Einsatz von Gruppenrichtlinien auf einem Terminal Server
Das, was zum Einsatz kommt ist der sogenannte Loopbackverarbeitungsmodus. Dieser sorgt dafür, daß letztlich die Computerkonfiguration vor der Benutzerkonfiguration Vorrang hat.
Der Normal-Fall stellt sich genau andresherum dar. Der Rechner fährt hoch und die Computerrichtlinie wird zugewiesen. Erst danach meldet sich ein Benutzer an und damit überschreiben die später angewendeten Richtlinien die vorher applizierten bei einem Konflikt.
Ein Terminal Server hat immer eine Sonderstellung in einem Unternehmen inne, denn es ist ein Server, an dem sich im Gegensatz zu anderen Server die User LOKAL anmelden müssen und dürfen. Dieses stellt schon mal ein wesentlich höheres Sicherheitsrisiko dar. Das Ziel ist es i.d.R. den Benutzern im dem Moment wo er sich am TernimalServer anmeldet mit anderen Richtlinien auszustatten, als wenn er an seiner Workstation angemeldet ist.
Für diesen Fall, kann man den Loopbackverarbeitungsmodus hernehmen.
Günstigster Fall und Empfehlung an alle:
· Der Terminal Server ist KEIN Domänen Controller, er ist ein Memberserver der Domäne.
· Es existiert eine eigene OU, in der nur TerminalServer Computerkonten (~Objekte) sind.
· Wäre der TS ein DomänenController, würde bei ihm immer die Default Domain Controllers Policy angewendet werden, die uns an einigen Stellen behindern kann und evtl. eine ordentliche „Abdichtung“ des Systems verbietet. Da der Administrator am DC am Ende noch arbeiten können muss.
Aktivierung/Einsatz des Loopbackverarbeitungsmodus :
siehe auch "Loopbackverarbeitungsmodus" in den Grundlagen der Seite
· Computerkonfiguration -> Administrative Vorlagen -> System -> Gruppenrichtlinien
· „Loopbackverarbeitungsmodus für Benutzergruippenrichtlinie“ aktivieren
· 2 Optionen möglich:
o Ersetzen: Es werden nur die Einstellungen der Computerrichtlinie geladen
o Zusammenführen: Es wird zuerst die Benutzerrichtlinie, danach die Computerrichtlinie geladen
Wie verhindert man die Auswirkung des Loopbackverarbeitungsmodus auf den Administrator?
· Ein Problem, des LBVM ist, daß er sich auf alle Benutzer auswirkt, die sich am Server anmelden, also auch auf den Administrator. Aus diesem Grunde sollte/muss man an dieser eigenen Richtlinie für TerminalServer mit den Sicherheitsberechtigungen arbeiten.
· Man erstellt eine eigene Sicherheitsgruppe für die Terminal-Server Benutzer (Bsp. TerminalServer User)
· In den Sicherheitseinstellungen der Richtlinie entfernt man die Gruppe "Authentifizierte Benutzer", den zu dieser gehören auch die Administratoren, es sind nun mal alle die sich in der Domäne "authentifiziert" haben.
· Man fügt die Sicherheitsgruppe "TerminalServer User" und den TerminalServer als Computerkonto hinzu und gibt ihnen das Recht "Lesen" und "Gruppenrichtlinien übernehmen", somit ist sichergestellt, daß nur Mitglieder der Gruppe Term-User die Richtlininie übernehmen können.
· Den Administratoren und dem System wird die Übernahme der Gruppenrichtlinie entfernt.
Verweis:
(Auschnitt aus //groups.google.com/groups?selm=OmvhH7qpCHA.2272@TK2MSFTNGP12" data-cke-saved-href="http://groups.google.com/groups?selm=OmvhH7qpCHA.2272@TK2MSFTNGP12" target="_blank">http://groups.google.com/groups?selm=OmvhH7qpCHA.2272@TK2MSFTNGP12>, Robert Pieroth)
In der "OU-Terminalserver" wird eine Policy definiert in welcher der Loopbackmodus aktiviert ist. Außerdem werden in dieser Policy die Benutzereinstellungen sehr restriktiv eingestellt - obwohl sich in der „OUTerminalserver“ gar kein Userkonto befindet.
Meldet sich jetzt ein Benutzer irgendwo an einer Workstation an, wirkt die Policy die in seiner OU für ihn gemacht ist. Meldet er sich aber an einem TerminalServer aus der OU-Terminalserver an, wirken wegen des Loopbackmodus auf ihn die Einstellungen, die in der OU-Terminalserver unter den Benutzereinstellungen definiert sind.
Konfiguration des Terminal Server:
Damit sich unsere Gruppe der TerminalServer User überhaupt anmelden können muss diesen erst noch das Recht der lokalen Anmeldung (bei W2K), bzw. das Recht "Anmelden über Terminaldienste" (bei W2K3) eingeräumt werden.
zusätzlich muss noch die Sicherheitseinstellung des RDP Protokols angepasst werden.
zu Erreichen über Verwaltung -> Terminaldienstekonfiguration -> Verbindungen
Für die Terminal Server User sollten eigene Serverbasierende Profile und evtl. ein eigenes Basisverzeichnis eingerichtet werden.
