Kann man Batchaufrufe verhindern und trotzdem Loginscripts ermöglichen?

30/08/2007 - 10:28 von Jörg Dreher | Report spam
Hallo NG,

die Benutzer eines Terminalservers sollen keine DOS Kommandos ausführen
dürfen. Das geht über die Richtlinie "Zugriff auf Eingabeaufforderung
verhindern".

Das Schreiben und Ausführen von Batchdateien funktioniert danach aber immer
noch, solange nicht die Skriptverarbeitung nicht deaktiviert wurde, dessen
Aktivierung dann aber die Abarbeitung der erforderlichen Loginscripts
verhindert.

Gibt es da einen Ausweg?

...googlen hat leider nichts gebracht...

Gruß Jörg
 

Lesen sie die antworten

#1 Mark Heitbrink [MVP]
30/08/2007 - 10:46 | Warnen spam
Hi,

Jörg Dreher schrieb:
die Benutzer eines Terminalservers sollen keine DOS Kommandos ausführen
dürfen. Das geht über die Richtlinie "Zugriff auf Eingabeaufforderung
verhindern".



Nö. Damit verhinderst du nur die cmd.exe, command.com ist weiterhin
erreichbar und funktionell und wer mit 8.3 zurecht kommt kann immer
noch machen, was er will.

Das Schreiben und Ausführen von Batchdateien funktioniert danach aber immer
noch, solange nicht die Skriptverarbeitung nicht deaktiviert wurde, dessen
Aktivierung dann aber die Abarbeitung der erforderlichen Loginscripts
verhindert. Gibt es da einen Ausweg?



Nein, es ist ein entweder/oder.
Aber was soll schon groß passieren, wenn sie "batchen" dürfen? Um Schaden
anzurichten müssen sie immer noch über die notwendigen Rechte verfügen.

Die Lösung ist keine Gruppenrichtlinie, sondern eine passende Klausel
im Arbeitsvertrag. Wer die TS Umgebung veràdndert -> Abmahnung. Bei
der 2ten Änderung -> Kündigung.

Tschö
Mark
Mark Heitbrink - MVP Windows Server - Group Policy

Homepage: www.gruppenrichtlinien.de - deutsch
Blog: gpupdate.spaces.live.com - english

Ähnliche fragen