10
Terminal Server bestimmte User einschränken
Hallo Liebe IT - Freunde,
Folgendes Problem wir werden morgen einen alten Server ablösen der als Bewerber-Terminal fungiert.
Jetzt möchten wir die Rolle auf den Terminal Server verschieben.
Die "normalen" User sollen so arbeiten wie bis jetzt.
Bewerber User dürfen gar keine Berechtigungen auf den Terminal Server haben hier soll nur ein IE gestartet werden.
Also ich lege eine Gruppe an dort kommen alle Bewerber - User rein.
Danach wird eine GPO auf die Gruppe delegiert aber wie kann ich die User so einschränken???
Danke im Voraus.
Lg aus Austria
Folgendes Problem wir werden morgen einen alten Server ablösen der als Bewerber-Terminal fungiert.
Jetzt möchten wir die Rolle auf den Terminal Server verschieben.
Die "normalen" User sollen so arbeiten wie bis jetzt.
Bewerber User dürfen gar keine Berechtigungen auf den Terminal Server haben hier soll nur ein IE gestartet werden.
Also ich lege eine Gruppe an dort kommen alle Bewerber - User rein.
Danach wird eine GPO auf die Gruppe delegiert aber wie kann ich die User so einschränken???
Danke im Voraus.
Lg aus Austria
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 182332
Url: https://administrator.de/contentid/182332
Ausgedruckt am: 24.11.2024 um 21:11 Uhr
10 Kommentare
Neuester Kommentar
Hallo Austria,
ich verstehe deine Frage nicht ganz ...
... du legst die GPO auf die Gruppe (OU) (z.b. Bewerbung)
Jeder User der in der Gruppe (OU) ist zieht dann diese GPO's ...
... warum willst du die User dann nochmals einschränken?
Gruß
zanko (ebenfalls aus Austria) ;)
ich verstehe deine Frage nicht ganz ...
... du legst die GPO auf die Gruppe (OU) (z.b. Bewerbung)
Jeder User der in der Gruppe (OU) ist zieht dann diese GPO's ...
... warum willst du die User dann nochmals einschränken?
Gruß
zanko (ebenfalls aus Austria) ;)
Naja ich möchte damit nur die Gruppe Bewerber einschränken.
User "normal" soll sich anmelden bei denn soll sich einfach nichts ändern.
User "Bewerber" melden sich an hat gar nix nur einen offenen IE.
Die frage soll sich darauf beziehen wie ich das per GPO umsetze ;)
lg
User "normal" soll sich anmelden bei denn soll sich einfach nichts ändern.
User "Bewerber" melden sich an hat gar nix nur einen offenen IE.
Die frage soll sich darauf beziehen wie ich das per GPO umsetze ;)
lg
Moin.
Du kannst keine GPOs an Gruppen binden. GPOs bindet man an OUs bzw. den domain head. Gruppen nutzt man zur Sicherheitsfilterung (Google den Begriff zusammen mit GPO, um eine Vorstellung davon zu bekommen).
Du kannst eine OU eröffnen und da alle Bewerber reinstecken und daran die GPO binden.
Du kannst keine GPOs an Gruppen binden. GPOs bindet man an OUs bzw. den domain head. Gruppen nutzt man zur Sicherheitsfilterung (Google den Begriff zusammen mit GPO, um eine Vorstellung davon zu bekommen).
Du kannst eine OU eröffnen und da alle Bewerber reinstecken und daran die GPO binden.
Ah Alles klar ...
... naja ich würde 2 OU's im AD machen
Danach die GPO's auf die jeweiligen OU's legen
Quick & dirty ;)
Oder du hinterlegst bei der GPO ein Filter (welcher User, etc)
LG
... naja ich würde 2 OU's im AD machen
- Bewerber
- Normal
Danach die GPO's auf die jeweiligen OU's legen
Quick & dirty ;)
Oder du hinterlegst bei der GPO ein Filter (welcher User, etc)
LG
Ok herzlichen dank für eure Ratschläge.
