:strip_icc():strip_exif()/u/87691/avatar_alex.jpg?f=community){kind=avatar}
Goedenavond beste Tweakers,
Ik heb een servertje ingericht die ik als Terminal Server gebruik. De server draait Windows Server 2003 R2, Enterprise Edition. Omdat het de bedoeling is hem als Terminal Server te gebruiken heb ik een Active Directory opgezet (mede vanwege de enorme flexibiliteit die het beheersmatig biedt).
Ik heb een aparte OU aangemaakt waarin ik de users zet, op deze OU heb ik een GPO toegepast. Het doel van de hele GPO is dat zodra de user inlogt er een applicatie wordt gestart (i.p.v. de shell) en dat de user alleen die applicatie kan gebruiken.
Verder heb ik ingesteld dat geen enkel programma mag worden gestart, behalve de app zelf (en de JRE, de app is geschreven in Java).
Dit werkt allemaal vrij netjes, alleen... de applicatie heeft een knop waarmee een Explorer-window geopend kan worden. Zodra de user hierop klikt wordt de hele explorer.exe geladen, ook toont deze dus de Start-balk. Ik heb via GPO deze hele balk aangepast zodat er alleen maar een 'Log off'-link beschikbaar is. Maar nu komt het leuke: hoewel ik heb ingesteld dat alle Windows+X-sneltoetsen moeten worden uitgeschakeld, kan een user met Win-U toch Hulpprogrammabeheer openen. Van hieruit kan hij óók de Helpfile openen.
Wanneer een user dan via de app een exe (uit de Windows-dir) naar de helpfile sleept en kiest voor 'Run', wordt de app meestal uitgevoerd. Ik heb in de GPO ingesteld dat de gebruiker geen toegang mag hebben tot lokale drives. De Windows Verkenner houdt zich hier netjes aan (en toont dus hoogstens een lege map), maar de applicatie dus niet. Die enumerate gewoon vrolijk heel C:\, inclusief Windows, van hieruit kan de user dus ook slepen.
Ik heb geprobeerd security-rechten op hh.exe (HTML Help) te wijzigen, ik heb zelfs expliciet aangegeven dat de groep waarin de user zit, het bestand niet mag lezen of uitvoeren. Toch wordt dit gewoon gedaan.
Ik weet niet precies meer wat ik nog aan de instellingen kan wijzigen om te voorkomen dat users de Explorer kunnen starten, of i.i.g. de helpfile van Hulpprogrammabeheer.
Ik heb een report gemaakt van mijn volledige GPO-settings, voor degene die het interesseert. Het report (419 kb) vind je hier: http://int.alex-web.nl/private/gporeport.html
Weet iemand van jullie misschien een goede oplossing voor dit probleem? Als je het zelf wilt proberen kan ook, stuur mij dan een DM, dan maak ik even een accountje aan.
Ik heb een servertje ingericht die ik als Terminal Server gebruik. De server draait Windows Server 2003 R2, Enterprise Edition. Omdat het de bedoeling is hem als Terminal Server te gebruiken heb ik een Active Directory opgezet (mede vanwege de enorme flexibiliteit die het beheersmatig biedt).
Ik heb een aparte OU aangemaakt waarin ik de users zet, op deze OU heb ik een GPO toegepast. Het doel van de hele GPO is dat zodra de user inlogt er een applicatie wordt gestart (i.p.v. de shell) en dat de user alleen die applicatie kan gebruiken.
Verder heb ik ingesteld dat geen enkel programma mag worden gestart, behalve de app zelf (en de JRE, de app is geschreven in Java).
Dit werkt allemaal vrij netjes, alleen... de applicatie heeft een knop waarmee een Explorer-window geopend kan worden. Zodra de user hierop klikt wordt de hele explorer.exe geladen, ook toont deze dus de Start-balk. Ik heb via GPO deze hele balk aangepast zodat er alleen maar een 'Log off'-link beschikbaar is. Maar nu komt het leuke: hoewel ik heb ingesteld dat alle Windows+X-sneltoetsen moeten worden uitgeschakeld, kan een user met Win-U toch Hulpprogrammabeheer openen. Van hieruit kan hij óók de Helpfile openen.
Wanneer een user dan via de app een exe (uit de Windows-dir) naar de helpfile sleept en kiest voor 'Run', wordt de app meestal uitgevoerd. Ik heb in de GPO ingesteld dat de gebruiker geen toegang mag hebben tot lokale drives. De Windows Verkenner houdt zich hier netjes aan (en toont dus hoogstens een lege map), maar de applicatie dus niet. Die enumerate gewoon vrolijk heel C:\, inclusief Windows, van hieruit kan de user dus ook slepen.
Ik heb geprobeerd security-rechten op hh.exe (HTML Help) te wijzigen, ik heb zelfs expliciet aangegeven dat de groep waarin de user zit, het bestand niet mag lezen of uitvoeren. Toch wordt dit gewoon gedaan.
Ik weet niet precies meer wat ik nog aan de instellingen kan wijzigen om te voorkomen dat users de Explorer kunnen starten, of i.i.g. de helpfile van Hulpprogrammabeheer.
Ik heb een report gemaakt van mijn volledige GPO-settings, voor degene die het interesseert. Het report (419 kb) vind je hier: http://int.alex-web.nl/private/gporeport.html
Weet iemand van jullie misschien een goede oplossing voor dit probleem? Als je het zelf wilt proberen kan ook, stuur mij dan een DM, dan maak ik even een accountje aan.
We are shaping the future
:strip_icc():strip_exif()/u/83667/DDZ_Maliebaan_70px.jpg?f=community)
:strip_icc():strip_exif()/u/15793/zwelgje100.jpg?f=community)
lijkt me sterk, dan heb je hem niet goed geconfigureerd die policy is juist enorm krachtig. zelfs een .exe met dezelfde naam maar met een andere hash doet het dan niet...
(dwz: hij doet het niet 
)
:strip_icc():strip_exif()/u/12176/workrave2.jpg?f=community)