[tehcap]

Morgen allerseits!

Ich habe folgendes Problem, in unserer Win 2003 Terminalserverumgebung können die User auf ihren Home Laufwerken über Datei->Neu Verknüpfungen erstellen, dies soll aber verhindert werden da sie sonst über diesen Weg auf die Kommandozeile zugreifen können, alle Wege auf die Kommandozeile zugreifen zu können sind deaktiviert. Die Eingabeaufforderung ist per Richtlinie gesperrt. Trotzdem können User wenn sie eine neue Verknüpfung erstellen, und dort Command eingeben auf die Kommandozeile zugreifen, und das soll verhindert werden.
Problem hierbei ist, ich finde keinen Weg die Verknüpfungserstellung zu deaktivieren!

Kann mir wer helfen?
Ich bedanke mich im vorraus.

Gruß

[species]

Wie sieht es denn aus, wenn du den Usern die "ausführen" Berechtigung von command.com und cmd.exe entziehst?


Oder:

Ab Windows 2000 kann man für jeden Benutzer festlegen, ob er die Kommandozeile ausführen darf:

Unter
HKCU \ Software \ Policies \ Microsoft \ Windows \ System
legen Sie einen neuen Eintrag an mit den Namen "DisableCMD" als Datentyp REG_DWORD (ggf. Windows und System auch erstellen).

Sie können hier jetzt folgende Werte setzen:

0
	oder Schlüssel nicht Vorhanden Anwender kann CMD.EXE ausführen
1
	Anwender kann CMD.EXE nicht ausführen, das System kann aber noch Batch-Dateien ausführen
2
	Anwender kann keine CMD.EXE ausführen und das System darf auch keine Batch-Dateien mehr starten

Quelle: http://www.gaijin.at/manxpsec.php#cmd



Species!

Dieser Beitrag wurde von species bearbeitet: 26. Oktober 2007 - 10:34

[QuentinT]

Ja, das würde ich auch sagen!
Ausführen Berechtigung per GPO entziehen, die sollte eh kein User haben...
Das Problem ist jetzt nur, dass wenn du findige User hast, die sich mit Hilfe einer neuen Verknüpfung ne BAT Datei machen können und dann trotzdem auf der Kommandozeile arbeiten können...

Also ne Möglichkeit explizit das erstellen von Verknüpfungen zu verbieten kenne ich nicht... Bist du mal die GPOs durchgegangen?

Gruß
QuentinT

[species]

Hier steht auch noch was:

http://www.pcwelt.de/start/software_os/win...373/index9.html

Species!

[tehcap]

@Species
Danke, allerdings haben die links leider nicht geholfen, die User können noch immer Command ausführen.

@QuentinT
Die GPOs bin ich durchgegangen, die User haben keine einzige Möglichkeit ausser über Verknüpfung erstellen auf die Kommandozeile zu kommen. Ausführen etc ist alles entfernt.

Um nochmal das Problem genauer zu beschreiben
User drückt im Explorer Datei -> Neu -> Verknüpfung erstellen
Dort im ersten Fenster tippt er "Command" ein.
Windows selber vervollständigt schon den Namen der Verknüpfung als "Eingabeaufforderung"

Darüber schaffen es die user dann auf die Kommandozeile zu kommen, und blöderweise kann man das nicht mit rechten oder den Registries verhindern.

Eine Möglichkeit Bei dem Untermenü Neu, das Verknüpfung erstellen zu löschen finde ich nicht.
Es gäbe zwar die Möglichkeit Den Menüpunkt Datei komplett zu entfernen, wäre aber in unserem Fall nicht ratsam da die User keine rechte Maustaste haben.

Gibt es vielleicht noch andere Wege?

[EDIT]
Mir ist grade aufgefallen dass wenn ich eine CMD verknüpfung erstelle, diese geblockt wird.
Erstelle ich eine COMMAND Verknüpfung, kann man uaf der dos konsole arbeiten

Dieser Beitrag wurde von tehcap bearbeitet: 26. Oktober 2007 - 13:38

[Decay]

Hast du es schon mal damit versucht?

[tehcap]

Riskant, weil beim anmelden Batches gestartet werden und die damit geblockt werden, ausserdem kann cmd nicht ausgeführt werden, command aber schon

[abferber]

command.com u.
cmd.exe

wenn ich bei mir per rechtsklick auf die command.com unter sicherheit die Benutzer rausschmeisse, können die zwar eine verknüpfung erstellen, sie aber nicht mehr ausführen.

werden die batch startscripte mit cmd o. command ausgeführt?

weil interessant noch das gefunden

http://www.administrator.de/index.php?cont...n+|+erstellen+|

Dieser Beitrag wurde von abferber bearbeitet: 30. Oktober 2007 - 21:04

[tehcap]

haha Wäre auch mal was!

@abferber
Danke für den Link, der Registry Eintrag hat geholfen