1: In Active Directory Benutzer und Computer eine neue
Organisationseinheit namens „Terminalserver“ erstellen, und alle Terminalserver
dort hinein verschieben
2: In dieser Organisationseinheit, eine neue Sicherheitsgruppe erstellen z.B. „Terminalserver-Benutzer“ und alle Benutzer in diese Gruppe aufnehmen
3: In der Gruppenrichtlinienverwaltung die Organisationseinheit „Terminalserver“ anwählen, rechte Maustaste -> Gruppenrichtlinienobjekt hier erstellen und verknpüfen
Name: Terminalserver-Sicherung
2: In dieser Organisationseinheit, eine neue Sicherheitsgruppe erstellen z.B. „Terminalserver-Benutzer“ und alle Benutzer in diese Gruppe aufnehmen
3: In der Gruppenrichtlinienverwaltung die Organisationseinheit „Terminalserver“ anwählen, rechte Maustaste -> Gruppenrichtlinienobjekt hier erstellen und verknpüfen
Name: Terminalserver-Sicherung
In der Sicherheitsfilterung, „Authentifizierte Benutzer“
entfernen, und die Gruppe „Terminalserver-Benutzer“ hinzufügen
Wichtig: Unter „Delegierung“ die Gruppe „Authentifizierte Benutzer“ mit Leserecht wieder hinzufügen
Wichtig: Unter „Delegierung“ die Gruppe „Authentifizierte Benutzer“ mit Leserecht wieder hinzufügen
Folgende Einstellungen vornehmen:
Auf dem Terminalserver:
Server-Manager Pop Up abstellen:
Aufgabenplanung -> Microsoft\Windows\Server Manager
-> Die Aufgabe „Server-Manager“ deaktivieren
Server-Manager Pop Up abstellen:
Aufgabenplanung -> Microsoft\Windows\Server Manager
-> Die Aufgabe „Server-Manager“ deaktivieren
Die Gruppenrichtlinie „Terminalserver-Sicherung“ wie folgt
anpassen:
Loopback Processing:
Computerkonfiguration\Richtlinien\Administrative Vorlage\System\Gruppenrichtlinie
Loopbackverarbeitungsmodus für Benutzergruppenrichtlinie konfigurieren:
Aktivieren -> Modus: Zusammenführen
Systemsteuerungselemente deaktivieren:
Benutzerkonfiguration\Richtlinien\Administrative Vorlagen\Systemsteuerung\
Loopback Processing:
Computerkonfiguration\Richtlinien\Administrative Vorlage\System\Gruppenrichtlinie
Loopbackverarbeitungsmodus für Benutzergruppenrichtlinie konfigurieren:
Aktivieren -> Modus: Zusammenführen
Systemsteuerungselemente deaktivieren:
Benutzerkonfiguration\Richtlinien\Administrative Vorlagen\Systemsteuerung\
Angegeben Systemsteuerungssymbole ausblenden:
Aktivieren
Folgendes in die Liste eintragen:
Microsoft.AdministrativeTools
Aktivieren
Folgendes in die Liste eintragen:
Microsoft.AdministrativeTools
Microsoft.AutoPlay
Microsoft.ActionCenter
Microsoft.ColorManagement
Microsoft.DefaultPrograms
Microsoft.DeviceManager
Microsoft.EaseOfAccessCenter
Microsoft.FolderOptions
Microsoft.iSCSIInitiator
Microsoft.NetworkAndSharingCenter
Microsoft.NotificationAreaIcons
Microsoft.PhoneAndModem
Microsoft.PowerOptions
Microsoft.ProgramsAndFeatures
Microsoft.System
Microsoft.TextToSpeech
Microsoft.UserAccounts
Microsoft.WindowsFirewall
Microsoft.WindowsUpdate
Microsoft.DateAndTime
Microsoft.RegionAndLanguage
Microsoft.RemoteAppAndDesktopConnections
Install
Application On Remote Desktop Server
Java
Flash Player
Zugriff auf Verwaltung, Powershell und Servermanager einschränken:
Computerkonfiguration\Richtlinien\Windows Einstellungen\Sicherheitseinstellungen\
Rechte maustaste auf "Dateisystem" -> Datei hinzufügen
Unter "Ordner" folgendes hinzufügen:
%AllUsersProfile%\Microsoft\Windows\Start Menu\Programs\Administrative Tools
Im folgenden Dialog, sicherstellen das Administratoren Vollzugriff haben.