Aber gibts es eine Richtlinie dafür , wie ich das umsetze ??
lg
Aber gibts es eine Richtlinie dafür , wie ich das umsetze ??
lg
Was meinst Du damit?
Naja das meine Bewerber "null" Zugriff auf das System haben nur das ein IE gestartet wird.
Der IE hat einen Speichern-Dialog. Der User hat ein Benutzerprofil, worauf er immer Schreibzugriff haben muss. Er kann also über den IE Dinge speichern. Null Zugriff wird nie gehen.
Falls es ein 2008er R2 ist, kannst Du vieles mit Applocker für bestimmte Gruppen als nicht startbar markieren und natürlich im Dateisystem per NTFS Dinge zu machen. Policies können weiteres ausblenden - was Du davon benötigst, hast Du nicht genannt, somit bleibt nur als möglicher Tipp, die GPO-Referenz zu lesen: http://www.microsoft.com/download/en/details.aspx?id=9409
Meine ehrliche Meinung: Das meiste Abschließen und Aussperren bringt null komma gar nichts. Definiere doch erstmal, was es zu schützen gilt mit dieser Maßnahme. Wenn es nur ist, dass die Nutzer nichts anklicken sollen, was sie eh nicht ändern können - wozu? Du wirst immer Nutzer haben, die Ihre Zeit mit etwas anderem als Arbeiten rumbringen, daran ändern Policies nichts.
Falls es ein 2008er R2 ist, kannst Du vieles mit Applocker für bestimmte Gruppen als nicht startbar markieren und natürlich im Dateisystem per NTFS Dinge zu machen. Policies können weiteres ausblenden - was Du davon benötigst, hast Du nicht genannt, somit bleibt nur als möglicher Tipp, die GPO-Referenz zu lesen: http://www.microsoft.com/download/en/details.aspx?id=9409
Meine ehrliche Meinung: Das meiste Abschließen und Aussperren bringt null komma gar nichts. Definiere doch erstmal, was es zu schützen gilt mit dieser Maßnahme. Wenn es nur ist, dass die Nutzer nichts anklicken sollen, was sie eh nicht ändern können - wozu? Du wirst immer Nutzer haben, die Ihre Zeit mit etwas anderem als Arbeiten rumbringen, daran ändern Policies nichts.
Hallo Folgendes,
Das werden "fremde" Leute sein die was ihre Daten auf dem System eintippen.
Gibt es ein paar User z.B: bewerber.linz.....
Leider verwenden wir nur Windows Server 2003 also 2008r2 nicht.
Die Gruppe bewerber sollte dann auf den Terminal Server einen sehr eingeschränkte Zugriff haben , jetzt war
meine Frage wie weit ich hier die User beschränken kann.
Aber danke mal für deine Antwort werde mich melden wenn ich ein bisschen "gespielt" habe.
Gut dann werde ich mich morgen in meiner Testumgebung ein bisschen spielen.
lg
Das werden "fremde" Leute sein die was ihre Daten auf dem System eintippen.
Gibt es ein paar User z.B: bewerber.linz.....
Leider verwenden wir nur Windows Server 2003 also 2008r2 nicht.
Die Gruppe bewerber sollte dann auf den Terminal Server einen sehr eingeschränkte Zugriff haben , jetzt war
meine Frage wie weit ich hier die User beschränken kann.
Aber danke mal für deine Antwort werde mich melden wenn ich ein bisschen "gespielt" habe.
Gut dann werde ich mich morgen in meiner Testumgebung ein bisschen spielen.
lg
Hallo Leute,
Wollte mich bedanken für eure Hilfe.
Konnte dies super über die GPO einschränken
schönen tag
lg
Wollte mich bedanken für eure Hilfe.
Konnte dies super über die GPO einschränken
schönen tag
lg
