142008
05.08.2021, aktualisiert um 12:13:04 Uhr
5572
14
0
Terminalserver: Zugriff auf Programme verhindern
Hello, it's me again! 
Ich möchte verhindern, dass die Benutzer des Terminalservers einige Programme aufrufen können. Aktuell ist es so, dass diese bspw. den Servermanager usw. starten können, allerdings nicht die Gruppenrichtlinienverwaltung, selbst als Administrator nicht.
Auf dem DC habe ich gesehen, dass ein Gruppenrichtlinienobjekt 'Terminalserver' vorhanden ist, aber ohne jeglichen Restriktionen. Anhand dieser Seite https://www.tech-faq.net/zugriff-auf-programme-verhindern/ habe ich eingestellt, dass dem Benutzer der Zugriff auf den Servermanager verweigert werden soll. Allerdings ohne Erfolg! Ein gpupdate wurde durchgeführt. Getestet habe ich dies, indem ich mich über einen normalen Account per RDP auf den Terminalserver aufgeschaltet habe.
Was habe ich übersehen oder falsch gemacht?
Danke für die Antwort(en) im Voraus!
Ich möchte verhindern, dass die Benutzer des Terminalservers einige Programme aufrufen können. Aktuell ist es so, dass diese bspw. den Servermanager usw. starten können, allerdings nicht die Gruppenrichtlinienverwaltung, selbst als Administrator nicht.
Auf dem DC habe ich gesehen, dass ein Gruppenrichtlinienobjekt 'Terminalserver' vorhanden ist, aber ohne jeglichen Restriktionen. Anhand dieser Seite https://www.tech-faq.net/zugriff-auf-programme-verhindern/ habe ich eingestellt, dass dem Benutzer der Zugriff auf den Servermanager verweigert werden soll. Allerdings ohne Erfolg! Ein gpupdate wurde durchgeführt. Getestet habe ich dies, indem ich mich über einen normalen Account per RDP auf den Terminalserver aufgeschaltet habe.
Was habe ich übersehen oder falsch gemacht?
Danke für die Antwort(en) im Voraus!
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1125418966
Url: https://administrator.de/forum/terminalserver-zugriff-auf-programme-verhindern-1125418966.html
Ausgedruckt am: 12.04.2025 um 13:04 Uhr
14 Kommentare
Neuester Kommentar
Für den Autostart des Servermanagers gibt es eine entsprechende GPO. Den Rest könnte man sich sparen, da man als Benutzer im Servermanager sowieso nix machen kann.
1
Sicher? Aktuell bin ich bspw. mit einem normalen Useraccount eingeloggt und stehe davor, eine Rolle (Faxserver) zu installieren. Nur noch der Klick auf den Installieren-Button trennt mich davor.
Zudem möchte ich auch einige andere Programme sperren.
Und wie bereits geschrieben, habe ich keinen Zugriff auf die Gruppenrichtlinienverwaltung auf dem Terminalserver, selbst als Administrator nicht.
Moin,
ist denn die von dir editierte GPO auch für die User bzw über Loopback für den/die Terminalserver aktiv?
Tipp: Die Einschränkung von auszuführenden Programmen würde für die Admins definitiv deaktiviert (also die Gruppe davon ausnehmen) sonst bekommt du irgendwann noch Probleme den Server zu verwalten.
lg,
Slainte
ist denn die von dir editierte GPO auch für die User bzw über Loopback für den/die Terminalserver aktiv?
Tipp: Die Einschränkung von auszuführenden Programmen würde für die Admins definitiv deaktiviert (also die Gruppe davon ausnehmen) sonst bekommt du irgendwann noch Probleme den Server zu verwalten.
lg,
Slainte
1Zitat von @142008:
Sicher? Aktuell bin ich bspw. mit einem normalen Useraccount eingeloggt und stehe davor, eine Rolle (Faxserver) zu installieren. Nur noch der Klick auf den Installieren-Button trennt mich davor.
