Office auf Terminalserver nur bestimmten Benutzer erlauben

Hallo Leute,

ich möchte die Benutzung eines auf dem Terminalserver installieren
Office-Paketes einschränken; das Officepaket soll nur durch einen bestimmten
Nutzer benutzt werden dürfen!

Geht das und kann ich das auf andere Anwendungen ausdehnen?

Danke sehr!

Liebe Grüße
SP

Hallo,

auf Umwegen geht das. Was für ein Betriebssystem hat der TS? Sollte es
2003 sein, dann könntest Du "Software Restriction Policies" einsetzen.
Erstelle eine Richtlinie, wo die Ausführung von Office komplett für
alle Benutzer gesperrt wird. Diese Richtlinie bindest Du an die TS OU
und aktivierst den LBVM. Über die Sicherheitsfilterung der
Gruppenrichtlinie verweigerst Du dem einen Benutzer die Übernahme der
Richtlinie. Perspektivisch wäre es noch besser, Du legst eine lokale
Gruppe "Office" auf dem TS an. Dann kannst Du der Gruppe "Office" die
Übernahme verweigern. Dadurch kannst Du für einen weiteren Benutzer die
Ausführung von Office erlauben. Du brauchst dafür nur diesen Benutzer
zum Mitglied der Gruppe "Office" machen.

Wie "Software Restriction Poicies" funktionieren steht hier:
http://technet.microsoft.com/en-us/l.../bb457006.aspx

--
Viele Grüße
Frank Röder
MVP Windows Server System - Directory Services
"Ex oriente lux"

Hallo Frank,

lieben Dank für die schnelle Hilfe.

nun habe ich die Softwareeinschränkungen aktiviert auf dem Terminalserver
und es werden die angegebenen Programme mit dem Schlüssel "Pfad" auch nicht
mehr gestartet.

Nun ist der Terminalserver ein Mitgliedsserver des Domänencontrollers. Wenn
ich nun die Softwareeinschränkungen in die Gruppenpolicy des
Domänencontrollers übernehme, kann ja keiner mehr auf sein Office zugreifen.

Wie mache ich es denn, dass ein oder zwei User das Office auf dem
Terminalserver starten können und alle anderen aber lokal von Ihren Rechnern
auch?

Lieben Dank nochmal

SP

Oder soll ich in der Gruppenpolicy
"Frank Röder [MVP]" <heidenau@web.de> schrieb im Newsbeitrag
news:C7FF83DA-676C-46D9-9D01-90186A2278F2@microsoft.com...
> Hallo,
>
> auf Umwegen geht das. Was für ein Betriebssystem hat der TS? Sollte es
> 2003 sein, dann könntest Du "Software Restriction Policies" einsetzen.
> Erstelle eine Richtlinie, wo die Ausführung von Office komplett für alle
> Benutzer gesperrt wird. Diese Richtlinie bindest Du an die TS OU und
> aktivierst den LBVM. Über die Sicherheitsfilterung der Gruppenrichtlinie
> verweigerst Du dem einen Benutzer die Übernahme der Richtlinie.
> Perspektivisch wäre es noch besser, Du legst eine lokale Gruppe "Office"
> auf dem TS an. Dann kannst Du der Gruppe "Office" die Übernahme
> verweigern. Dadurch kannst Du für einen weiteren Benutzer die Ausführung
> von Office erlauben. Du brauchst dafür nur diesen Benutzer zum Mitglied
> der Gruppe "Office" machen.
>
> Wie "Software Restriction Poicies" funktionieren steht hier:
> http://technet.microsoft.com/en-us/l.../bb457006.aspx
>
> --
> Viele Grüße
> Frank Röder
> MVP Windows Server System - Directory Services
> "Ex oriente lux"

Hallo,

> Nun ist der Terminalserver ein Mitgliedsserver des
> Domänencontrollers. Wenn ich nun die Softwareeinschränkungen in die
> Gruppenpolicy des Domänencontrollers übernehme, kann ja keiner mehr
> auf sein Office zugreifen.

