Terminalserver: Zugriff auf Programme verhindern

Mitglied: nixwissender
Hello, it's me again! :) face-smile

Ich möchte verhindern, dass die Benutzer des Terminalservers einige Programme aufrufen können. Aktuell ist es so, dass diese bspw. den Servermanager usw. starten können, allerdings nicht die Gruppenrichtlinienverwaltung, selbst als Administrator nicht.

Auf dem DC habe ich gesehen, dass ein Gruppenrichtlinienobjekt 'Terminalserver' vorhanden ist, aber ohne jeglichen Restriktionen. Anhand dieser Seite https://www.tech-faq.net/zugriff-auf-programme-verhindern/ habe ich eingestellt, dass dem Benutzer der Zugriff auf den Servermanager verweigert werden soll. Allerdings ohne Erfolg! Ein gpupdate wurde durchgeführt. Getestet habe ich dies, indem ich mich über einen normalen Account per RDP auf den Terminalserver aufgeschaltet habe.

Was habe ich übersehen oder falsch gemacht?

Danke für die Antwort(en) im Voraus!

gpo

Content-Key: 1125418966

Url: https://administrator.de/contentid/1125418966

Ausgedruckt am: 21.09.2021 um 17:09 Uhr

Mitglied: Inf1d3l
Inf1d3l 05.08.2021 aktualisiert um 12:27:30 Uhr
Goto Top
Für den Autostart des Servermanagers gibt es eine entsprechende GPO. Den Rest könnte man sich sparen, da man als Benutzer im Servermanager sowieso nix machen kann.
Mitglied: nixwissender
nixwissender 05.08.2021 aktualisiert um 12:33:46 Uhr
Goto Top
Zitat von @Inf1d3l:
da man als Benutzer im Servermanager sowieso nix machen kann.

Sicher? Aktuell bin ich bspw. mit einem normalen Useraccount eingeloggt und stehe davor, eine Rolle (Faxserver) zu installieren. Nur noch der Klick auf den Installieren-Button trennt mich davor.

Zudem möchte ich auch einige andere Programme sperren.

Und wie bereits geschrieben, habe ich keinen Zugriff auf die Gruppenrichtlinienverwaltung auf dem Terminalserver, selbst als Administrator nicht.
Mitglied: SlainteMhath
SlainteMhath 05.08.2021 um 12:32:43 Uhr
Goto Top
Moin,

ist denn die von dir editierte GPO auch für die User bzw über Loopback für den/die Terminalserver aktiv?

Tipp: Die Einschränkung von auszuführenden Programmen würde für die Admins definitiv deaktiviert (also die Gruppe davon ausnehmen) sonst bekommt du irgendwann noch Probleme den Server zu verwalten.

lg,
Slainte
Mitglied: Inf1d3l
Inf1d3l 05.08.2021 aktualisiert um 12:47:20 Uhr
Goto Top
Zitat von @nixwissender:

Zitat von @Inf1d3l:
da man als Benutzer im Servermanager sowieso nix machen kann.

Sicher? Aktuell bin ich bspw. mit einem normalen Useraccount eingeloggt und stehe davor, eine Rolle (Faxserver) zu installieren. Nur noch der Klick auf den Installieren-Button trennt mich davor.

Dann klick mal drauf. Und warum hast du keinen Zugriff auf gpedit.msc? Einige andere Programme kann man auch sperren, indem man den entsprechenden Benutzern die Rechte auf NTFS-Ebene entzieht.
Mitglied: emeriks
emeriks 05.08.2021 um 13:33:02 Uhr
Goto Top
Hi,
ich tippe auch auf fehlender Loopback-Verarbeitung.

E.
Mitglied: Hubert.N
Hubert.N 05.08.2021 um 13:41:38 Uhr
Goto Top
Moin,

ich habe die Ahnung, dass da mal versucht wurde, den Server ohne Domain-GPOs zu konfigurieren.

Wenn Du zwar Adminrechte auf dem System hast, aber die lokale Gruppenrichtlinie nicht bearbeiten kannst, dann liegt es meistens daran, dass irgendwer mit einem ziemlichen Halbwissen in der lokalen Richtlinie diverse Einstellungen gesetzt hat, aber nicht wollte, dass diese durch den Admin übernommen werden. Um das erreichen, nimmt man dann dem Admin das Leserecht auf dem Ordner mit der lokalen GPO unter C:\Windows\System32\GroupPolicy. Habe ich schon mehrfach erlebt. Das auch in Unkenntnis davon, dass man lokale Gruppenrichtlinien auch für Benutzer erstellen kann und dass in lokalen GPOs administrativ ohnehin kein Segen liegt.
Schaue also mal, ob Du auf diesen Ordner zugreifen kannst. Wenn nicht, dann denke daran: Sobald Du den Zugriff ermöglichst, musst Du davon ausgehen, dass die dort gesetzten Einstellungen umgehend auch für Deinen Adminaccount angewendet werden.

