Windows Server 2008R2 - XenApp 6.5 - Zugriff auf Filesystem
Ich baue gerade einen neue XenApp Farm v6.5 mit Server 2008R2 auf.
Momentan versuche ich den Zugriff der Benutzer zu beschränken.
Ich habe per Policy den Zugriff auf C: untersagt. Das funktioniert leider nur insoweit, das nur der direkte Zugriff gesperrt ist. Also die Policy zieht auf.
Nun kann aber der Benutzer aber trotzdem in der Adresszeile des Windows Explorers z.B. C:\Programme... eintippen und Windows zeigt schön die darunter liegende Verzeichnisse an. Wenn der Benutzer sich jetzt so durchhangelt und eine Datei auswählt z.B. Excel.exe kann er diese ausführen.
Das ist fatal für Skripte o.ä. die im System umhergeistern.
Da möchte ich das unterbinden ohne explizite Verweigerungen zu vergeben, was ja auch Wahnsinn währe.
Hat einer von Euch eine Idee?
Momentan versuche ich den Zugriff der Benutzer zu beschränken.
Ich habe per Policy den Zugriff auf C: untersagt. Das funktioniert leider nur insoweit, das nur der direkte Zugriff gesperrt ist. Also die Policy zieht auf.
Nun kann aber der Benutzer aber trotzdem in der Adresszeile des Windows Explorers z.B. C:\Programme... eintippen und Windows zeigt schön die darunter liegende Verzeichnisse an. Wenn der Benutzer sich jetzt so durchhangelt und eine Datei auswählt z.B. Excel.exe kann er diese ausführen.
Das ist fatal für Skripte o.ä. die im System umhergeistern.
Da möchte ich das unterbinden ohne explizite Verweigerungen zu vergeben, was ja auch Wahnsinn währe.
Hat einer von Euch eine Idee?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 206426
Url: https://administrator.de/forum/windows-server-2008r2-xenapp-6-5-zugriff-auf-filesystem-206426.html
Ausgedruckt am: 22.12.2024 um 20:12 Uhr
6 Kommentare
Neuester Kommentar
Moin,
da gibt es zwei getrennte Einstellungen.
Einmal "Hide these specified drives in My Computer"
und dann noch "Prevent access to drives from My Computer"
beide müssen mit den entsprechenden Laufwerksbuchstaben konfiguriert sein, dann kann man auch den Pfad nicht mehr in der Adresszeile eingeben.
lg,
Slainte
da gibt es zwei getrennte Einstellungen.
Einmal "Hide these specified drives in My Computer"
und dann noch "Prevent access to drives from My Computer"
beide müssen mit den entsprechenden Laufwerksbuchstaben konfiguriert sein, dann kann man auch den Pfad nicht mehr in der Adresszeile eingeben.
lg,
Slainte
Moin SlainteMhath.
MS sagt deutlich, dass dies nicht dazu gedacht ist, den Zugriff zu verweigern.
@Enric0
Wozu machst Du das? Beschreib mal genauer, woran Du den Nutzer hindern willst und warum dazu nicht schon NTFS ausreicht.
MS sagt deutlich, dass dies nicht dazu gedacht ist, den Zugriff zu verweigern.
This policy does not prevent users from using programs to access local and network drives. And, it does not prevent them from using the Disk Management snap-in to view and change drive characteristics.
[aus: http://technet.microsoft.com/en-us/library/cc978514.aspx ].@Enric0
Wozu machst Du das? Beschreib mal genauer, woran Du den Nutzer hindern willst und warum dazu nicht schon NTFS ausreicht.
Bei einer SAM Prüfung wird genau soetwas abgeprüft.
Ja? Da hinterfragt MS, wie Du eben dieses Szenario (Volumenlizenz-Software auf TS, bei dem nicht die gesamte Nutzerschaft Lizenzen für Office Pro Plus hat) gegen Missbrauch schützt? Wohl kaum. MS will, dass Office Pro Plus nur von Office Pro Plus Kunden genutzt wird, und nicht, dass Du einen Nutzerteil, der nur Office Home and Business oder was auch immer hat, an alles außer Access ranlässt und den anderen an alles.Aber gut, musst Du wissen. Du könntest es über Applocker lösen, dann kann man per Whitelist gruppengebunden Programme freigeben. Applocker gehört zu win2008 R2.