Normale Benutzer können entfernt werden
Im folgenden Dialog, die Standardauswahl wählen
(Datei oder Ordner konfigurieren und anschliessend vererbare Berechtigungen an alle Unterordner und Dateien verteilen")
Das gleiche Prozedere für die Powershell:
Unter "Ordner" folgendes hinzufügen:
%AllUsersProfile%\Microsoft\Windows\Start Menu\Programs\Administrative Tools
Im folgenden Dialog, sicherstellen das Administratoren Vollzugriff haben.
Normale Benutzer können entfernt werden
Im folgenden Dialog, die Standardauswahl wählen
(Datei oder Ordner konfigurieren und anschliessend vererbare Berechtigungen an alle Unterordner und Dateien verteilen")
Das gleiche Prozedere für die Powershell:
%AllUsersProfile%\Microsoft\Windows\Start Menu\Programs\System Tools\Windows PowerShell.lnk
Das gleiche Prozedere für Server Manager:
%AllUsersProfile%\Microsoft\Windows\Start Menu\Programs\Administrative Tools\Server Manager.lnk
%AllUsersProfile%\Microsoft\Windows\Start Menu\Programs\Administrative Tools\Server Manager.lnk
Datei Explorer konfigurieren:
Benutzerkonfiguration\Richtlinien\Administrative Vorlagen\Windows komponenten\Datei Explorer\
Benutzerkonfiguration\Richtlinien\Administrative Vorlagen\Windows komponenten\Datei Explorer\
Folgendes aktivieren:
Registerkarte Hardware entfernen
Registerkarte Hardware entfernen
Registerkarte Sicherheit entfernen
Den Menüeintrag Verwalten im Kontextmenü des Datei-Explorers ausblenden
Optional, je nach Situation empfehlenswert (bzw. nur bei Ornderumleitungen):
Zugriff auf Laufwerke vom Arbeitsplatz nicht zulassen:
Folgende kombination:
Nur Laufwerke A,B,C und D beschränken
Optional, je nach Situation empfehlenswert (bzw. nur bei Ornderumleitungen):
Zugriff auf Laufwerke vom Arbeitsplatz nicht zulassen:
Folgende kombination:
Nur Laufwerke A,B,C und D beschränken
Registrierungsänderungen deaktivieren:
Benutzerkonfiguration\Richtlinien\Administrative Vorlagen\System\
Zugriff auf Programme zum Bearbeiten der Registrierung verhindern
Zugriff auf Programme zum Bearbeiten der Registrierung verhindern
Windows Installer und Windows Update:
Computerkonfiguration\Richtlinien\Administrative Vorlage\Windows Komponenten\Windows Installer\
Aktivieren:
Verhindern, dass benutzer Windows Installer zum Installieren von Updates und Upgrades verwenden
Windows Installer deaktivieren -> Immer
Computerkonfiguration\Richtlinien\Administrative Vorlage\Windows Komponenten\Windows Installer\
Aktivieren:
Verhindern, dass benutzer Windows Installer zum Installieren von Updates und Upgrades verwenden
Windows Installer deaktivieren -> Immer
Computerkonfiguration\Richtlinien\Administrative Vorlage\Windows Komponenten\Windows Update\
Option "updates installieren und herunterfahren" im Dialogfeld "Windows herunterfahren" nicht anzeigen
Die Standardoption "Updates installieren und herunterfahren" im Dialogfeld "Windows herunterfahren" nicht anpassen
Weitere Richtlinien:
Computerkonfiguration\Richtlinien\Administrative Vorlage\Windows Komponenten\Remotedesktopdienste\Remotedesktopsitzungs-Host\Sitzungszeitlimits\
Hier lassen sich alle Zeitlimits anpassen.
Keine Kommentare:
Kommentar veröffentlichen