Und wenn das so ist, dann muss man sich mal Gedanken machen, ob man das so bestehen lassen will oder ob man das mal in eine v
vernünftige Struktur überführen will. Das ist dann aber ein eigenes Projekt...

Ansonsten:
Achte erst einmal auf das, was Slainte schrieb: Ist das GPO-Objekt überhaupt mit der OU, in der sich der Server befindet verlinkt? Und achte darauf, dass die Sicherheitsfilterung des Objektes den Terminalserver und die Benutzergruppe der Terminaluser beinhaltet. Entferne auf jeden Fall die Authentifizierten Benutzer, weil auch Du als Admin sonst von den Einschränkungen betroffen bist.

Prüfe Die GPO-Übernahme durch Aufruf von gpresult /R.


Gruß

Hubert
Mitglied: Inf1d3l
Inf1d3l 05.08.2021 um 14:27:12 Uhr
Goto Top
GPOs, Loopback, alles old school. Heute macht man das mit GPP und Zielgruppenadressierung ;-) face-wink
Mitglied: nixwissender
nixwissender 05.08.2021 aktualisiert um 14:55:19 Uhr
Goto Top
THX erstmal für die Antworten, aber ich habe doch Zugriff auf gpedit.msc --> me culpa!

Ich habe es jetzt so geregelt, dass ich jeweils direkt auf dem Terminalserver (es sind nur zwei) die entsprechenden Punkte gesperrt habe, wobei die Dienste weiterhin aufgerufen werden können. Als Administrator hat man jetzt zwar ebenfalls keinen Zugriff, was aber nicht so tragisch ist, da dies jederzeit regelbar ist. Unterm Strich zwar umständlich, aber für die Situation die 'schnellste' Möglichkeit, dafür aber halt nicht die sauberste.


Um nicht unnötig einen weiteren Thread zu eröffnen:
Wie handhabt ihr das mit dem Windows-Updatedateien, die die Platte immer mehr vollmüllen.
Da wir virtuelle Server betreiben, muss ich in gewissen Abständen immer wieder die Platte vergrößern, was es ja auf Dauer nicht sein kann. Wann löscht ihr die Dateien, um wieder Platz auf der Platte zu schaffen?
Mitglied: emeriks
emeriks 05.08.2021 um 15:53:15 Uhr
Goto Top
Zitat von @Inf1d3l:
GPOs, Loopback, alles old school. Heute macht man das mit GPP und Zielgruppenadressierung ;-) face-wink
Diese Aussage ist vollkommen falsch!

Beispiele:
  • Ordnerumleitung - mit GPP nicht möglich
  • Softwareeinschränkungen - mit GPP nicht möglich (es sei denn, man hat es wirklich drauf ;-) face-wink )
  • Zertifikatverteilung ...
  • Will man jede Richtline etwa mit einer Einstellung "Registry" abbilden? --> Viel Spaß! Und lösche schon mal alle ADMX, die brauchst Du ja dann nicht mehr.
  • und
  • und
  • und

Mitglied: Drohnald
Drohnald 05.08.2021 um 16:02:28 Uhr
Goto Top
Zitat von @nixwissender:

THX erstmal für die Antworten, aber ich habe doch Zugriff auf gpedit.msc --> me culpa!

Ich habe es jetzt so geregelt, dass ich jeweils direkt auf dem Terminalserver (es sind nur zwei) die entsprechenden Punkte gesperrt habe, wobei die Dienste weiterhin aufgerufen werden können. Als Administrator hat man jetzt zwar ebenfalls keinen Zugriff, was aber nicht so tragisch ist, da dies jederzeit regelbar ist. Unterm Strich zwar umständlich, aber für die Situation die 'schnellste' Möglichkeit, dafür aber halt nicht die sauberste.
Wie hast du das denn "direkt auf dem Terminalserver gesperrt"?
Ein GPO in der Sessionhost-OU + Loopback Mode ist mit Sicherheit genau so schnell wie alles was du auf 2 Servern gemacht hast.
Mit dem Vorteil:
- Wird sofort auf alle (potentiell) weiteren Server dieser OU angewand
- Ist nachvollziehbar für jeden im GPO Editor
- Kann ohne auf den Server zu gehen jederzeit deaktiviert/angepasst werden


Um nicht unnötig einen weiteren Thread zu eröffnen:
Ist nicht unnötig. Eigenes Thema = Eigener Thread
Mitglied: nixwissender
nixwissender 06.08.2021 um 07:11:09 Uhr
Goto Top
Zitat von @Drohnald:

Wie hast du das denn "direkt auf dem Terminalserver gesperrt"?


Indem ich mich mit dem Admin-Account per RDP auf die Terminalserver aufgeschaltet und lokal die Gruppenrichtlinie angepasst habe.