Das verstehe ich nicht ganz. Du musst im Active Directory eine neue
Organisationseinheit anlegen. In diese Organisationseinheit verschiebst
Du dann den TS. Mit dieser Organisationseinheit kannst Du anschließend
die Gruppenrichtlinie verknüpfen. Wenn Du das getan hast, musst Du in
den Eigenschaften den Benutzern bzw. Gruppen das Übernehmen der
Gruppenrichtlinie verweigern, die Office ausführen sollen. Zusätzlich
muss für diese Gruppenrichtlinie noch der Loopbackverarbeitungsmodus
aktiviert werden.

--
Viele Grüße
Frank Röder
MVP Windows Server System - Directory Services
"Ex oriente lux"

Hallo,

okay, vielen Dank!

Wenn ich nun den Terminalserver aus der Rubrik "Computer" in die frisch
erstellte OU "Terminalserver" verschiebe, hat dass dann besondere
Auswirkungen auf die Anmeldung anderer User in der Haupt-OU oder ist es im
Endeffekt egal, unter welcher Option der Terminalserver steht (Er ist
Mitgliedsserver der AD-Domäne)?

Lieben Dank!

SP

"Frank Röder [MVP]" <heidenau@web.de> schrieb im Newsbeitrag
news:FA280E7F-12E0-4C2F-8854-EE13EB671E7D@microsoft.com...
> Hallo,
>
>> Nun ist der Terminalserver ein Mitgliedsserver des Domänencontrollers.
>> Wenn ich nun die Softwareeinschränkungen in die Gruppenpolicy des
>> Domänencontrollers übernehme, kann ja keiner mehr auf sein Office
>> zugreifen.
>
> Das verstehe ich nicht ganz. Du musst im Active Directory eine neue
> Organisationseinheit anlegen. In diese Organisationseinheit verschiebst Du
> dann den TS. Mit dieser Organisationseinheit kannst Du anschließend die
> Gruppenrichtlinie verknüpfen. Wenn Du das getan hast, musst Du in den
> Eigenschaften den Benutzern bzw. Gruppen das Übernehmen der
> Gruppenrichtlinie verweigern, die Office ausführen sollen. Zusätzlich muss
> für diese Gruppenrichtlinie noch der Loopbackverarbeitungsmodus aktiviert
> werden.
>
> --
> Viele Grüße
> Frank Röder
> MVP Windows Server System - Directory Services
> "Ex oriente lux"

Hallo,

> Wenn ich nun den Terminalserver aus der Rubrik "Computer" in die
> frisch erstellte OU "Terminalserver" verschiebe, hat dass dann
> besondere Auswirkungen auf die Anmeldung anderer User in der Haupt-OU
> oder ist es im Endeffekt egal, unter welcher Option der
> Terminalserver steht (Er ist Mitgliedsserver der AD-Domäne)?

das hat nur Auswirkungen auf die Leute, die sich am TS anmelden. Du
solltes Dir mal ein paar Grundlagen zum AD und zu Gruppenrichtlinien
aneignen. Ein guter Anlaufpunkt für Gruppenrichtlinien ist
www.gruppenrichtlinien.de.

--
Viele Grüße
Frank Röder
MVP Windows Server System - Directory Services
"Ex oriente lux"

Hallo,

lieben Dank auch für den Link. Der ist echt hilfreich!

Ich habe nun alles so eingerichtet, wie du es beschrieben hast.
TS in neue OU
Gruppenrichtlinie für diese OU erstellt und direkt mit TS OU verknüpft
In Gruppenrichtlinie die Softwarerestriktionen per Pfad gesetzt
Den Loopbackverarbeitungsmodus in der entsprechenden Gruppenrichtlinie
eingesetzt

Nach dem jetzigen Stand OHNE die Verweigerung der Übernahme der GP durch
bestimmte Benutzer müsste ja nun NUR auf dem TS das Ausführen der
entsprechenden Anwendungen zurückgewiesen werden, oder?

Leider ist das nicht der Fall, die Anwendungen lassen sich weiter starten.
Lege ich die gleichen Richtlinien LOKAL auf dem TS an, dann sind die
Anwendungen gesperrt. Was kann das noch sein?

Vielen lieben Dank erstmal, dass du dir soviel Zeit nimmst!

