4
Terminal Services User den Zugriff auf lokale Laufwerke verweigern
Hallo,
ich würde gerne wissen, ob mir jemand sagen kann, wie man TS Usern den Zugriff auf lokale Laufwerke verweigern kann.
Leider finde ich keine Richtlinie, hab mich auch schon halb tot gegoogled.
Szenario: Kunden/Mitarbeiter connecten via Remotedesktopverbindung auf einen Server (W2k3). Alle benutzen Ihre eigenen Logindaten aus dem ADS.
Bestimmten Terminal Services Usern soll nun der Zugriff auf lokale Laufwerke des Servers verboten werden, optional vor ihnen versteckt werden.
Meine Frage: Ist es möglich. Wenn 'Ja' wie!?
Vielen Dank.
ich würde gerne wissen, ob mir jemand sagen kann, wie man TS Usern den Zugriff auf lokale Laufwerke verweigern kann.
Leider finde ich keine Richtlinie, hab mich auch schon halb tot gegoogled.
Szenario: Kunden/Mitarbeiter connecten via Remotedesktopverbindung auf einen Server (W2k3). Alle benutzen Ihre eigenen Logindaten aus dem ADS.
Bestimmten Terminal Services Usern soll nun der Zugriff auf lokale Laufwerke des Servers verboten werden, optional vor ihnen versteckt werden.
Meine Frage: Ist es möglich. Wenn 'Ja' wie!?
Vielen Dank.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 37554
Url: https://administrator.de/contentid/37554
Ausgedruckt am: 22.11.2024 um 15:11 Uhr
4 Kommentare
Neuester Kommentar
Eine spezielle Gruppe für diese Benutzer anlegen und auf den lokalen Partitionen einfach keine Rechte geben bzw. Lesen/Schreiben verbieten. Wobei die System-Partition dabei außen vor bleiben sollte, da man ansonsten nicht arbeiten kann.
Oder hab ich das Problem falsch verstanden?
MFG,
Denis Hierholzer
Oder hab ich das Problem falsch verstanden?
MFG,
Denis Hierholzer
Falsch verstanden nicht, nein.
Nur haben TS User standardgemäßig die Rechte der Gruppe "Benutzer".
Wenn ich die in eine spezielle Gruppe tue bringt das nichts.
Da einige von Ihnen Domänenbenutzer sind und auch sich an anderen Rechnern normal anmelden, hat das mit einer gesonderten Gruppe nicht viel Sinn.
Es müsste irgendwie in den GPO einzustellen sein, dass TS User z.B. keinen Zugriff auf den lokalen Datenträger D:/ haben.
Nur haben TS User standardgemäßig die Rechte der Gruppe "Benutzer".
Wenn ich die in eine spezielle Gruppe tue bringt das nichts.
Da einige von Ihnen Domänenbenutzer sind und auch sich an anderen Rechnern normal anmelden, hat das mit einer gesonderten Gruppe nicht viel Sinn.
Es müsste irgendwie in den GPO einzustellen sein, dass TS User z.B. keinen Zugriff auf den lokalen Datenträger D:/ haben.
Doch, das sollte was bringen.
Beispiel:
Wir haben 4 User im AD: A, B, C, D
A und B sind TS User, weshalb wir diese User in die Gruppe "TS-Users" stecken.
Gleichzeitig sind alle User in der Gruppe "Benutzer", weshalb alle User die Rechte dieser Gruppe haben. Tragen wir jetzt aber die Gruppe TS-Users z.B. in Laufwerk D (kann jede beliebige Partition, nur nicht System-Partition sein) mit den Rechten "Read, Write - deny" ein, so haben User A und B keinen Zugriff mehr auf die entsprechende Partition, User C und D werden dadurch aber nicht eingeschränkt.
Dies ist der Fall, da das Verbieten "höherwertiger" (gebt mir nen besseren Begriff) ist als das Gewähren von Rechten.
Gruß,
Denis Hierholzer
Beispiel:
Wir haben 4 User im AD: A, B, C, D
A und B sind TS User, weshalb wir diese User in die Gruppe "TS-Users" stecken.
Gleichzeitig sind alle User in der Gruppe "Benutzer", weshalb alle User die Rechte dieser Gruppe haben. Tragen wir jetzt aber die Gruppe TS-Users z.B. in Laufwerk D (kann jede beliebige Partition, nur nicht System-Partition sein) mit den Rechten "Read, Write - deny" ein, so haben User A und B keinen Zugriff mehr auf die entsprechende Partition, User C und D werden dadurch aber nicht eingeschränkt.
Dies ist der Fall, da das Verbieten "höherwertiger" (gebt mir nen besseren Begriff) ist als das Gewähren von Rechten.
Gruß,
Denis Hierholzer
Hm ok.
Also, wenn das wirklich auf so einfachem Wege funktioniert, dann ist das Klasse.
Ich werde es ausprobieren und mich dann nochmal zu Wort melden.
Vielen Dank!
Also, wenn das wirklich auf so einfachem Wege funktioniert, dann ist das Klasse.
Ich werde es ausprobieren und mich dann nochmal zu Wort melden.
Vielen Dank!
