none
User (OE) -beschränkung über GPO RRS feed

  • Frage

  • Hallo Gruppe,

    wir haben einen SBS2011 und W7(64Bit) Rechner im Einsatz.
    Für unsere Buchhaltung bekommt der Buchhalter einen RDP Zugriff auf einen eigenen virtuellen Rechner.
    Der entsprechende User liegt in einer eigenen Organisationseinheit.

    Kann mir jemand verraten wie ich dieser OE "alle" Rechte nehmen kann damit er im Netzwerk nichts anstellen kann und nur seine Buchhaltungssoftware bedienen kann?

    Die Softwareverknüpfung habe ich auf den Desktop gelegt.
    Der User sollte außer der Buchhaltungssoftware noch die Möglichkeit haben auf seinen lokalen Drucker zu drucken.

    Die Druckerverknüpfung funktioniert derzeit nicht einmal wenn ich den User aus der OE rausnehme und Adminrechte gebe.

    Vielleicht hat jemand ne Idee wo ich da an den GPO rumdrehen muss?

    Danke Daniel

    Dienstag, 25. März 2014 11:46

Antworten

  • Am 25.03.2014 schrieb Daniel_999:

    wir haben einen SBS2011 und W7(64Bit) Rechner im Einsatz.
    Für unsere Buchhaltung bekommt der Buchhalter einen RDP Zugriff auf einen eigenen virtuellen Rechner.
    Der entsprechende User liegt in einer eigenen Organisationseinheit.

    Kann mir jemand verraten wie ich dieser OE "alle" Rechte nehmen kann damit er im Netzwerk nichts anstellen kann und nur seine Buchhaltungssoftware bedienen kann?

    Du kannst ihn aus der Gruppe der Domänenbenutzer löschen.

    Die Softwareverknüpfung habe ich auf den Desktop gelegt.
    Der User sollte außer der Buchhaltungssoftware noch die Möglichkeit haben auf seinen lokalen Drucker zu drucken.

    Installiere den lokalen Drucker als Admin. Und in einer RDP-Sitzung
    kannst Du den Drucker vom Client aus mitnehmen. In den Eigenschaften
    der RDP-Verbindung mußt Du das aktivieren.


    Servus
    Winfried

    Gruppenrichtlinien
    WSUS Package Publisher
    HowTos zum WSUS Package Publisher
    NNTP-Bridge für MS-Foren

    Dienstag, 25. März 2014 12:15
  • Hi,

    Am 25.03.2014 12:46, schrieb Daniel_999:

    Kann mir jemand verraten wie ich dieser OE "alle" Rechte nehmen kann
    damit er im Netzwerk nichts anstellen kann und nur seine
    Buchhaltungssoftware bedienen kann?

    a) er ist kein lokaler Admin
    b) das OS ist damit "sicher". Der Anwender kann nichts verändern, was
    dem System schadet
    c) Änderungen an anderen Daten/Dateien? Das liegt an DEINEN
    berechtigungen, die du im Ziel, zB einer Freigabe definiert hast.
    WEnn der Anwender da ändern darf, dann darf er das. Du musst das am Ziel
    ändern, auf das er zugreift.
    Der Benutzer bringt keine Rechte mit. Er ist nur Mitglied in div.
    Sicherheitsgruppen und diese sind an den Zielen eingetragen mit den
    Rechten, die du vergibst.
    d) Gruppenrichtlinien blenden weitere Funktionen aus. Stichwort Kiosk
    Modus, da gibt es div. Schablonen, keine funkioniert out-of-the-box
    Du musst sie anpassen, aber als Vorlage taugt es schon mal.
    e) evtl. die Explorer Shell durch eine Alternative ersetzen, zB nu2menu

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage: http://www.gruppenrichtlinien.de - deutsch
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter

    Dienstag, 25. März 2014 12:25

Alle Antworten

  • Am 25.03.2014 schrieb Daniel_999:

    wir haben einen SBS2011 und W7(64Bit) Rechner im Einsatz.
    Für unsere Buchhaltung bekommt der Buchhalter einen RDP Zugriff auf einen eigenen virtuellen Rechner.
    Der entsprechende User liegt in einer eigenen Organisationseinheit.

    Kann mir jemand verraten wie ich dieser OE "alle" Rechte nehmen kann damit er im Netzwerk nichts anstellen kann und nur seine Buchhaltungssoftware bedienen kann?

    Du kannst ihn aus der Gruppe der Domänenbenutzer löschen.

    Die Softwareverknüpfung habe ich auf den Desktop gelegt.
    Der User sollte außer der Buchhaltungssoftware noch die Möglichkeit haben auf seinen lokalen Drucker zu drucken.

    Installiere den lokalen Drucker als Admin. Und in einer RDP-Sitzung
    kannst Du den Drucker vom Client aus mitnehmen. In den Eigenschaften
    der RDP-Verbindung mußt Du das aktivieren.


    Servus
    Winfried

    Gruppenrichtlinien
    WSUS Package Publisher
    HowTos zum WSUS Package Publisher
    NNTP-Bridge für MS-Foren

    Dienstag, 25. März 2014 12:15
  • Hi,

    Am 25.03.2014 12:46, schrieb Daniel_999:

    Kann mir jemand verraten wie ich dieser OE "alle" Rechte nehmen kann
    damit er im Netzwerk nichts anstellen kann und nur seine
    Buchhaltungssoftware bedienen kann?

    a) er ist kein lokaler Admin
    b) das OS ist damit "sicher". Der Anwender kann nichts verändern, was
    dem System schadet
    c) Änderungen an anderen Daten/Dateien? Das liegt an DEINEN
    berechtigungen, die du im Ziel, zB einer Freigabe definiert hast.
    WEnn der Anwender da ändern darf, dann darf er das. Du musst das am Ziel
    ändern, auf das er zugreift.
    Der Benutzer bringt keine Rechte mit. Er ist nur Mitglied in div.
    Sicherheitsgruppen und diese sind an den Zielen eingetragen mit den
    Rechten, die du vergibst.
    d) Gruppenrichtlinien blenden weitere Funktionen aus. Stichwort Kiosk
    Modus, da gibt es div. Schablonen, keine funkioniert out-of-the-box
    Du musst sie anpassen, aber als Vorlage taugt es schon mal.
    e) evtl. die Explorer Shell durch eine Alternative ersetzen, zB nu2menu

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage: http://www.gruppenrichtlinien.de - deutsch
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter

    Dienstag, 25. März 2014 12:25