none
Zugriff auf C:\ per GPO auf RDP Server gesperrt - sind Ausnahmen möglich? RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo zusammen,

    ich habe folgendes Problem. Auf unseren neuen 2008R2 RDP Servern ist der Zugriff auf C:\ per GPO gesperrt und die Laufwerke auch ausgeblendet. Soweit alles gut.

    Wenn die User nun eine xls, doc, ppt aus einer Mail öffnen und diesen dann über "speichern unter..." abspeichern wollten, erhalten sie die Fehlermeldung das sie keinen Zugriff auf C:\ haben und müssen dies mit OK bestätigen. Danach können sie den Speicherort auswählen.

    Das ist natürlich unschön und liegt daran, dass unser Mail Programm (David FX12 :-/ )alle Anhänge unter %userprofile%\appdata\local\temp\$$dv$$ abspeichert. Beim klick auf speichern bzw. speichern unter öffnet dann Office 2010 erstmal diesen Ordner und die Meldung erscheint.

    Meine Frage wäre nun, ist es möglich den Zugriff auf C:\ weiterhin zu verbieten und nur das Userprofil für die User freizugeben?

    Die andere Möglichkeit wäre natürlich, im Mail Programm zu hinterlegen das die Anhänge temporär nicht unter dem Userprofile geöffnet werden sollen aber da habe ich noch keine Möglichkeit gefunden dies zu ändern.

    Im schlimmsten Fall müssten wir wohl den appdata Ordner umleiten, was ich aber nicht so gerne machen würde.

    Für Hilfe wäre ich sehr dankbar.

    Gruß,
    Steffen

    Montag, 13. Mai 2013 09:24
    |

Antworten

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden

    Am 13.05.2013 11:24, schrieb cameo13:

    Im schlimmsten Fall müssten wir wohl den appdata Ordner umleiten, was ich aber nicht so gerne machen würde.

    Du kannst auch %Temp% umleiten.
    -> GPP Environment oder per GPP Registry

    Oder anstelle "Zugriff auf Laufwerke ..." nur "Diese angegebenen Datenträger ..." verwenden.

    Es reicht, wenn die NTFS Rechte auf "C:" geändert werden, sodasss ein Benutzer dort nichts erstellen darf. Dann ist das Laufwerk "sicher".
    Unter XP/2003 gab es dafür die RootSec.inf, die kann man immer noch verwenden.

    Rootsec.inf
    http://windowinf.com/bbs/board.php?bo_table=windowinf&wr_id=903

    Vorher anschauen und ggfs. die rootsec anpassen:
    http://www.gruppenrichtlinien.de/artikel/offline-sicherheitsrichtlinien-editieren-erstellen-einer-eigenen-sicherheitsvorlage/

    Tschö
    Mark

    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter

    • Als Antwort markiert cameo13 Montag, 13. Mai 2013 14:02
    Montag, 13. Mai 2013 09:40
    |
  • Question
    Anmelden
    0
    Anmelden

    Danke Mark! Werde damit sicherlich eine Lösung finden.

    EDIT: Aber eine Frage stellt sich mir noch, was genau ist diese rootsec.inf? Kann mir darunter nichts vorstellen - dein Artikel auf gruppenrichtlinien.de hat für mich keinerlei Verbindung zu der rootsec.inf :-)

    Kann man die NTFS Berechtigung auf den RDP Servern nicht einfach manuell anpassen :-)

    • Bearbeitet cameo13 Montag, 13. Mai 2013 14:14
    Montag, 13. Mai 2013 14:03
    |
  • Question
    Anmelden
    0
    Anmelden

    Am 13.05.2013 16:03, schrieb cameo13:

    EDIT: Aber eine Frage stellt sich mir noch, was genau ist diese
    rootsec.inf? Kann mir darunter nichts vorstellen - dein Artikel auf
    gruppenrichtlinien.de hat für mich keinerlei Verbindung zu der
    rootsec.inf :-)

    Doch, es ist egal ob du eine "eigene" INF datei baust, oder eine vorhanden nimmst.

    Kann man die NTFS Berechtigung auf den RDP Servern nicht einfach
    manuell anpassen :-)

    Klar kann man. Macht man aber bei 150 Servern nicht.

    Tschö
    Mark

    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter

    Montag, 13. Mai 2013 14:49
    |