Sicher? Aktuell bin ich bspw. mit einem normalen Useraccount eingeloggt und stehe davor, eine Rolle (Faxserver) zu installieren. Nur noch der Klick auf den Installieren-Button trennt mich davor.
Dann klick mal drauf. Und warum hast du keinen Zugriff auf gpedit.msc? Einige andere Programme kann man auch sperren, indem man den entsprechenden Benutzern die Rechte auf NTFS-Ebene entzieht.
Hi,
ich tippe auch auf fehlender Loopback-Verarbeitung.
E.
ich tippe auch auf fehlender Loopback-Verarbeitung.
E.
Moin,
ich habe die Ahnung, dass da mal versucht wurde, den Server ohne Domain-GPOs zu konfigurieren.
Wenn Du zwar Adminrechte auf dem System hast, aber die lokale Gruppenrichtlinie nicht bearbeiten kannst, dann liegt es meistens daran, dass irgendwer mit einem ziemlichen Halbwissen in der lokalen Richtlinie diverse Einstellungen gesetzt hat, aber nicht wollte, dass diese durch den Admin übernommen werden. Um das erreichen, nimmt man dann dem Admin das Leserecht auf dem Ordner mit der lokalen GPO unter C:\Windows\System32\GroupPolicy. Habe ich schon mehrfach erlebt. Das auch in Unkenntnis davon, dass man lokale Gruppenrichtlinien auch für Benutzer erstellen kann und dass in lokalen GPOs administrativ ohnehin kein Segen liegt.
Schaue also mal, ob Du auf diesen Ordner zugreifen kannst. Wenn nicht, dann denke daran: Sobald Du den Zugriff ermöglichst, musst Du davon ausgehen, dass die dort gesetzten Einstellungen umgehend auch für Deinen Adminaccount angewendet werden.
Und wenn das so ist, dann muss man sich mal Gedanken machen, ob man das so bestehen lassen will oder ob man das mal in eine v
vernünftige Struktur überführen will. Das ist dann aber ein eigenes Projekt...
Ansonsten:
Achte erst einmal auf das, was Slainte schrieb: Ist das GPO-Objekt überhaupt mit der OU, in der sich der Server befindet verlinkt? Und achte darauf, dass die Sicherheitsfilterung des Objektes den Terminalserver und die Benutzergruppe der Terminaluser beinhaltet. Entferne auf jeden Fall die Authentifizierten Benutzer, weil auch Du als Admin sonst von den Einschränkungen betroffen bist.
Prüfe Die GPO-Übernahme durch Aufruf von gpresult /R.
Gruß
Hubert
ich habe die Ahnung, dass da mal versucht wurde, den Server ohne Domain-GPOs zu konfigurieren.
Wenn Du zwar Adminrechte auf dem System hast, aber die lokale Gruppenrichtlinie nicht bearbeiten kannst, dann liegt es meistens daran, dass irgendwer mit einem ziemlichen Halbwissen in der lokalen Richtlinie diverse Einstellungen gesetzt hat, aber nicht wollte, dass diese durch den Admin übernommen werden. Um das erreichen, nimmt man dann dem Admin das Leserecht auf dem Ordner mit der lokalen GPO unter C:\Windows\System32\GroupPolicy. Habe ich schon mehrfach erlebt. Das auch in Unkenntnis davon, dass man lokale Gruppenrichtlinien auch für Benutzer erstellen kann und dass in lokalen GPOs administrativ ohnehin kein Segen liegt.
Schaue also mal, ob Du auf diesen Ordner zugreifen kannst. Wenn nicht, dann denke daran: Sobald Du den Zugriff ermöglichst, musst Du davon ausgehen, dass die dort gesetzten Einstellungen umgehend auch für Deinen Adminaccount angewendet werden.