Um nicht unnötig einen weiteren Thread zu eröffnen:
Ist nicht unnötig. Eigenes Thema = Eigener Thread

Ich habe einen neuen Thread eröffnet. :) face-smile
Mitglied: nachgefragt
nachgefragt 06.08.2021 um 07:35:06 Uhr
Goto Top
Zitat von @nixwissender:
Ich möchte verhindern, dass die Benutzer des Terminalservers einige Programme aufrufen können.
Guten Morgen,
zur Info: AppLocker
https://docs.microsoft.com/de-de/windows/security/threat-protection/wind ...
Mitglied: Inf1d3l
Inf1d3l 06.08.2021 aktualisiert um 09:02:50 Uhr
Goto Top
Zitat von @emeriks:

Zitat von @Inf1d3l:
GPOs, Loopback, alles old school. Heute macht man das mit GPP und Zielgruppenadressierung ;-) face-wink
Diese Aussage ist vollkommen falsch!

Beispiele:
  • Ordnerumleitung - mit GPP nicht möglich
  • Softwareeinschränkungen - mit GPP nicht möglich (es sei denn, man hat es wirklich drauf ;-) face-wink )
  • Zertifikatverteilung ...
  • Will man jede Richtline etwa mit einer Einstellung "Registry" abbilden? --> Viel Spaß! Und lösche schon mal alle ADMX, die brauchst Du ja dann nicht mehr.
  • und
  • und
  • und

"Das" bezog sich auf den Terminalserver. Außerdem kannst du jede GPP vernünftig benennen und Einstellungen vornehmen, für die es gar keine GPOs gibt. Richtlinien funktionieren auch nur soweit, wie sie von einer Anwendung auch beachtet/unterstützt werden (bei z.B. selbst gemachten admx).
123
Mitglied: emeriks
emeriks 06.08.2021 um 11:04:46 Uhr
Goto Top
@Inf1d3l
Was hat das damit zu tun, dass sich das auf TS bezieht? Deine Aussage war schlichtweg falsch. Und das musste erwähnt werden, weil das die anderen nur vom Thema ablenkt und damit die Fehlersuche und -beseitigung behindert.
Heiß diskutierte Beiträge
question
Windows PrintServer 2016 - KB5005573 macht Drucken unmöglich - Fehler 0x11bbeidermachtvongreyscullVor 1 TagFrageWindows Server22 Kommentare

Moin Kollegen, verdammt den hatte ich nicht auf dem Schirm. Ich hab gestern Sicherheitsupdates auf unseren 2016ern ausgerollt und heute morgen kann keiner mehr drucken, ...

question
Rechner im Netzwerk frieren nach Neustart einCZF-MarkusVor 1 TagFrageWindows Netzwerk15 Kommentare

Seit einer Woche frieren unsere Rechner (Windows 10) im Firmennetzwerk nach einem Neustart ein. Mal ist es die Outlook.exe, mal die Explorer.exe, mal die .exe ...

question
Macadresse fest auf dem Board ändernDippsVor 1 TagFrageHardware12 Kommentare

Hallo ich habe ein Mainboard was defekt ist. Nun habe ich das Typgleiche geholt und ausgetauscht. Es läuft ein Linux drauf mit einer Software die ...

question
Kauftipp für einfaches KabelmodemTheEPOCHVor 1 TagFrageHardware5 Kommentare

Hallo zusammen, ich bräuchte eine kleine Kaufberatung. Ich suche ein ganz einfaches Kabelmodem. Das Gerät soll vor eine OPNsense und das Internet bereitstellen. DOCSIS 3.0 ...

question
Clonen einer SSD Platte auf eine grösserejensgebkenVor 23 StundenFrageFestplatten, SSD, Raid9 Kommentare

Hallo Gemeinschaft habe in meinem Rechner eine alte SSD 128 und eine neu installierte mit Windows 10 drauf 512 GB nun möchte ich gerne die ...

info
Druckprobleme an PrintServern nach Sept. 2021 UpdatekgbornVor 1 TagInformationWindows Server

FYI: Seit die Sicherheitsupdates vom Patchday 14. September 2021 ausgerollt wurden, stehen Administratoren vor dem Problem, dass Clients eventuell nicht mehr an einem Terminalsever oder ...

question
Aufbau Netzstruktur für CARP mit OPNsense gelöst screemyVor 1 TagFrageLinux Netzwerk6 Kommentare

Guten Abend, wir betreiben auf 2 ProxmoxVE Hosts jeweils eine OPNsense. Diese möchten wir mittels CARP hochverfügbar konfigurieren für die LAN/WAN Schnittstelle. Folgender Aufbau ist ...

question
Fritzbox als VPNClientproton34Vor 1 TagFrageRouter & Routing7 Kommentare

Hallo, ich habe dem letzt gelesen, dass es nicht möglich sein soll eine FritzBox 7490 als VPNClient zu verwenden. Den Beitrag findet ihr hier:. Jetzt ...