lorion
Goto Top

Systemlaufwerke (C, D) auf Terminal Server 2012 ausblenden

Hallo,

zunächst möchte ich sagen, dass ich das Ausblenden von Systemlaufwerken auf dem Terminal Server bereits durchgeführt habe. Das ganze kann ja recht problemlos über die Gruppenrichtlinien eingerichtet werden.

Im Datei-Explorer und im Arbeitsplatz werden die Systemlaufwerke auch nicht angezeigt, sondern nur die dem Benutzer zugeordneten Netzlaufwerke.

Nun zu meinem Problem:

Ausgangslage: Wir betreiben einen Windows 2012 (kein R2) Terminal Server. Als Domain Controller (inkl. Gruppenrichtlinienverwaltung) kommt ein Windows Server 2008 R2 zum Einsatz.

Ein Benutzer kann auf eine Datei rechtsklicken und im Kontextmenü "Öffnen mit" auswählen. In dem kleinen Menü wählt man "Weitere Optionen" -> "Andere App auf diesem PC suchen".

Und voila, es öffnet sich der Datei-Explorer im Ordner C:\Program Files. Daraufhin kann der Benutzer den Inhalt der C: Partition durchsuchen und eventuell kritische Daten einsehen.

Gibt es eine Möglichkeit, das irgendwie zu unterbinden? Die Laufwerke an sich sind ja auch ausgeblendet, aber durch diesen kleinen Trick kann ein Benutzer leider dennoch auf Systemlaufwerke zugreifen.

Gibt es hier eventuell weitere Gruppenrichtlinien, die man definieren kann? Oder ist das Setzen von Berechtigungen auf der C: Partition eine Möglichkeit? Doch wie setze ich Rechte, ohne den Benutzer komplett vom System auszusperren (Er soll die auf C: installierten Programme ja trotzdem starten können)?

Content-ID: 222974

Url: https://administrator.de/forum/systemlaufwerke-c-d-auf-terminal-server-2012-ausblenden-222974.html

Ausgedruckt am: 23.12.2024 um 14:12 Uhr

DerWoWusste
DerWoWusste 26.11.2013 um 09:30:29 Uhr
Goto Top
Moin.

Warum stört es, dass er c:\program files sieht? Beschreib doch mal, was genau Du verhindern möchtest.
Natürlich kannst Du ihm hier und da Leserechte nehmen, aber wie Du schon sagst, diese werden zum Teil gebraucht.
certifiedit.net
certifiedit.net 26.11.2013 um 09:36:50 Uhr
Goto Top
Guten Morgen Lorion,

wenn der Benutzer auf c:\... zugreifen kann ist das kein Beinbruch, solange der Benutzer nur begrenzte Rechte hat. Du solltest natürlich nicht unter c:\ProgramFiles GL internas ablegen. Das sollte aber klar sein.

Grüße,

Christian
Lorion
Lorion 26.11.2013 aktualisiert um 09:40:51 Uhr
Goto Top
Hallo.

Danke für die Antwort.

Was ich verhindern möchte, ist dass der Benutzer ALLES was sich auf den Systemlaufwerken befindet, einsehen kann.

Sobald der Benutzer diesen "Trick" anwendet, steht der Datei-Explorer auf C:\Program Files. Mit dem Button "Ordner hoch" eine Ebene weiter nach oben navigieren und sieht den Ihnalt von C: Hier kann er in das Windows Verzeichnis (C:\Windows) navigieren oder in das Benutzerprofil-Verzeichnis (C:\Users), in dem die Profile der einzelnen Benutzer liegen. Die Profile selbst kann er zwar nicht einsehen, aber die Profilordner haben eben die Namen des Benutzer-Alias.

Das soll generell alles unterbunden werden. Gibt es hier eine Möglichkeit?
DerWoWusste
DerWoWusste 26.11.2013 aktualisiert um 09:46:47 Uhr
Goto Top
Die Profile selbst kann er zwar nicht einsehen, aber die Profilordner haben eben die Namen des Benutzer-Alias.
Was stört denn daran, dass er die Ordner sieht? Wirst Du nicht verhindern können.
Das soll generell alles unterbunden werden
Was denn? face-smile
Bitte genau.
certifiedit.net
certifiedit.net 26.11.2013 um 09:46:03 Uhr
Goto Top
Hallo Lorion,

sobald du daran etwas änderst dürftest du den Server unbrauchbar machen.
Lorion
Lorion 26.11.2013 um 10:18:03 Uhr
Goto Top
Ich hatte gehofft, dass es für lokale Laufwerke eine ähnliche Lösung wie für Netzlaufwerke mit dem Acces Based Enumeration gibt. Leider funktioniert ABE ja wirklich nur auf Netzlaufwerken.

Auf den Terminal Server greifen zurzeit nicht nur unternehmensinterne Mitarbeiter zu, sondern auch ein paar Dienstleister. Diesen sollte der Zugriff auf systemkritische Dateien eben so weit wie möglich verweigert werden. Diese sollen nicht wissen, mit welcher Software wir arbeiten oder wie die Aliase der internen Benutzer lauten.
certifiedit.net
certifiedit.net 26.11.2013 um 10:21:49 Uhr
Goto Top
Zitat von @Lorion:

Ich hatte gehofft, dass es für lokale Laufwerke eine ähnliche Lösung wie für Netzlaufwerke mit dem Acces Based
Enumeration gibt. Leider funktioniert ABE ja wirklich nur auf Netzlaufwerken.

Auf den Terminal Server greifen zurzeit nicht nur unternehmensinterne Mitarbeiter zu, sondern auch ein paar Dienstleister. Diesen
sollte der Zugriff auf systemkritische Dateien eben so weit wie möglich verweigert werden. Diese sollen nicht wissen, mit
welcher Software wir arbeiten oder wie die Aliase der internen Benutzer lauten.

Dann setze für diese ein Extra Netz auf. Anders wirst du keine 100% Abkapselung schaffen.
DerWoWusste
DerWoWusste 26.11.2013 um 10:34:12 Uhr
Goto Top
Da jeder Benutzer per default das Privileg Bypass-traverse-checking* besitzt, solltest Du einschalten können, dass er auf c:\users (und nur auf den Ordner, nicht vererben) nur Durchquerungsrechte erhält (traverse folder). Dann kann er an seinen ran, ohne aber die anderen auch nur sehen zu können.