142008
Goto Top

Terminalserver: Zugriff auf Programme verhindern

Hello, it's me again! face-smile

Ich möchte verhindern, dass die Benutzer des Terminalservers einige Programme aufrufen können. Aktuell ist es so, dass diese bspw. den Servermanager usw. starten können, allerdings nicht die Gruppenrichtlinienverwaltung, selbst als Administrator nicht.

Auf dem DC habe ich gesehen, dass ein Gruppenrichtlinienobjekt 'Terminalserver' vorhanden ist, aber ohne jeglichen Restriktionen. Anhand dieser Seite https://www.tech-faq.net/zugriff-auf-programme-verhindern/ habe ich eingestellt, dass dem Benutzer der Zugriff auf den Servermanager verweigert werden soll. Allerdings ohne Erfolg! Ein gpupdate wurde durchgeführt. Getestet habe ich dies, indem ich mich über einen normalen Account per RDP auf den Terminalserver aufgeschaltet habe.

Was habe ich übersehen oder falsch gemacht?

Danke für die Antwort(en) im Voraus!

gpo

Content-Key: 1125418966

Url: https://administrator.de/contentid/1125418966

Ausgedruckt am: 19.03.2024 um 09:03 Uhr

Mitglied: Inf1d3l
Inf1d3l 05.08.2021 aktualisiert um 12:27:30 Uhr
Goto Top
Für den Autostart des Servermanagers gibt es eine entsprechende GPO. Den Rest könnte man sich sparen, da man als Benutzer im Servermanager sowieso nix machen kann.
Mitglied: 142008
142008 05.08.2021 aktualisiert um 12:33:46 Uhr
Goto Top
Zitat von @Inf1d3l:
da man als Benutzer im Servermanager sowieso nix machen kann.


Sicher? Aktuell bin ich bspw. mit einem normalen Useraccount eingeloggt und stehe davor, eine Rolle (Faxserver) zu installieren. Nur noch der Klick auf den Installieren-Button trennt mich davor.

Zudem möchte ich auch einige andere Programme sperren.

Und wie bereits geschrieben, habe ich keinen Zugriff auf die Gruppenrichtlinienverwaltung auf dem Terminalserver, selbst als Administrator nicht.
Mitglied: SlainteMhath
SlainteMhath 05.08.2021 um 12:32:43 Uhr
Goto Top
Moin,

ist denn die von dir editierte GPO auch für die User bzw über Loopback für den/die Terminalserver aktiv?

Tipp: Die Einschränkung von auszuführenden Programmen würde für die Admins definitiv deaktiviert (also die Gruppe davon ausnehmen) sonst bekommt du irgendwann noch Probleme den Server zu verwalten.

lg,
Slainte
Mitglied: Inf1d3l
Inf1d3l 05.08.2021 aktualisiert um 12:47:20 Uhr
Goto Top
Zitat von @142008:

Zitat von @Inf1d3l:
da man als Benutzer im Servermanager sowieso nix machen kann.


Sicher? Aktuell bin ich bspw. mit einem normalen Useraccount eingeloggt und stehe davor, eine Rolle (Faxserver) zu installieren. Nur noch der Klick auf den Installieren-Button trennt mich davor.

Dann klick mal drauf. Und warum hast du keinen Zugriff auf gpedit.msc? Einige andere Programme kann man auch sperren, indem man den entsprechenden Benutzern die Rechte auf NTFS-Ebene entzieht.
Mitglied: emeriks
emeriks 05.08.2021 um 13:33:02 Uhr
Goto Top
Hi,
ich tippe auch auf fehlender Loopback-Verarbeitung.

E.
Mitglied: Hubert.N
Hubert.N 05.08.2021 um 13:41:38 Uhr
Goto Top
Moin,

ich habe die Ahnung, dass da mal versucht wurde, den Server ohne Domain-GPOs zu konfigurieren.

