{"id":500,"date":"2014-11-17T11:07:07","date_gmt":"2014-11-17T10:07:07","guid":{"rendered":"https:\/\/blog.4-it.net\/?p=500"},"modified":"2014-11-17T11:12:13","modified_gmt":"2014-11-17T10:12:13","slug":"remote-desktop-server-terminal-server","status":"publish","type":"post","link":"https:\/\/blog.4-it.net\/?p=500","title":{"rendered":"Remote Desktop Server &#8211; Terminal Server"},"content":{"rendered":"<div>\n<div>\n<p class=\"bodytext\">Die Situation: Man m\u00f6chte, da\u00df der Benutzer spezielle Einstellungen, abh\u00e4ngig vom Computer an dem er sich anmeldet, \u00fcbernimmt. Klassische Beispiele sind in dem Fall: Terminal Server \/\u00a0Remote Desktop Services, Notebooks, Schulungsr\u00e4ume, Kiosksysteme, Messe PCs, Pr\u00e4sentationsmaschinen, Infoterminals\u00a0etc.<\/p>\n<\/div>\n<div><\/div>\n<div>\n<p class=\"bodytext\">Bei einem TS m\u00f6chte man in der Regel, da\u00df der Benutzer wesentlich restriktiver gehandhabt wird, als wenn er sich an seiner Workstation anmeldet und bei Notebooks ist es oftmals genau \u00a0das Gegenteil: Der Benutzer darf mehr, als an seiner festen Workstation. Am Ende kommt es auf die gleiche Situation hinaus. Ich ben\u00f6tige Richtlinien abh\u00e4ngig vom Computer.<\/p>\n<\/div>\n<div><\/div>\n<div>\n<p class=\"bodytext\">Das k\u00f6nnte man heute prima mit einem WMI Filter erreichen, der auf einer an der Benutzer OU verlinkten GPO eingesetzt wird und zB den dnsHostName abfragt. Dummerweise gab es diesen Filter unter Windows 2000 nicht. Deswegen gibt es den <a title=\"Loopbackverarbeitungsmodus \u2013 Loopback Processing Mode\" href=\"https:\/\/blog.4-it.net\/?p=502\" target=\"_blank\">Loopbackverarbeitungsmodus &#8211; Loopback Processing Mode<\/a><\/p>\n<\/div>\n<\/div>\n<div>\n<p class=\"bodytext\">G\u00fcnstigster Fall und Empfehlung an alle:<\/p>\n<\/div>\n<div class=\"align-left\">\n<ul>\n<li>Der Terminal Server ist KEIN Dom\u00e4nen Controller, er ist ein Memberserver der Dom\u00e4ne.<\/li>\n<li>Es existiert eine eigene OU, in der nur Computerkonten (~Objekte) sind, die diesem speziellem Konfigurationsanspruch unterliegen.<\/li>\n<li>W\u00e4re der TS ein Dom\u00e4nenController, w\u00fcrde bei ihm immer die Default Domain Controllers Policy angewendet werden, die uns an einigen Stellen behindern kann und evtl. eine ordentliche \u201eAbdichtung\u201c des Systems verbietet. Da der Administrator am DC am Ende noch arbeiten k\u00f6nnen muss.<\/li>\n<li>Zudem ist die Gefahrenlage auf einem DC wesentlich h\u00f6her, wenn er kompromitiert wird, als bei einem Memberserver. (Technisch l\u00e4uft die RDS Rolle einwandfrei auf dem DC, aber das Risiko ist gr\u00f6\u00dfer.)<\/li>\n<\/ul>\n<\/div>\n<p class=\"bodytext\">Schritt f\u00fcr Schritt Anleitung:<\/p>\n<ol>\n<li>Erstellung einer OU Remote Desktop Server, verschieben der TS\/RDS Server in die OU.<\/li>\n<li>Erstellung von 3 neuen\u00a0Richtlinien<br \/>\n&#8211; C_Loopback_merge<br \/>\n&#8211;\u00a0C_Anmelden_ueber_RDS_erlauben<br \/>\n&#8211; B_RDS_User_restriktiv<br \/>\nund verlinken diese an die OU Remote Desktop Server<\/li>\n<li>Erstellung einer neuen Sicherheitsgruppe: RDS_User. Der Administrator ist auf KEINEN FALL Mitglied dieser Gruppe. Es werden\u00a0nur die Benutzer Mitglied, die unsere restriktiven Einstellungen erhalten sollen.