Terminalserverweb
Immer am Server angemeldet sein und sperren nicht vergessen.
Grundsätzlich:
Auf alle Platten und deren (Unter)Verzeichnisse:
Jeder : Lesen Administratoren : Vollzugriff SYSTEM : Vollzugriff
Sowie auf einzelne Verzeichnisse geänderte Berechtigungen:
(%windir% ist das Systemverzeichnis, z.B.: c:\wtsrv)
| %windir%\system32 | Jeder ändern |
| %windir%\system32\*.* | Jeder lesen |
| %windir%\profile | Jeder ändern |
| %windir%\profile\all users | Jeder lesen |
| (Sowie alle lokalen Profile:) | Jeder lesen |
| %windir%\regedit.exe | Jeder nicht angegeben, Administrator: Vollzugriff |
| %windir%\system32\net1.exe | (Zugriff entziehen, wenn kein NET SEND möglich sein soll |
| %windir%\temporary internet files | Jeder ändern |
| %windir%\history | Jeder lesen |
| %windir%\Downloaded Program Files | Jeder ändern |
| %windir%\Tasks | Jeder ändern |
| %windir%\Verlauf | Jeder ändern |
| c:\temp | Jeder ändern |
| c:\recycled | Jeder ändern |
| Alle nachfolgenden Absicherungen sind eigentlich nicht erforderlich, aber nützlich, wenn man zusätzlich Benutzern mehr, weniger Rechte geben möchte. | |
| %windir%\system32\qbasic.exe | Jeder kein Zugriff |
| QBasic ist ein altes MSDOS Programmiertool | |
| %windir%\system32\command.com | Jeder kein Zugriff. |
| Verhindert den Zugriff auf die MSDOS Kommandozeile. Sie können ja immer noch CMD verwenden | |
| %windir%\help | Die Gruppe Hilfe ändern |
| Ermöglicht Benutzern neue Hilfedateien hinzuzufügen | |
| %windir%\fonts | Die Gruppe Schriftverwaltung Vollzugriff |
| Ermöglicht Benutzern neue Schriften zu installieren und diese auch wieder zu deinstallieren | |
Alle hier gesondert genannten Gruppen sind nicht Bestandteil des Terminalservers. Sie sind gesondert anzulegen!
(Wenn jemand Zugriff erhalten soll, auf Jeder: Kein Zugriff, so ist Jeder aus der ACL zu entfernen, da kein Zugriff auch Vollzugriff überwiegt.)