Beim Einsatz von Serverbasierenden Profilen sollte man grundsätzlich darauf achten, daß die Gruppe der Administratoren auf das Profil des Benutzers Zugriff hat. Für diese Option gibt es eine eigene Richtlinie:
[Computer Konfiguration\Administrative Vorlagen\System\Benutzerprofile]
Sicherheitsgruppe "Administratoren" zu servergespeicherten Benutzerprofilen hinzufügen |
Empfohlene Richtlinien, lt. Microsoft:
“How to Lock Down a Windows 2000 Terminal Server Session”
http://support.microsoft.com/default.aspx?scid=kb;en-us;q278295
"Locking Down Windows Server 2003 Terminal Server Sessions"
http://www.microsoft.com/downloads/details.aspx?FamilyID=7f272fff-9a6e-40c7-b64e-7920e6ae6a0d&DisplayLang=en
(Auszug aus oben genannten Artikel für Windows 2000, da noch nicht in der deutschen KB vorhanden)
Aktivierung folgender Richtlinien
[Computerkonfiguration\Administrative Vorlagen\System\Gruppenrichtlinien]
- Loopbackverarbeitungsmodus für Benutzergruppenrichtlinie
[Computerkonfiguration\WindowsEinstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen]
- Geräte: Zugriff auf CD-ROM Laufwerke auf lokale angemeldete Benutzer beschränken
- Geräte: Zugriff auf Diskettenlaufwerke auf lokale angemeldete Benutzer beschränken
- Interaktive Anmeldung: Letzten Benutzernamen nicht anzeigen
[Computerkonfiguration\Administrative Vorlagen\Windowskomponenten\Windows Installer]
- Deaktiviere Windows Installer
[Benutzerkonfiguration\Windowseinstellungen\Ordnerumleitung]
- Anwendungsdaten
- Desktop
- Eigene Dateien
- Startmenü
[Benutzerkonfiguration\Administrative Vorlagen\Windowskomponenten\Windows Explorer]
- Blendet den Menü-Eintrag "Verwalten" im Windows Explorer-Kontextmenü aus
- Diese angegebenen Datenträger im Fenster "Arbeitsplatz" ausblenden
- Optionen "Netzwerklaufwerk verbinden" und "Netzwerklaufwerk trennen" entfernen
- Registerkarte "Hardware" ausbelnden
- Schaltfläche "Suchen" aus Windows Explorer entfernen
- Standardkontextmenü des Windows Explorers entfernen
- Zugriff auf Laufwerke vom Arbeitsplatz nicht zulassen
[Benutzerkonfiguration\Administrative Vorlagen\Windowskomponenten\Taskplaner]
- Ausführen und Beenden von einem Tasks verhindern
- Erstellen von neuen Tasks nicht zulassen
[Benutzerkonfiguration\Administrative Vorlagen\Startmenü und Taskleiste]
- "Netzwerkverbindungen" aus dem Startmenü entfernen
- Ändern der Einstellungen für die Taskleiste und das Startmenü verhindern
- Befehl "Herunterfahren" entfernen und Zugriff darauf verweigern
- Menü "Suchen" aus dem Startmenü entfernen
- Menüeintrag "Hilfe" aus dem Startmenü entfernen
- Menüeintrag "Ausführen" aus dem Startmenü entfernen
- Option "Abmelden" dem Startmenü hinzufügen
- Programme im Menü "Einstellungen" entfernen
- Standardprogrammgruppen aus dem Startmenü entfernen
- Verknüpfung und Zugriff auf Windows-Update entfernen
[Benutzerkonfiguration\Administrative Vorlagen\Desktop]
- Desktopsymbol "Netzwerkumgebung" ausblenden
- Pfadänderung für den Ordner "Meine Dateien" nicht zulassen
[Benutzerkonfiguration\Administrative Vorlagen\Systemsteuerung]
- Zugriff auf Systemsteuerung nicht zulassen
[Benutzerkonfiguration\Administrative Vorlagen\System]
- Zugriff auf Eingabeaufforderung verhindern (Für Scriptverarbeitung: Nein einstellen)
- Zugriff auf Programme zum Bearbeiten der Registrierung verhindern
[Benutzerkonfiguration\Administrative Vorlagen\System\Strg+Alt+Entf-Optionen]
- Sperren des Computers entfernen
- Task-Manager entfernen
Letzlich kann dieses nur einen Vorschlag darstellen.
Inwieweit man dann noch zusätzlich einschränkend wirken möchte ist jedem selber überlassen und ist ein absolut streitbares Thema, da es extrem vom gesamten Konzept der Domäne abhängig ist. Es kann keinen „General-Vorschlag“ für jedes Netzwerk geben. Die oben genannten Optionen und Einstellungen sollten als Anreiz genommen werden über weitere Einstellungen nachzudenken.