6
Windows Server 2008R2 - XenApp 6.5 - Zugriff auf Filesystem
Ich baue gerade einen neue XenApp Farm v6.5 mit Server 2008R2 auf.
Momentan versuche ich den Zugriff der Benutzer zu beschränken.
Ich habe per Policy den Zugriff auf C: untersagt. Das funktioniert leider nur insoweit, das nur der direkte Zugriff gesperrt ist. Also die Policy zieht auf.
Nun kann aber der Benutzer aber trotzdem in der Adresszeile des Windows Explorers z.B. C:\Programme... eintippen und Windows zeigt schön die darunter liegende Verzeichnisse an. Wenn der Benutzer sich jetzt so durchhangelt und eine Datei auswählt z.B. Excel.exe kann er diese ausführen.
Das ist fatal für Skripte o.ä. die im System umhergeistern.
Da möchte ich das unterbinden ohne explizite Verweigerungen zu vergeben, was ja auch Wahnsinn währe.
Hat einer von Euch eine Idee?
Momentan versuche ich den Zugriff der Benutzer zu beschränken.
Ich habe per Policy den Zugriff auf C: untersagt. Das funktioniert leider nur insoweit, das nur der direkte Zugriff gesperrt ist. Also die Policy zieht auf.
Nun kann aber der Benutzer aber trotzdem in der Adresszeile des Windows Explorers z.B. C:\Programme... eintippen und Windows zeigt schön die darunter liegende Verzeichnisse an. Wenn der Benutzer sich jetzt so durchhangelt und eine Datei auswählt z.B. Excel.exe kann er diese ausführen.
Das ist fatal für Skripte o.ä. die im System umhergeistern.
Da möchte ich das unterbinden ohne explizite Verweigerungen zu vergeben, was ja auch Wahnsinn währe.
Hat einer von Euch eine Idee?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 206426
Url: https://administrator.de/contentid/206426
Ausgedruckt am: 22.11.2024 um 14:11 Uhr
6 Kommentare
Neuester Kommentar
Moin,
da gibt es zwei getrennte Einstellungen.
Einmal "Hide these specified drives in My Computer"
und dann noch "Prevent access to drives from My Computer"
beide müssen mit den entsprechenden Laufwerksbuchstaben konfiguriert sein, dann kann man auch den Pfad nicht mehr in der Adresszeile eingeben.
lg,
Slainte
da gibt es zwei getrennte Einstellungen.
Einmal "Hide these specified drives in My Computer"
und dann noch "Prevent access to drives from My Computer"
beide müssen mit den entsprechenden Laufwerksbuchstaben konfiguriert sein, dann kann man auch den Pfad nicht mehr in der Adresszeile eingeben.
lg,
Slainte
Danke für die schnelle Antwort. Ich habe beide Optionen aktiviert. Der Laufwerksbuchstabe wird auch nicht angezeigt. Nur kann man leider, wie oben beschrieben, die ganze aushebeln.
Moin SlainteMhath.
MS sagt deutlich, dass dies nicht dazu gedacht ist, den Zugriff zu verweigern.
@Enric0
Wozu machst Du das? Beschreib mal genauer, woran Du den Nutzer hindern willst und warum dazu nicht schon NTFS ausreicht.
MS sagt deutlich, dass dies nicht dazu gedacht ist, den Zugriff zu verweigern.
This policy does not prevent users from using programs to access local and network drives. And, it does not prevent them from using the Disk Management snap-in to view and change drive characteristics.
[aus: http://technet.microsoft.com/en-us/library/cc978514.aspx ].@Enric0
Wozu machst Du das? Beschreib mal genauer, woran Du den Nutzer hindern willst und warum dazu nicht schon NTFS ausreicht.
Das ganze ist ein lizenzrechtliches Problem. Ich habe auf dem TS MS Office Prof. installiert. Einige Benutzer benötigen MS Access und einige nicht. Natürlich habe ich die Anwendungen so veröffentlicht und die Berechtigungen verteielt das jeder nur das sieht was er soll. Um jetzt Lizenzkosten zu sparen, indem ich nur die Benutzer eine MS Office Prof Lizenz zuspreche die auch Access benötigen, muss ich technisch sicherstellen, dass die Benutzer die kein Access bekommen, dieses auch nicht starten können.
Bei einer SAM Prüfung wird genau soetwas abgeprüft.
Ich kann jetzt jetzt und heute natürlich auf die access.exe die Berechtigungen setzten. Weitergedacht müsste man das für alle auffürbaren Dateien machen, was ziehmlich viel Handarbeit ist. Das gefällt mir nicht, da ich keine Lust habe für jede ausfürbahre Datei Berechtiungen zu vergeben.
Bei einer SAM Prüfung wird genau soetwas abgeprüft.
Ich kann jetzt jetzt und heute natürlich auf die access.exe die Berechtigungen setzten. Weitergedacht müsste man das für alle auffürbaren Dateien machen, was ziehmlich viel Handarbeit ist. Das gefällt mir nicht, da ich keine Lust habe für jede ausfürbahre Datei Berechtiungen zu vergeben.
Bei einer SAM Prüfung wird genau soetwas abgeprüft.
Ja? Da hinterfragt MS, wie Du eben dieses Szenario (Volumenlizenz-Software auf TS, bei dem nicht die gesamte Nutzerschaft Lizenzen für Office Pro Plus hat) gegen Missbrauch schützt? Wohl kaum. MS will, dass Office Pro Plus nur von Office Pro Plus Kunden genutzt wird, und nicht, dass Du einen Nutzerteil, der nur Office Home and Business oder was auch immer hat, an alles außer Access ranlässt und den anderen an alles.Aber gut, musst Du wissen. Du könntest es über Applocker lösen, dann kann man per Whitelist gruppengebunden Programme freigeben. Applocker gehört zu win2008 R2.
Applocker, glaube ich , hilft mehr weiter. Vielen Dank.
