8
Verknüpfungen verbieten oder andere Möglichkeit?
Hallo Zusammen!
Ich habe hier 20 Win XP-SP3-Clients an einem Win2k8-Domäne-Server, die soweit über Gruppenrichtlinien eingeschränkt sind, dass der User nicht viel ändern oder machen kann. Nun habe ich gesehen, dass einer der User mehrere Verknüpfungen erstellt hat, auf denen er eigentlich nichts zu suchen hat - und zwar auf Netzwerkfreigaben des Servers - Klar ziehen hier noch die Rechtestrukturen der Freigaben, trotzdem möchte ich dies gerne verhindern!
Per Richtlinie ist u.a. die Netzwerkumgebung ausgeblendet und weitere Einstellungen vorgenommen, dass der User eigentlich nicht in diese Ebene kommen kann. Nun funktioniert es über einen "Trick" dies zu umgehen: Man erstellt einfach eine neue Verknüpfung mit dem Pfad: \\Servername\ und landet in der kompletten Netzwerkumgebung....
Ist es möglich, per Gruppenrichtlinie, zu verbieten dass User "neue Verknüpfungen" erstellen dürfen? Ich habe hierzu im Katalog nichts finden können auch über Google oder gruppenrichtlinien.de habe ich nichts gefunden...
Das Kontextmenü bzw. die rechte Maustaste zu deaktivieren wäre allerdings too much.... Habt ihr eine Idee oder andere Einschränkungen, Möglichkeiten die noch getroffen werden könnten?
Vielen Dank und Grüße
Michael
Ich habe hier 20 Win XP-SP3-Clients an einem Win2k8-Domäne-Server, die soweit über Gruppenrichtlinien eingeschränkt sind, dass der User nicht viel ändern oder machen kann. Nun habe ich gesehen, dass einer der User mehrere Verknüpfungen erstellt hat, auf denen er eigentlich nichts zu suchen hat - und zwar auf Netzwerkfreigaben des Servers - Klar ziehen hier noch die Rechtestrukturen der Freigaben, trotzdem möchte ich dies gerne verhindern!
Per Richtlinie ist u.a. die Netzwerkumgebung ausgeblendet und weitere Einstellungen vorgenommen, dass der User eigentlich nicht in diese Ebene kommen kann. Nun funktioniert es über einen "Trick" dies zu umgehen: Man erstellt einfach eine neue Verknüpfung mit dem Pfad: \\Servername\ und landet in der kompletten Netzwerkumgebung....
Ist es möglich, per Gruppenrichtlinie, zu verbieten dass User "neue Verknüpfungen" erstellen dürfen? Ich habe hierzu im Katalog nichts finden können auch über Google oder gruppenrichtlinien.de habe ich nichts gefunden...
Das Kontextmenü bzw. die rechte Maustaste zu deaktivieren wäre allerdings too much.... Habt ihr eine Idee oder andere Einschränkungen, Möglichkeiten die noch getroffen werden könnten?
Vielen Dank und Grüße
Michael
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 153709
Url: https://administrator.de/contentid/153709
Ausgedruckt am: 26.11.2024 um 03:11 Uhr
8 Kommentare
Neuester Kommentar
Was stören dich Verknüfungen auf Ordnern, auf denen Sie eh kein Zugriff haben?
Und warum machen Sie sich solche Verknüfungen??
Ansonsten alle Verknüfungen zu verbieten ist auch recht hart. Habe div. Dokumente auf meinem Server liegen, von diesen Dokumente habe ich auch Verknüpfungen auf dem Desktop, und somit habe ich schnellen Zugriff auf die wichtigen Dokumente.
Und warum machen Sie sich solche Verknüfungen??
Ansonsten alle Verknüfungen zu verbieten ist auch recht hart. Habe div. Dokumente auf meinem Server liegen, von diesen Dokumente habe ich auch Verknüpfungen auf dem Desktop, und somit habe ich schnellen Zugriff auf die wichtigen Dokumente.
Das was daran stört kann ich ganz schnell erklären.
Du hast z.B. kein Zugriff auf die CMD über dein Windows,
wenn du aber eine Verknüpfung auf die CMD.EXE erstellst (Vorrausgesetzt du weist wo sie liegt) bekommst du vollen zugriff auf die CMD.
Das würde mich Persönlich als Admin auch stören,
wenn es in meiner Verantwortung liegen würde.
Ich weis jetzt leider auch nicht, wie man dies direkt Unterdrücken sollte,
aber ich würde jetzt mal an einen Registry-Key denken.
Lg Grapper
Du hast z.B. kein Zugriff auf die CMD über dein Windows,
wenn du aber eine Verknüpfung auf die CMD.EXE erstellst (Vorrausgesetzt du weist wo sie liegt) bekommst du vollen zugriff auf die CMD.