Wenn Du zwar Adminrechte auf dem System hast, aber die lokale Gruppenrichtlinie nicht bearbeiten kannst, dann liegt es meistens daran, dass irgendwer mit einem ziemlichen Halbwissen in der lokalen Richtlinie diverse Einstellungen gesetzt hat, aber nicht wollte, dass diese durch den Admin übernommen werden. Um das erreichen, nimmt man dann dem Admin das Leserecht auf dem Ordner mit der lokalen GPO unter C:\Windows\System32\GroupPolicy. Habe ich schon mehrfach erlebt. Das auch in Unkenntnis davon, dass man lokale Gruppenrichtlinien auch für Benutzer erstellen kann und dass in lokalen GPOs administrativ ohnehin kein Segen liegt.
Schaue also mal, ob Du auf diesen Ordner zugreifen kannst. Wenn nicht, dann denke daran: Sobald Du den Zugriff ermöglichst, musst Du davon ausgehen, dass die dort gesetzten Einstellungen umgehend auch für Deinen Adminaccount angewendet werden.

Und wenn das so ist, dann muss man sich mal Gedanken machen, ob man das so bestehen lassen will oder ob man das mal in eine v
vernünftige Struktur überführen will. Das ist dann aber ein eigenes Projekt...

Ansonsten:
Achte erst einmal auf das, was Slainte schrieb: Ist das GPO-Objekt überhaupt mit der OU, in der sich der Server befindet verlinkt? Und achte darauf, dass die Sicherheitsfilterung des Objektes den Terminalserver und die Benutzergruppe der Terminaluser beinhaltet. Entferne auf jeden Fall die Authentifizierten Benutzer, weil auch Du als Admin sonst von den Einschränkungen betroffen bist.

Prüfe Die GPO-Übernahme durch Aufruf von gpresult /R.


Gruß

Hubert
Mitglied: Inf1d3l
Inf1d3l 05.08.2021 um 14:27:12 Uhr
Goto Top
GPOs, Loopback, alles old school. Heute macht man das mit GPP und Zielgruppenadressierung face-wink
Mitglied: 142008
142008 05.08.2021 aktualisiert um 14:55:19 Uhr
Goto Top
THX erstmal für die Antworten, aber ich habe doch Zugriff auf gpedit.msc --> me culpa!

Ich habe es jetzt so geregelt, dass ich jeweils direkt auf dem Terminalserver (es sind nur zwei) die entsprechenden Punkte gesperrt habe, wobei die Dienste weiterhin aufgerufen werden können. Als Administrator hat man jetzt zwar ebenfalls keinen Zugriff, was aber nicht so tragisch ist, da dies jederzeit regelbar ist. Unterm Strich zwar umständlich, aber für die Situation die 'schnellste' Möglichkeit, dafür aber halt nicht die sauberste.


Um nicht unnötig einen weiteren Thread zu eröffnen:
Wie handhabt ihr das mit dem Windows-Updatedateien, die die Platte immer mehr vollmüllen.
Da wir virtuelle Server betreiben, muss ich in gewissen Abständen immer wieder die Platte vergrößern, was es ja auf Dauer nicht sein kann. Wann löscht ihr die Dateien, um wieder Platz auf der Platte zu schaffen?
Mitglied: emeriks
emeriks 05.08.2021 um 15:53:15 Uhr
Goto Top
Zitat von @Inf1d3l:
GPOs, Loopback, alles old school. Heute macht man das mit GPP und Zielgruppenadressierung face-wink
Diese Aussage ist vollkommen falsch!

Beispiele:
  • Ordnerumleitung - mit GPP nicht möglich
  • Softwareeinschränkungen - mit GPP nicht möglich (es sei denn, man hat es wirklich drauf face-wink )
  • Zertifikatverteilung ...
  • Will man jede Richtline etwa mit einer Einstellung "Registry" abbilden? --> Viel Spaß! Und lösche schon mal alle ADMX, die brauchst Du ja dann nicht mehr.
  • und
  • und
  • und
Mitglied: Drohnald
Drohnald 05.08.2021 um 16:02:28 Uhr
Goto Top
Zitat von @142008:

THX erstmal für die Antworten, aber ich habe doch Zugriff auf gpedit.msc --> me culpa!

