist schnell erklärt:
Windows Server-Landschaft 2008R2 - 2016 mit Spezial-Software auf jedem Server, die als Remote App zur Verfügung steht.
Problem: die User sollen diese auch gefälligst als Remote App nutzen. Findige Leute loggen allerdings mittels MSTSC ein und erhalten damit Zugriff auf den Server-Desktop, was natürlich nicht Sinn der Sache ist.
Lässt sich das irgendwie verhindern, damit Standarduser nur die Remote Apps zu Gesicht bekommen und am besten gleich MSTSC für diese gesperrt wird, Admins dagegen sehr wohl noch darauf und damit Zugriff auf den Dekstop haben?
LG,
holliknolli
wieder ne knifflige Spezialfrage für die ich bis jetzt keine brauchbare Lösung gefunden habe.
Das Szenario selbst ist schnell erklärt:
Windows Server-Landschaft 2008R2 - 2016 mit Spezial-Software auf jedem Server, die als Remote App zur Verfügung steht.
Problem: die User sollen diese auch gefälligst als Remote App nutzen. Findige Leute loggen allerdings mittels MSTSC ein und erhalten damit Zugriff auf den Server-Desktop, was natürlich nicht Sinn der Sache ist.
Lässt sich das irgendwie verhindern, damit Standarduser nur die Remote Apps zu Gesicht bekommen und am besten gleich MSTSC für diese gesperrt wird, Admins dagegen sehr wohl noch darauf und damit Zugriff auf den Dekstop haben?
LG,
holliknolli
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 399985
Url: https://administrator.de/contentid/399985
Printed on: April 18, 2024 at 21:04 o'clock
5 Comments
Latest comment
Moin,
lege eine GPO an, lasse die auf die ganzen User los und stelle folgendes ein:
Dazu noch die eine oder andere weitere Sinnvolle Richtlinie und die Kollegen können zwar via mstsc sich am Server anmelden, bekommen dann aber auch nur ihr Programm zu Gesicht.
Wird das Programm geschlossen, meldet sich der User auch ab.
Gruß
em-pie
lege eine GPO an, lasse die auf die ganzen User los und stelle folgendes ein:
Benutzerkonfiguration \ Richtlinien \ Administrative Vorlagen \ System \ [Richtlinie] \ Benutzerdefinierte Oberfläche\ Dateiname für Benutzeroberfläche = "c:\myProgram\crazyProgram\run.exe"
Dazu noch die eine oder andere weitere Sinnvolle Richtlinie und die Kollegen können zwar via mstsc sich am Server anmelden, bekommen dann aber auch nur ihr Programm zu Gesicht.
Wird das Programm geschlossen, meldet sich der User auch ab.
Gruß
em-pie
Noch besser ist, du gibst in die GPO von em-pie einfach als Benutzoberfläche die Datei C:\windows\system32\logoff.exe an.
Dann wird man beim versuch sich auf den Terminalserver anzumelden automatisch wieder ausgeloggt.
Dann nur noch sicherstellen dass deine GPO nur für die User und nicht für die Administratoren greift und fertig.
So wird das in der Regel umgesetzt, denn eine offizielle Möglichkeit von Micrsoft den Zugriff auf den kompletten Terminalserver zu unterbinden und nur Remote-App zu erlauben gibt es nicht. Nur diesen Workaround.
Dann wird man beim versuch sich auf den Terminalserver anzumelden automatisch wieder ausgeloggt.
Dann nur noch sicherstellen dass deine GPO nur für die User und nicht für die Administratoren greift und fertig.
So wird das in der Regel umgesetzt, denn eine offizielle Möglichkeit von Micrsoft den Zugriff auf den kompletten Terminalserver zu unterbinden und nur Remote-App zu erlauben gibt es nicht. Nur diesen Workaround.
Zitat von @Bem0815:
So wird das in der Regel umgesetzt, denn eine offizielle Möglichkeit von Micrsoft den Zugriff auf den kompletten Terminalserver zu unterbinden und nur Remote-App zu erlauben gibt es nicht. Nur diesen Workaround.
So wird das in der Regel umgesetzt, denn eine offizielle Möglichkeit von Micrsoft den Zugriff auf den kompletten Terminalserver zu unterbinden und nur Remote-App zu erlauben gibt es nicht. Nur diesen Workaround.
Meines Wissens ist das die "offizielle" Methode die auch der Microsoft Support empfiehlt, funktioniert jedenfalls bestens.
Thomas
Moin,
wir haben über AppLocker auf allen Clients MSTSC verboten.
Somit kann man auch nicht ohne weiteres andere Server per RDP "angreifen.
Gruß,
Dani
wir haben über AppLocker auf allen Clients MSTSC verboten.
Somit kann man auch nicht ohne weiteres andere Server per RDP "angreifen.
Gruß,
Dani