SP

"Frank Röder [MVP]" <heidenau@web.de> schrieb im Newsbeitrag
news:321AAE55-A923-45D6-9CA1-F98C259A21D3@microsoft.com...
> Hallo,
>
>> Wenn ich nun den Terminalserver aus der Rubrik "Computer" in die frisch
>> erstellte OU "Terminalserver" verschiebe, hat dass dann besondere
>> Auswirkungen auf die Anmeldung anderer User in der Haupt-OU oder ist es
>> im Endeffekt egal, unter welcher Option der Terminalserver steht (Er ist
>> Mitgliedsserver der AD-Domäne)?
>
> das hat nur Auswirkungen auf die Leute, die sich am TS anmelden. Du
> solltes Dir mal ein paar Grundlagen zum AD und zu Gruppenrichtlinien
> aneignen. Ein guter Anlaufpunkt für Gruppenrichtlinien ist
> www.gruppenrichtlinien.de.
>
> --
> Viele Grüße
> Frank Röder
> MVP Windows Server System - Directory Services
> "Ex oriente lux"

Hallo,

habe noch etwas festgestellt!

Wenn ich die Option "Authentifizierte Benutzer" durch die Sicherheit filtern
lasse und das Richtlinienobjekt erlaube, DANN funktioniert alles so wie es
sollte; die Anwendungen auf dem Terminal-Server sind nicht ausführbar.

Sobald ich aber nach deiner Anleitung vorgehe und einen einzelnen benutzer
in die sicherheitsfilterung schreibe, um zu testen, ob die anwendungen immer
noch gesperrt sind, funktioniert das ganze nicht mehr -> die eigentlich
gesperrten Anwendungen können ausgeführt werden.

Die Gruppenrichtlinienobjektverweigerung habe ich nicht mal ausprobiert!

Kannst du mir da noch mal helfen ? *liebschau*

SP


"Frank Röder [MVP]" <heidenau@web.de> schrieb im Newsbeitrag
news:321AAE55-A923-45D6-9CA1-F98C259A21D3@microsoft.com...
> Hallo,
>
>> Wenn ich nun den Terminalserver aus der Rubrik "Computer" in die frisch
>> erstellte OU "Terminalserver" verschiebe, hat dass dann besondere
>> Auswirkungen auf die Anmeldung anderer User in der Haupt-OU oder ist es
>> im Endeffekt egal, unter welcher Option der Terminalserver steht (Er ist
>> Mitgliedsserver der AD-Domäne)?
>
> das hat nur Auswirkungen auf die Leute, die sich am TS anmelden. Du
> solltes Dir mal ein paar Grundlagen zum AD und zu Gruppenrichtlinien
> aneignen. Ein guter Anlaufpunkt für Gruppenrichtlinien ist
> www.gruppenrichtlinien.de.
>
> --
> Viele Grüße
> Frank Röder
> MVP Windows Server System - Directory Services
> "Ex oriente lux"

Hallo,

> Sobald ich aber nach deiner Anleitung vorgehe und einen einzelnen
> benutzer in die sicherheitsfilterung schreibe, um zu testen, ob die
> anwendungen immer noch gesperrt sind, funktioniert das ganze nicht
> mehr -> die eigentlich gesperrten Anwendungen können ausgeführt
> werden.

jetzt komme ich nicht mehr mit;-). Du wolltest doch, dass nur ein
einzelner Benutzer die Anwendung ausführen kann und alle anderen TS
Benutzer diese Anwendung nicht ausführen können. Genau das hast Du doch
aber jetzt erreicht. Wenn Du in den Sicherheitseinstellungen einem
Benutzer oder von mir aus einer Gruppe das Übernehmen der Richtlinie
verweigerst, dann wirken sich die Einstellungen der Richtlinie NICHT
auf diesen Benutzer bzw. die Gruppe aus. Alle anderen Benutzer
übernehmen die Richtlinie und können dadurch die Anwendung nicht
ausführen. Das ist doch genau das was Du willst, oder?

--
Viele Grüße
Frank Röder
MVP Windows Server System - Directory Services
"Ex oriente lux"

Hallo Zusammen,

evtl. wäre Dieses hier auch interessant:

http://www.mqtechnologies.com/RAC.asp

Entsprechende NTFS-Berechtigungen sind möglichweise auch noch eine Lösung.

Gruss,

Andreas