Ich habe es jetzt so geregelt, dass ich jeweils direkt auf dem Terminalserver (es sind nur zwei) die entsprechenden Punkte gesperrt habe, wobei die Dienste weiterhin aufgerufen werden können. Als Administrator hat man jetzt zwar ebenfalls keinen Zugriff, was aber nicht so tragisch ist, da dies jederzeit regelbar ist. Unterm Strich zwar umständlich, aber für die Situation die 'schnellste' Möglichkeit, dafür aber halt nicht die sauberste.
Wie hast du das denn "direkt auf dem Terminalserver gesperrt"?
Ein GPO in der Sessionhost-OU + Loopback Mode ist mit Sicherheit genau so schnell wie alles was du auf 2 Servern gemacht hast.
Mit dem Vorteil:
- Wird sofort auf alle (potentiell) weiteren Server dieser OU angewand
- Ist nachvollziehbar für jeden im GPO Editor
- Kann ohne auf den Server zu gehen jederzeit deaktiviert/angepasst werden


Um nicht unnötig einen weiteren Thread zu eröffnen:
Ist nicht unnötig. Eigenes Thema = Eigener Thread
Mitglied: 142008
142008 06.08.2021 um 07:11:09 Uhr
Goto Top
Zitat von @Drohnald:

Wie hast du das denn "direkt auf dem Terminalserver gesperrt"?


Indem ich mich mit dem Admin-Account per RDP auf die Terminalserver aufgeschaltet und lokal die Gruppenrichtlinie angepasst habe.

Um nicht unnötig einen weiteren Thread zu eröffnen:
Ist nicht unnötig. Eigenes Thema = Eigener Thread


Ich habe einen neuen Thread eröffnet. face-smile
Mitglied: nachgefragt
nachgefragt 06.08.2021 um 07:35:06 Uhr
Goto Top
Zitat von @142008:
Ich möchte verhindern, dass die Benutzer des Terminalservers einige Programme aufrufen können.
Guten Morgen,
zur Info: AppLocker
https://docs.microsoft.com/de-de/windows/security/threat-protection/wind ...
Mitglied: Inf1d3l
Inf1d3l 06.08.2021 aktualisiert um 09:02:50 Uhr
Goto Top
Zitat von @emeriks:

Zitat von @Inf1d3l:
GPOs, Loopback, alles old school. Heute macht man das mit GPP und Zielgruppenadressierung face-wink
Diese Aussage ist vollkommen falsch!

Beispiele:
  • Ordnerumleitung - mit GPP nicht möglich
  • Softwareeinschränkungen - mit GPP nicht möglich (es sei denn, man hat es wirklich drauf face-wink )
  • Zertifikatverteilung ...
  • Will man jede Richtline etwa mit einer Einstellung "Registry" abbilden? --> Viel Spaß! Und lösche schon mal alle ADMX, die brauchst Du ja dann nicht mehr.
  • und
  • und
  • und

"Das" bezog sich auf den Terminalserver. Außerdem kannst du jede GPP vernünftig benennen und Einstellungen vornehmen, für die es gar keine GPOs gibt. Richtlinien funktionieren auch nur soweit, wie sie von einer Anwendung auch beachtet/unterstützt werden (bei z.B. selbst gemachten admx).
123
Mitglied: emeriks
emeriks 06.08.2021 um 11:04:46 Uhr
Goto Top
@Inf1d3l
Was hat das damit zu tun, dass sich das auf TS bezieht? Deine Aussage war schlichtweg falsch. Und das musste erwähnt werden, weil das die anderen nur vom Thema ablenkt und damit die Fehlersuche und -beseitigung behindert.