Bei Terminalservern (Remote Desktop Services) ist es sinnvoll, Benutzern den Zugriff auf die administrativen Programme von Windows Server zu untersagen. In diesem Artikel beschreibe ich deshalb, wie Du mit Gruppenrichtlinien den Zugriff auf Programme verhindern kannst.



So kannst Du den Zugriff auf Programme verhindern

Die Berechtigungen auf Systemebene sollten für die Benutzer eines Terminalservers immer stark begrenzt werden. Normale Anwender benötigen in der Regel keinen Zugriff auf die PowerShell oder die Microsoft Management Console. Ganz im Gegenteil: Sie könnten damit sogar Schaden anrichten.

Mithilfe der Gruppenrichtlinien lassen sich die Berechtigungen aber sehr gut einschränken. Neben dem Sperren der Eingabeaufforderung ist es über die Richtlinie „Angegebene Windows-Anwendungen nicht ausführen“ auch möglich, eine eigene Liste von Anwendungen zu definieren, welche nicht ausgeführt werden dürfen.

Diese findest Du unter

Benutzerkonfiguration -> Administrative Vorlagen -> System

Angegebene Windows Anwendungen nicht ausführen

Zugriff auf Programme verhindern – Mit Gruppenrichtlinien kannst Du jede beliebige Anwendung für bestimmte Benutzergruppen sperren.

Sobald Du die Richtlinie aktiviert hast, kann über die Schaltfläche „Anzeigen“ eine Liste der nicht zugelassenen Anwendungen erstellt werden. In jede Zeile kann ein Programm eingetragen werden. Es genügt der Dateiname – die Angabe des Pfades wird nicht benötigt.

Wichtige Anwendungen wären beispielsweise:

  • mmc.exe – Microsoft Management Console
  • ServerManager.exe – Server Manager
  • control.exe – Systemsteuerung
  • powershell.exe – Windows PowerShell
  • compmgmt.msc – Computerverwaltung
  • devmgmt.msc – Geräte-Manager
  • services.msc – Dienste
Zugriff auf Programme verhindern

In die Liste der nicht zugelassenen Anwendungen werden alle Programme eingetragen, auf die der Zugriff gesperrt werden soll.

Ausführung von Software einschränken

Trage hier also alle Programme ein, die gesperrt werden sollen. Es muss sich dabei nicht ausschließlich um Windows Anwendungen handeln. Es ist mit dieser Richtlinie genauso gut möglich, das Ausführen von Drittanbietersoftware für bestimmte Benutzergruppen zu verhindern (z.B. Bankingsoftware oder Warenwirtschaftssysteme).

Ist die Liste komplett und die Gruppenrichtlinie wurde angewendet, erhalten die Benutzer die folgende Meldung beim Versuch, eine der gelisteten Programme auszuführen:

Der Vorgang wurde aufgrund von aktuellen Beschränkungen auf dem Computer abgebrochen. Wenden Sie sich an den Systemadministrator.

Zugriff auf Programme deaktivieren

Diese Anwendung darf nicht ausgeführt werden. Der Zugriff auf dieses Programm wurde gesperrt.

Die Liste ist jederzeit erweiterbar. Sobald ein Eintrag entfernt wurde, lässt sich die Anwendung auch wieder ausführen.

Ebenfalls interessant:

Es freut mich, wenn ich Dir mit diesem Artikel helfen konnte.
Wer möchte, kann diesem Blog eine kleine Aufmerksamkeit in Form einer kleinen Spende (PayPal) oder über die Amazon Wunschliste zukommen lassen.

 

René Albarus

Ich heiße René Albarus und bin seit 2002 beruflich im Bereich der Systemadministration tätig. Da auch ich einen Teil meines Wissens IT-Blogs im Internet verdanke, ist es für mich selbstverständlich, dass ich Lösungsansätze und Anleitungen in diesem Blog weitergebe.
René Albarus
0 Kommentare

Dein Kommentar

An Diskussion beteiligen?
Hinterlasse uns Deinen Kommentar!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.