Das würde mich Persönlich als Admin auch stören,
wenn es in meiner Verantwortung liegen würde.
Ich weis jetzt leider auch nicht, wie man dies direkt Unterdrücken sollte,
aber ich würde jetzt mal an einen Registry-Key denken.
Lg Grapper
ja das weiss ich auch nicht was die damit wollen, ist ein "kleines" schulnetz und man weiss nie was die leutz mit solchen verknüpfungen dann bezwecken wollen... ich mag es nicht dass "schüler" meine logonfiles sehen 
ich habe die CMD-Ausführung gesperrt, aber es ist auch möglich zb. mittels txt-file commands zu schreiben, dieses als .bat zu speichern und auch auszuführen! wenn ich per GPO die script-ausführung sperre, dann funktioniert mein logon.cmd auch nicht mehr!
das sind aktuell meine probs - hat jemand weitere ideen oder vorschläge?
ich habe die CMD-Ausführung gesperrt, aber es ist auch möglich zb. mittels txt-file commands zu schreiben, dieses als .bat zu speichern und auch auszuführen! wenn ich per GPO die script-ausführung sperre, dann funktioniert mein logon.cmd auch nicht mehr!
das sind aktuell meine probs - hat jemand weitere ideen oder vorschläge?
Mmmmh, OK, das ist nachvollziehbar.
Aber leider habe ich keine Lösung außer folgende:
Schüler vorm Einlass in den Raum ordentlich verprügeln, und damit drohen das es doppelt so schlimm wird wenn sie Dummheiten machen!!
Wahrscheinlich hilfts! ... Jedoch vorher mit deinem Arbeitgeber abklären
)
Und wenn der Arbeitgeber das nicht will vielleicht das:
Über GPO Scripts-Ausführung sperren und mit runas (o.ä bzw. besser) das logon-Script starten.
Vielleicht so??
Aber leider habe ich keine Lösung außer folgende:
Schüler vorm Einlass in den Raum ordentlich verprügeln, und damit drohen das es doppelt so schlimm wird wenn sie Dummheiten machen!!
Wahrscheinlich hilfts! ... Jedoch vorher mit deinem Arbeitgeber abklären
)Und wenn der Arbeitgeber das nicht will vielleicht das:
Über GPO Scripts-Ausführung sperren und mit runas (o.ä bzw. besser) das logon-Script starten.
Vielleicht so??
Wäre eine Möglichkeit, aber ich glaube da macht mein Arbeitgeber nicht mit *g*
wir nutzen "grpeval", das aber auch über ein logon.cmd gestartet werden muss... mit der Sperrung der Script-Ausführung schneide ich mir natürlich dann selber ins Bein zumal ich auch einige befehle im logon hab die wichtig sind.
man kanns halt doch nie richtig machen. man schränkt alles ein, dann ist es zuviel. gibt man zuviel preis, kommen solche sachen...
für weitere ideen / vorschläge bin ich natürlich offen!
wir nutzen "grpeval", das aber auch über ein logon.cmd gestartet werden muss... mit der Sperrung der Script-Ausführung schneide ich mir natürlich dann selber ins Bein zumal ich auch einige befehle im logon hab die wichtig sind.
man kanns halt doch nie richtig machen. man schränkt alles ein, dann ist es zuviel. gibt man zuviel preis, kommen solche sachen...
für weitere ideen / vorschläge bin ich natürlich offen!
Naja, also Logon-Scripte werden in der Regel nach und nach abgearbeitet ;)
Wenn du also die Sperrung ganz an den Schluss setzt,
sollten deine abläufe nicht betroffen sein ;)
Wenn du also die Sperrung ganz an den Schluss setzt,
sollten deine abläufe nicht betroffen sein ;)
jetzt ne doofe frage... kann ich das über das logon-script denn steuern, dass das logon-script nach der anmeldung die scriptausführung auf den clients sperrt oder geht das nur per GPO?
zum "verknüpfungs-erstellungs-problem" habe ich immernoch keine lösung gefunden
zum "verknüpfungs-erstellungs-problem" habe ich immernoch keine lösung gefunden
Also zu deinem Verknüpfungs-erstellungs-problem hättes ich hier was gefunden,
was für dich interresant sein könnte, habe jetzt leider gerade keinen Server laufen und kann es entsprechend nicht testen ;)
Du solltest dann aber auch mal testen, ob man nicht auch bestehende Verknüpfungen einfach entsprechend abändern kann.
Lg
was für dich interresant sein könnte, habe jetzt leider gerade keinen Server laufen und kann es entsprechend nicht testen ;)
Du solltest dann aber auch mal testen, ob man nicht auch bestehende Verknüpfungen einfach entsprechend abändern kann.
Lg