\u00a0Wenn diese Gruppe Mitglied der\u00a0GruppeRemoteDesktopBenutzer\u00a0ist\u00a0k\u00f6nnen wir den Schritt 5. ausfallen lassen, m\u00fcssen allerdings Schritt 7 ausf\u00fchren.<br \/>\n-&gt; Mit Gruppenverschachtelung: 5 weg, 7 hinzu<br \/>\n-&gt; Ohne\u00a0Gruppenverschachtelung: 5 hinzu, 7 weg<\/li>\n<li>Bearbeiten von C_Loopback_merge, damit aktivieren wir den Loopback.<br \/>\n<span class=\"kommentar\">Computerkonfiguration\\Administrative Vorlagen\\System\\Gruppenrichtlinien<br \/>\n\u201eLoopbackverarbeitungsmodus f\u00fcr Benutzergruppenrichtlinie\u201c = aktiviert<\/span>\u00a0(zusammenf\u00fchren)Ersetzen: Es gilt nur die Benutzerkonfiguration aus der OU &#8222;Remote Desktop Server&#8220;<br \/>\nZusammenf\u00fchren: Die Benutzerkonfiguration aus der OU &#8222;Remote Desktop Server&#8220; wird nachtr\u00e4glich, zu denen vom Benutzer &#8222;mitgebrachten&#8220; Einstellungen,\u00a0angewendet.<\/p>\n<p>Dieser ist erst nach einem gpupdate und Neustart des Servers aktiv.<\/li>\n<li>Bearbeiten von C_Anmelden_ueber_RDS_erlauben<br \/>\n<span class=\"kommentar\">Computerkonfiguration\\Richtlinien\\Windows-Einstellungen\\Sicherheitseinstellungen\\Lokale Richtlinien\\Zuweisen von Benutzerrechten<br \/>\n&#8222;Anmelden \u00fcber RemoteDesktopDienste zulassen&#8220;<br \/>\n<\/span>\u00a0-&gt;\u00a0RDS_User +\u00a0VORDEFINIERT\\Administratoren + RemoteDesktopbenutzer\u00a0hinzuf\u00fcgenWir m\u00fcssen unserer Gruppe das Recht geben sich \u00fcber die RemoteDesktopDienste an dem Server anzumelden, d\u00fcrfen aber nicht vergessen, die Administratoren zu integrieren und sollten die Standard Gruppe der RemoteDesktopBenutzer nicht vergessen.<\/li>\n<li>Ein Problem, des Loopbacks ist, da\u00df er sich auf alle Benutzer auswirkt, die sich am Server anmelden, also auch auf die Administratoren.<br \/>\nWir m\u00fcssen die\u00a0Richtlinie filtern und die\u00a0Sicherheitsberechtigungen der Richtlinie bearbeiten.<a title=\"Filtern von Gruppenrichtlinien anhand von Benutzergruppen, WMI und Zielgruppenadressierung\" href=\"https:\/\/blog.4-it.net\/?p=505\" target=\"_blank\">Filtern von Gruppenrichtlinien anhand von Benutzergruppen, WMI und Zielgruppenadressierung<\/a><\/p>\n<ol>\n<li>Richtlinie B_RDS_User_Restriktiv\u00a0ausw\u00e4hlen und den Reiter Delegierung\u00a0w\u00e4hlen<\/li>\n<li>Auf dem Reiter Delegierung -&gt; unten rechts -&gt; Schaltfl\u00e4che Erweitert anklicken<\/li>\n<li>Authentifizierte Benutzer\u00a0ausw\u00e4hlen -&gt; Das Recht\u00a0Gruppenrichtlinie \u00fcbernehmenentfernen (Haken raus)<img loading=\"lazy\" decoding=\"async\" src=\"http:\/\/www.gruppenrichtlinien.de\/fileadmin\/user_upload\/bilder\/RDS_TS_01.png\" alt=\"\" width=\"377\" height=\"470\" \/><\/li>\n<li>RDS_User hinzuf\u00fcgen\u00a0-&gt; Das Recht\u00a0Gruppenrichtlinie \u00fcbernehmengeben\/hinzuf\u00fcgen (Haken rein)<img loading=\"lazy\" decoding=\"async\" src=\"http:\/\/www.gruppenrichtlinien.de\/fileadmin\/user_upload\/bilder\/RDS_TS_02.png\" alt=\"\" width=\"377\" height=\"470\" \/><\/li>\n<\/ol>\n<\/li>\n<li>Da wir mit einer eigenen Sicherheitsgruppe arbeiten anstelle der RemoteDesktopBenutzerund die Gruppe RDS_USer\u00a0nicht Mitglied der Gruppe ist, fehlt ihnen noch das Recht am\u00a0 RDP Protokoll selbst. Der einfachste Weg dorthin:Systemsteuerung\\System\\Remoteeinstellungen -&gt; Benutzer ausw\u00e4hlen -&gt; RDS_Userhinzuf\u00fcgen\n<p><img loading=\"lazy\" decoding=\"async\" src=\"http:\/\/www.gruppenrichtlinien.de\/fileadmin\/user_upload\/bilder\/RDS_TS_03.png\" alt=\"\" width=\"420\" height=\"475\" \/><\/li>\n<li>Bearbeiten der Benutzerkonfiguration aus in der\u00a0Richtlinie B_RDS_User_restriktiv nach belieben.