Und wenn das so ist, dann muss man sich mal Gedanken machen, ob man das so bestehen lassen will oder ob man das mal in eine v
vernünftige Struktur überführen will. Das ist dann aber ein eigenes Projekt...
Ansonsten:
Achte erst einmal auf das, was Slainte schrieb: Ist das GPO-Objekt überhaupt mit der OU, in der sich der Server befindet verlinkt? Und achte darauf, dass die Sicherheitsfilterung des Objektes den Terminalserver und die Benutzergruppe der Terminaluser beinhaltet. Entferne auf jeden Fall die Authentifizierten Benutzer, weil auch Du als Admin sonst von den Einschränkungen betroffen bist.
Prüfe Die GPO-Übernahme durch Aufruf von gpresult /R.
Gruß
Hubert
1
GPOs, Loopback, alles old school. Heute macht man das mit GPP und Zielgruppenadressierung 
THX erstmal für die Antworten, aber ich habe doch Zugriff auf gpedit.msc --> me culpa!
Ich habe es jetzt so geregelt, dass ich jeweils direkt auf dem Terminalserver (es sind nur zwei) die entsprechenden Punkte gesperrt habe, wobei die Dienste weiterhin aufgerufen werden können. Als Administrator hat man jetzt zwar ebenfalls keinen Zugriff, was aber nicht so tragisch ist, da dies jederzeit regelbar ist. Unterm Strich zwar umständlich, aber für die Situation die 'schnellste' Möglichkeit, dafür aber halt nicht die sauberste.
Um nicht unnötig einen weiteren Thread zu eröffnen:
Wie handhabt ihr das mit dem Windows-Updatedateien, die die Platte immer mehr vollmüllen.
Da wir virtuelle Server betreiben, muss ich in gewissen Abständen immer wieder die Platte vergrößern, was es ja auf Dauer nicht sein kann. Wann löscht ihr die Dateien, um wieder Platz auf der Platte zu schaffen?
Ich habe es jetzt so geregelt, dass ich jeweils direkt auf dem Terminalserver (es sind nur zwei) die entsprechenden Punkte gesperrt habe, wobei die Dienste weiterhin aufgerufen werden können. Als Administrator hat man jetzt zwar ebenfalls keinen Zugriff, was aber nicht so tragisch ist, da dies jederzeit regelbar ist. Unterm Strich zwar umständlich, aber für die Situation die 'schnellste' Möglichkeit, dafür aber halt nicht die sauberste.
Um nicht unnötig einen weiteren Thread zu eröffnen:
Wie handhabt ihr das mit dem Windows-Updatedateien, die die Platte immer mehr vollmüllen.
Da wir virtuelle Server betreiben, muss ich in gewissen Abständen immer wieder die Platte vergrößern, was es ja auf Dauer nicht sein kann. Wann löscht ihr die Dateien, um wieder Platz auf der Platte zu schaffen?
Zitat von @Inf1d3l:
GPOs, Loopback, alles old school. Heute macht man das mit GPP und Zielgruppenadressierung
Diese Aussage ist vollkommen falsch!GPOs, Loopback, alles old school. Heute macht man das mit GPP und Zielgruppenadressierung
Beispiele:
- Ordnerumleitung - mit GPP nicht möglich
- Softwareeinschränkungen - mit GPP nicht möglich (es sei denn, man hat es wirklich drauf )
- Zertifikatverteilung ...
- Will man jede Richtline etwa mit einer Einstellung "Registry" abbilden? --> Viel Spaß! Und lösche schon mal alle ADMX, die brauchst Du ja dann nicht mehr.
- und
- und
- und
Zitat von @142008:
THX erstmal für die Antworten, aber ich habe doch Zugriff auf gpedit.msc --> me culpa!
Ich habe es jetzt so geregelt, dass ich jeweils direkt auf dem Terminalserver (es sind nur zwei) die entsprechenden Punkte gesperrt habe, wobei die Dienste weiterhin aufgerufen werden können. Als Administrator hat man jetzt zwar ebenfalls keinen Zugriff, was aber nicht so tragisch ist, da dies jederzeit regelbar ist. Unterm Strich zwar umständlich, aber für die Situation die 'schnellste' Möglichkeit, dafür aber halt nicht die sauberste.
