Zwischenablage bei RDP verbieten für non AD PCs
Hallo zusammen,
wir haben aktuell folgendes Problem.
Wir haben einen externen Consulter, welcher von uns einen VPN Zugang (Forti VPN) ins interne Netz bekommt.
Es verbindet sich also mit seinem "privaten / office" PC per VPN in unser Netz und connected dann per RDP auf einen internen Server.
Wir würde nun gerne unterbinden, dass der Consulter zwischen lokalem PC und der RDP Session die Zwischenablage nutzen kann (Strg+C - Strg+V).
Dies ließe sich ja generell per GPO auf dem Server regeln
--> “Computer Configuration” > “Administrative Templates” > “Windows Components” > “Remote Desktop Services” > “Remote Desktop Session Host“ > “Do not allow Clipboard redirection”
Problem ist aber, dass diese Einstellung natürlich dann generell die Zwischenablage bei RDP auf dem Server verbietet, was also auch z.B. die interne AD-Administration betrifft.
Gibt es eine Möglichkeit die Beschränkung nur auf non AD PC einzuschränken?
Oder hat jemand eine andere Lösung?
Besten Dank
wir haben aktuell folgendes Problem.
Wir haben einen externen Consulter, welcher von uns einen VPN Zugang (Forti VPN) ins interne Netz bekommt.
Es verbindet sich also mit seinem "privaten / office" PC per VPN in unser Netz und connected dann per RDP auf einen internen Server.
Wir würde nun gerne unterbinden, dass der Consulter zwischen lokalem PC und der RDP Session die Zwischenablage nutzen kann (Strg+C - Strg+V).
Dies ließe sich ja generell per GPO auf dem Server regeln
--> “Computer Configuration” > “Administrative Templates” > “Windows Components” > “Remote Desktop Services” > “Remote Desktop Session Host“ > “Do not allow Clipboard redirection”
Problem ist aber, dass diese Einstellung natürlich dann generell die Zwischenablage bei RDP auf dem Server verbietet, was also auch z.B. die interne AD-Administration betrifft.
Gibt es eine Möglichkeit die Beschränkung nur auf non AD PC einzuschränken?
Oder hat jemand eine andere Lösung?
Besten Dank
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 2412376462
Url: https://administrator.de/forum/zwischenablage-bei-rdp-verbieten-fuer-non-ad-pcs-2412376462.html
Ausgedruckt am: 22.12.2024 um 15:12 Uhr
8 Kommentare
Neuester Kommentar
Du könntest einen eigenen RD-Session Host für solche Benutzer betreiben. Darüber habe ich auch schon nachgedacht, bin aber noch zu keiner Entscheidung in der Sache gekommen.
Für einen User ist das natürlich lästig, könnte aber dennoch sinnvoll sein z.B. eine eigene RD-Sammlung für Dienstleister anzulegen.
Für einen User ist das natürlich lästig, könnte aber dennoch sinnvoll sein z.B. eine eigene RD-Sammlung für Dienstleister anzulegen.
Moin,
Und der Loopbackmodus funktioniert nicht?
https://www.gruppenrichtlinien.de/artikel/loopbackverarbeitungsmodus-loo ...
Warum eigentlich das verhindern der Nutzung der Zwischenablage? Will der Consultant was kopieren, nutzt er irgendwelche Webmailer o.ä. Oder darf er vom RDS auch keinen WebTraffic nutzen?
Habt ihr „Bammel“, dass er (sensible) Daten veruntreuen könnte? Oder dient es, als eines der vielen Elemente, zum Schutze von Cyberangriffen?
Gruß
em-pie
Und der Loopbackmodus funktioniert nicht?
https://www.gruppenrichtlinien.de/artikel/loopbackverarbeitungsmodus-loo ...
Warum eigentlich das verhindern der Nutzung der Zwischenablage? Will der Consultant was kopieren, nutzt er irgendwelche Webmailer o.ä. Oder darf er vom RDS auch keinen WebTraffic nutzen?
Habt ihr „Bammel“, dass er (sensible) Daten veruntreuen könnte? Oder dient es, als eines der vielen Elemente, zum Schutze von Cyberangriffen?
Gruß
em-pie
Hast Recht, Loopback alleine ist quatsch... war schon spät -.-
Du kannst deine obige Computerbasierte GPO aber auch in die USer-Gruppe packen:
Diese GPO hat dann in der SIcherheitsfilterung eine Gruppe "grp_consultants" hinterlegt, in der du dann alle externen hinzufügen kannst.
Das sollte dann eigentlich funktionieren...
https://kb.parallels.com/123625
Gruß
em-pie
Du kannst deine obige Computerbasierte GPO aber auch in die USer-Gruppe packen:
User Configuration Policies > Administrative Templates > Windows Components > Remote Desktop Services > Remote Desktop Session Host > Device and Resource a Redirection: Do not allow Clipboard redirection - enabled
Das sollte dann eigentlich funktionieren...
https://kb.parallels.com/123625
Gruß
em-pie
Ich hatte auch an Loop Back gedacht aber das funktioniert nicht. Genau das Problem hatte ich vor ein paar Tagen auch, man kann keine Computer-GPO abhängig vom angemeldeten Nutzer greifen oder nicht greifen lassen. Die Computer-GPO wird entweder auf den gesamten Computer angewandt oder nicht aber nicht nur innerhalb eines User-Kontextes geladen.
Computer-GPO auf User filtern
Wenn die GPO auch als User-GPO existiert ist das natürlich optimal, das ist dann kein Problem mehr.
Computer-GPO auf User filtern
Wenn die GPO auch als User-GPO existiert ist das natürlich optimal, das ist dann kein Problem mehr.