<\/li>\n<\/ol>\n<p class=\"bodytext\">Was sollte konfiiguriert werden?<\/p>\n<p>Eine Hilfestellung bietet dieser alte Artikel f\u00fcr den Server 2003. Ansatzweise kann man ihn\u00a0noch ganz gut auf den 2008 R2 anwenden. Beim 2012 sind schon diverser Punkte zur Oberfl\u00e4chenkonfiguration \u00fcberholt, da es das Startmen\u00fc in der Form garnicht mehr gibt.<\/p>\n<p>Locking Down Windows Server 2003 Terminal Server Sessions<br \/>\n<a class=\"external-link-new-window\" title=\"\u00d6ffnet externen Link in neuem Fenster\" href=\"http:\/\/www.microsoft.com\/en-us\/download\/details.aspx?id=1211\" target=\"_blank\">http:\/\/www.microsoft.com\/en-us\/download\/details.aspx?id=12117<\/a><\/p>\n<p>Aktivierung folgender Richtlinien werden darin empfohlen:<\/p>\n<p>[Computerkonfiguration\\Administrative Vorlagen\\System\\Gruppenrichtlinien]<br \/>\n&#8211; Loopbackverarbeitungsmodus f\u00fcr Benutzergruppenrichtlinie<\/p>\n<p>[Computerkonfiguration\\WindowsEinstellungen\\Sicherheitseinstellungen\\Lokale Richtlinien\\Sicherheitsoptionen]<br \/>\n&#8211; Ger\u00e4te: Zugriff auf CD-ROM Laufwerke auf lokale angemeldete Benutzer beschr\u00e4nken<br \/>\n&#8211; Ger\u00e4te: Zugriff auf Diskettenlaufwerke auf lokale angemeldete Benutzer beschr\u00e4nken<br \/>\n&#8211; Interaktive Anmeldung: Letzten Benutzernamen nicht anzeigen<\/p>\n<p>[Computerkonfiguration\\Administrative Vorlagen\\Windowskomponenten\\Windows Installer]<br \/>\n&#8211; Deaktiviere Windows Installer<\/p>\n<p>[Benutzerkonfiguration\\Windowseinstellungen\\Ordnerumleitung]<br \/>\n&#8211; Anwendungsdaten<br \/>\n&#8211; Desktop<br \/>\n&#8211; Eigene Dateien<br \/>\n&#8211; Startmen\u00fc<\/p>\n<p>[Benutzerkonfiguration\\Administrative Vorlagen\\Windowskomponenten\\Windows Explorer]<br \/>\n&#8211; Blendet den Men\u00fc-Eintrag &#8222;Verwalten&#8220; im Windows Explorer-Kontextmen\u00fc aus<br \/>\n&#8211; Diese angegebenen Datentr\u00e4ger im Fenster &#8222;Arbeitsplatz&#8220; ausblenden<br \/>\n&#8211; Optionen &#8222;Netzwerklaufwerk verbinden&#8220; und &#8222;Netzwerklaufwerk trennen&#8220; entfernen<br \/>\n&#8211; Registerkarte &#8222;Hardware&#8220; ausbelnden<br \/>\n&#8211; Schaltfl\u00e4che &#8222;Suchen&#8220; aus Windows Explorer entfernen<br \/>\n&#8211; Standardkontextmen\u00fc des Windows Explorers entfernen<br \/>\n&#8211; Zugriff auf Laufwerke vom Arbeitsplatz nicht zulassen<\/p>\n<p>[Benutzerkonfiguration\\Administrative Vorlagen\\Windowskomponenten\\Taskplaner]<br \/>\n&#8211; Ausf\u00fchren und Beenden von einem Tasks verhindern<br \/>\n&#8211; Erstellen von neuen Tasks nicht zulassen<\/p>\n<p>[Benutzerkonfiguration\\Administrative Vorlagen\\Startmen\u00fc und Taskleiste]<br \/>\n&#8211; &#8222;Netzwerkverbindungen&#8220; aus dem Startmen\u00fc entfernen<br \/>\n&#8211; \u00c4ndern der Einstellungen f\u00fcr die Taskleiste und das Startmen\u00fc verhindern<br \/>\n&#8211; Befehl &#8222;Herunterfahren&#8220; entfernen und Zugriff darauf verweigern<br \/>\n&#8211; Men\u00fc &#8222;Suchen&#8220; aus dem Startmen\u00fc entfernen<br \/>\n&#8211; Men\u00fceintrag &#8222;Hilfe&#8220; aus dem Startmen\u00fc entfernen<br \/>\n&#8211; Men\u00fceintrag &#8222;Ausf\u00fchren&#8220; aus dem Startmen\u00fc entfernen<br \/>\n&#8211; Option &#8222;Abmelden&#8220; dem Startmen\u00fc hinzuf\u00fcgen<br \/>\n&#8211; Programme im Men\u00fc &#8222;Einstellungen&#8220; entfernen<br \/>\n&#8211; Standardprogrammgruppen aus dem Startmen\u00fc entfernen<br \/>\n&#8211; Verkn\u00fcpfung und Zugriff auf Windows-Update entfernen<\/p>\n<p>[Benutzerkonfiguration\\Administrative Vorlagen\\Desktop]<br \/>\n&#8211; Desktopsymbol &#8222;Netzwerkumgebung&#8220; ausblenden<br \/>\n&#8211; Pfad\u00e4nderung f\u00fcr den Ordner &#8222;Meine Dateien&#8220; nicht zulassen<\/p>\n<p>[Benutzerkonfiguration\\Administrative Vorlagen\\Systemsteuerung]<br \/>\n&#8211; Zugriff auf Systemsteuerung nicht zulassen<\/p>\n<p>[Benutzerkonfiguration\\Administrative Vorlagen\\System]<br \/>\n&#8211; Zugriff auf Eingabeaufforderung verhindern (F\u00fcr Scriptverarbeitung: Nein einstellen)<br \/>\n&#8211; Zugriff auf Programme zum Bearbeiten der Registrierung verhindern<\/p>\n<p>[Benutzerkonfiguration\\Administrative Vorlagen\\System\\Strg+Alt+Entf-Optionen]<br \/>\n&#8211; Sperren des Computers entfernen<br \/>\n&#8211; Task-Manager entfernen<\/p>\n<pre>Quelle:\u00a0<a href=\"http:\/\/www.gruppenrichtlinien.de\/artikel\/remote-desktop-server-terminal-server\/\" target=\"_blank\">http:\/\/www.gruppenrichtlinien.de\/artikel\/remote-desktop-server-terminal-server\/<\/a><\/pre>\n","protected":false},"excerpt":{"rendered":"<p>Die Situation: Man m\u00f6chte, da\u00df der Benutzer spezielle Einstellungen, abh\u00e4ngig vom Computer an dem er sich anmeldet, \u00fcbernimmt. Klassische Beispiele sind in dem Fall: Terminal Server \/\u00a0Remote Desktop Services, Notebooks, Schulungsr\u00e4ume, Kiosksysteme, Messe PCs, Pr\u00e4sentationsmaschinen, Infoterminals\u00a0etc. Bei einem TS m\u00f6chte man in der Regel, da\u00df der Benutzer wesentlich restriktiver gehandhabt wird, als wenn er sich [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[4,5,6,27],"tags":[],"class_list":["post-500","post","type-post","status-publish","format-standard","hentry","category-betriebssysteme","category-windows-server-2003","category-windows-server-2008","category-windows-server-2012"],"_links":{"self":[{"href":"https:\/\/blog.4-it.net\/index.php?rest_route=\/wp\/v2\/posts\/500","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.4-it.net\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.4-it.net\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.4-it.net\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.4-it.net\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=500"}],"version-history":[{"count":3,"href":"https:\/\/blog.4-it.net\/index.php?rest_route=\/wp\/v2\/posts\/500\/revisions"}],"predecessor-version":[{"id":508,"href":"https:\/\/blog.4-it.net\/index.php?rest_route=\/wp\/v2\/posts\/500\/revisions\/508"}],"wp:attachment":[{"href":"https:\/\/blog.4-it.net\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=500"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.4-it.net\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=500"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.4-it.net\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=500"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}