none
Gruppenrichtlinie Laufwerke Zugriff verbieten bis auf Eigene Dateien RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo liebe Leute,

    leider komme ich momentan bei der Konfiguration einer AD nicht weiter. Ich muss dazu sagen, dass ich auf dem Gebiet absoluter Neuling bin.

    Folgendes ist vorhanden:

    Windows Server 2012 als AD und gleichzeitiger Terminal Server. (Ich weiß das sollte man nicht zusammen tun aber ist nun mal so)

    Folgendes soll erreicht werden.

    Benutzer sollen sich via RemoteDesktop amTerminalServer anmelden und Ihre auf dem Desktop zur Verfügung gestelllte Software starten können.

    Dazu soll der Benutzer auf seine Eigene Dateien zugreifen dürfen aber wiederum kein Zugriff auf alle anderen Laufwerke des Servers haben (auch nicht auf C wo ja die Eigenen Dateien liegen). Und der Benutzer darf nichts installieren.

    Aktueller Stand:

    Anmeldung via RDP funktioniert.

    Zugriff auf die Laufwerke sind verweigert.

    Software kann nicht installiert werden.

    Programme können gestartet werden.

    Was noch fehlt:

    Zugriff auf Eigene Dateien.

    Kann mir vielleicht jemand sagen, was ich machen muss?

    Danke und liebe Grüße

    Donnerstag, 18. Februar 2016 10:59
    |

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden
    Hi,
     
    Am 18.02.2016 um 11:59 schrieb DJK09:
    > Dazu soll der Benutzer auf seine Eigene Dateien zugreifen dürfen aber
    > wiederum kein Zugriff auf alle anderen Laufwerke des Servers haben (auch
    > nicht auf C wo ja die Eigenen Dateien liegen).
     
    Das geht mit NTFS Berechtigungen. "Sehen" ist kein Problem.
    Kein Zugriff geht nicht. Programme starten von dort ...
     
    > Und der Benutzer darf
    > nichts installieren.
     
    Das ist ja einfach: Er ist nicht in der Gruppe der Administratoren und
    mit AppLocker baust du eine reine Whitelist der erlaubten Pfade für
    ausführbare Dateien. In diesen hat dann der User nur "lesen/ausführen"
    -> siehe program files und systemroot
     
    > Zugriff auf die Laufwerke sind verweigert.
     
    Das solltest du rausnehmen. "NoDrives" (Ausblenden) ist ok, aber
    "NoViewOndrives" verursacht FolgeFehler.
     
    Nutze die Ordnerumleitung und leite die Eigenen Datein um.
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Windows Server - Group Policy
     
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter
     
    Donnerstag, 18. Februar 2016 11:58
    |
  • Question
    Anmelden
    0
    Anmelden

    Der Benutzer soll ja auch nicht den inhalt von Ordnern auf dem Laufwerk sehen. Was für ein NTFS Recht soll ich denn setzen dass er das Laufwerk nicht sehen kann?

    Gibt es für NoDrives eine Gruppenrichtlinie?

    Donnerstag, 18. Februar 2016 14:08
    |
  • Question
    Anmelden
    0
    Anmelden
    Hi,
     
    Am 18.02.2016 um 15:08 schrieb DJK09:
    > Der Benutzer soll ja auch nicht den inhalt von Ordnern auf dem Laufwerk
    > sehen.
     
    Deswegen schrieb ich "sehen" ist kein Problem. Schreibender ist es. oder
    der lesende Zugriff auf andere User Ordner. Den Zugriff auf die
    Userprofiles reglementiert das OS aber schon seit Windows 2000.
     
    Ob der User c:\programfiles oder c:\windows sieht oder nicht ist total
    egal und sicherheitsirrelevant.
     
    > Gibt es für NoDrives eine Gruppenrichtlinie?
     
    -> Dieselbe Category: Diese Laufwerke ... ausblenden.
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Windows Server - Group Policy
     
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter
     
    Donnerstag, 18. Februar 2016 15:17
    |