Wie hast du das denn "direkt auf dem Terminalserver gesperrt"?THX erstmal für die Antworten, aber ich habe doch Zugriff auf gpedit.msc --> me culpa!
Ich habe es jetzt so geregelt, dass ich jeweils direkt auf dem Terminalserver (es sind nur zwei) die entsprechenden Punkte gesperrt habe, wobei die Dienste weiterhin aufgerufen werden können. Als Administrator hat man jetzt zwar ebenfalls keinen Zugriff, was aber nicht so tragisch ist, da dies jederzeit regelbar ist. Unterm Strich zwar umständlich, aber für die Situation die 'schnellste' Möglichkeit, dafür aber halt nicht die sauberste.
Ein GPO in der Sessionhost-OU + Loopback Mode ist mit Sicherheit genau so schnell wie alles was du auf 2 Servern gemacht hast.
Mit dem Vorteil:
- Wird sofort auf alle (potentiell) weiteren Server dieser OU angewand
- Ist nachvollziehbar für jeden im GPO Editor
- Kann ohne auf den Server zu gehen jederzeit deaktiviert/angepasst werden
Um nicht unnötig einen weiteren Thread zu eröffnen:
Ist nicht unnötig. Eigenes Thema = Eigener ThreadIndem ich mich mit dem Admin-Account per RDP auf die Terminalserver aufgeschaltet und lokal die Gruppenrichtlinie angepasst habe.
Um nicht unnötig einen weiteren Thread zu eröffnen:
Ist nicht unnötig. Eigenes Thema = Eigener Thread
Ist nicht unnötig. Eigenes Thema = Eigener Thread
Ich habe einen neuen Thread eröffnet.
Zitat von @142008:
Ich möchte verhindern, dass die Benutzer des Terminalservers einige Programme aufrufen können.
Guten Morgen,Ich möchte verhindern, dass die Benutzer des Terminalservers einige Programme aufrufen können.
zur Info: AppLocker
https://docs.microsoft.com/de-de/windows/security/threat-protection/wind ...
1Zitat von @emeriks:
Beispiele:
Zitat von @Inf1d3l:
GPOs, Loopback, alles old school. Heute macht man das mit GPP und Zielgruppenadressierung
Diese Aussage ist vollkommen falsch!GPOs, Loopback, alles old school. Heute macht man das mit GPP und Zielgruppenadressierung
Beispiele:
- Ordnerumleitung - mit GPP nicht möglich
- Softwareeinschränkungen - mit GPP nicht möglich (es sei denn, man hat es wirklich drauf )
- Zertifikatverteilung ...
- Will man jede Richtline etwa mit einer Einstellung "Registry" abbilden? --> Viel Spaß! Und lösche schon mal alle ADMX, die brauchst Du ja dann nicht mehr.
- und
- und
- und
"Das" bezog sich auf den Terminalserver. Außerdem kannst du jede GPP vernünftig benennen und Einstellungen vornehmen, für die es gar keine GPOs gibt. Richtlinien funktionieren auch nur soweit, wie sie von einer Anwendung auch beachtet/unterstützt werden (bei z.B. selbst gemachten admx).
@Inf1d3l
Was hat das damit zu tun, dass sich das auf TS bezieht? Deine Aussage war schlichtweg falsch. Und das musste erwähnt werden, weil das die anderen nur vom Thema ablenkt und damit die Fehlersuche und -beseitigung behindert.
Was hat das damit zu tun, dass sich das auf TS bezieht? Deine Aussage war schlichtweg falsch. Und das musste erwähnt werden, weil das die anderen nur vom Thema ablenkt und damit die Fehlersuche und -beseitigung behindert.
