Usern nur eingeschränkt den Zugang per Remote erlauben.

04/10/2007 - 21:06 von Matthias Kucinski | Report spam
Guten Tag,



ich möchte gerne einem User den Zugang per Remote auf seine Terminalsession
erlauben.

Die Plattform des Terminal Server ist ein Windows 2003 Standard Server mit
SP2.



HIER Kommen die Einschrànkung!



1.) Der User soll nicht aus seinem Home Verzeichnis herauskommen.

2.) Dateien sollen von Ihm nur in seinem Ordner Eigene Dateien gespeichert
werden dürfen.

3.) Benutzen dürfen soll er nur den Acrobat Reader.



Gibt es solche eine Richtlinien?

Wie und wo können diese Optionen gesetzt werden.

Wenn ja wie heißen diese?



Ich bedanke mich im Voraus für konstruktive Vorschlàge.



Mit freundlichen Grüßen Matthias Kucinski
 

Lesen sie die antworten

#1 Volker Overings
05/10/2007 - 15:32 | Warnen spam
Hallo,

"Matthias Kucinski" wrote:
ich möchte gerne einem User den Zugang per Remote auf seine Terminalsession
erlauben.
Die Plattform des Terminal Server ist ein Windows 2003 Standard Server mit
SP2.
HIER Kommen die Einschrànkung!



Bei www.gruppenrichtlinien.de gibt es ein paar gute Praxis Szenarien u. a.
mit einem Vorschlag zu "Highly Managed Kiosk User".

1.) Der User soll nicht aus seinem Home Verzeichnis herauskommen.

2.) Dateien sollen von Ihm nur in seinem Ordner Eigene Dateien gespeichert
werden dürfen.

3.) Benutzen dürfen soll er nur den Acrobat Reader.

Gibt es solche eine Richtlinien?

Wie und wo können diese Optionen gesetzt werden.

Wenn ja wie heißen diese?



Zunàchst einmal meinerseits der Vorschlag, eine alternative
Benutzeroberflàche für Windows festzulegen, da dies m. M. n. eine recht
einfache Methode darstellt, grosse Teile der Benutzerumgebung abzusichern. Im
Fall von Adobe Reader, welches der Anwender als einziges Programm starten
soll, wàre dies dann folgende GPO-Einstellung:

Benutzerkonfiguration --> Administrative Vorlagen --> System -->
Benutzerdefinierte Benutzerschnittstelle: Aktiviert --> Dateiname der
Schnittstelle: C:\Programme\Adobe\Reader 8.0\Reader\AcroRd32.exe

Um zu verhindern, dass andere Programme als die von Adobe gestartet werden
können, kannst Du bspw. mit einer Software Restriction arbeiten:

Benutzerkonfiguration --> Windows-Einstellungen --> Richtlinie für
Softwareeinschrànkung --> Sicherheitsstufen: Nicht erlaubt (Standard)

Benutzerkonfiguration --> Windows-Einstellungen --> Richtlinie für
Softwareeinschrànkung --> Zusàtzliche Regeln: Neue Pfadregel --> Pfad:
C:\Programme\Adobe\Reader 8.0\Reader\ --> Sicherheitsstufe: Nicht
eingeschrànkt

Um zu verhindern, dass in Adobe über den Befehl "Datei öffnen" noch weitere
als das gewünschte Verzeichnis "Eigene Dateien" angezeigt und verwendet
werden können, sollte in den GPO-Richtlinien der Zugriff auf "Alle Laufwerke"
beschrànkt werden und die Netzwerkumgebung ausgeblendet werden:

Benutzerkonfiguration --> Administrative Vorlagen --> Windows-Komponenten
Laufwerke einschrànken

Benutzerkonfiguration --> Administrative Vorlagen --> Windows-Komponenten
Laufwerke einschrànken

Benutzerkonfiguration --> Administrative Vorlagen --> Windows-Komponenten
"Netzwerkumgebung" anzeigen: aktiviert (verhindet, dass im Datei öffnen -
Dialogfenster von Adobe die Netzwerkfreigaben angezeigt werden)

Benutzerkonfiguration --> Administrative Vorlagen --> Windows-Komponenten
Standarddialogen ausblenden: aktiviert

Darüber hinaus sicherheitshalber den Ordner "Eigene Dateien" umleiten:

Benutzerkonfiguration --> Windows-Einstellungen --> Ordnerumleitung -->
Eigene Dateien --> Zielordner definieren, zu welchem der Ordner "Eigene
Dateien" umgeleitet werden soll.

Ferner würde ich bei Bedarf noch weitere Richtlinien aktivieren wie z. B.
die Option "Taskmanager entfernen".

Falls der Anwender die Verbindung trennt, sollte eine entsprechende
Richtlinie für getrennte Verbindungen dafür sorgen, dass die Sitzung nach
einer vorgegebenen Zeit (bspw. nach 1 Minute) beendet wird.

Letzten Endes hast Du hiermit für den speziellen Anwender mit wenigen
Einstellungen die Sitzungsumgebung relativ stark eingeschrànkt. Für
weitergehende Sicherheitsanforderungen sollten aber auf alle Fàlle sàmtliche
Gruppenrichtlinien auf ihre Relevanz hin überprüft und entsprechend
konfiguriert werden.

Für eine konstruktive Kritik zu diesem Lösungsvorschlag wàre ich ebenfalls
recht dankbar. ;-)

Gruss Volker

Ähnliche fragen