Anbei ist eine kurze Anleitung, wie Sie mit einem minimalen Aufwand für jeden User ein benutzerangepasstes Menü erstellen. Die beschriebene Konfiguration ist nur auf einem Microsoft_Fileserver möglich.
Im Wesentlichen besteht die Konfiguration aus vier Schritten:
1. Die Gruppen in Active Directory anlegen
2. Eine Freigabe zur Speicherung vom Menü-Ordner erstellen
3. Gruppenrechtlinien anpassen
4. Verknüpfungen erstellen, Berechtigung anpassen.
AGLP (oder AGDLP)-Prinzip
1. Ich erstelle für jede Applikation die entsprechenden Steuerungsgruppen nach AGLP-Prinzip .
AGLP (oder AGDLP)- ist das Prinzip der Berechtigungsverwaltung, die von Microsoft empfohlen wird.
- Accounts - sind Benutzer- oder Computerkonto
- Global - globale Gruppe im gesamten Active Directory. Die Benutzer werden in globale Gruppen organisiert.
- Local (DL)- lokale Gruppe im Active Directory. Globale Gruppen werden lokalen Gruppen hinzugefügt.
- Permission - Berechtigung auf bestimmten Ressourcen.
Über diese Gruppen wird die Zugriffsberechtigung gesteuert. Auf diese Weise wird gewährleistet, dass die Benutzer nur die erlaubten Programme sehen und starten können.
Je nach Regelung in Ihre Organisation, können die Applikationen einzeln berechtig werden, oder nach organisationsspezifischen Kriterien gruppieren werden.
z.B. LG_SOFT_MS_Word-2013 (als lokale Gruppe) GG_SOFT_MS-Word-2013 (als globale Gruppe)
2. Ich erstelle eine Netzwerk-Freigebe auf einem Fileserver z.B. \\AD1\UserMenu
2.2 Die Freigabeberechtigung (Share Permissions) wird wie folgt gesetzt:
- Jeder (Everyone) - Read
- Domain Admins - Full Control
2.3 NTFS-Berechtigung wird wie folgt gesetzt:
- Administratoren und System - Full Control
- Users - Read & Execute
2.4 Server Manager > File and Storage Services > Shares >erstellte Freigabe auswählen, rechte Maustaste Eigenschaften / Properties
2.5 Um zu gewährleisten, dass die Benutzer nur die erlaubte Verknüpfungen sehen, wird diese Option aktiviert:
3. In diesem Schritt erstellen wir eine Policy, die dafür sorgt, dass der Startmenü-Ordner umgeleitet und Original Menüordner entfernt wird.
Alle Programe entfernen:
3.1 Benutzerkonfiguration > Administrative Vorlagen > Startmenü und Taskleiste > Standartprogrammgruppen aus dem Menü "Start" entfernen - aktivieren
Englisches Betriebssystem : User Configuration -> Policies -> Administrative Templates -> Start Menu and Taskbar -> Remove common program groups from Start Menu
3.2 Ordnerumleitung Konfigurieren:
Benutzerkonfiguration > Rechlinien > Windows Einstellungen > Ordnerumleitung > Startmenü
Englisches Betriebssystem: User Configuration -> Policies -> Windows Settings -> Folder Redirection -> Start Menu.
3.3 Wichtig: Die Aktivierung von Loopbackverarbeitungsmodus nicht vergessen
4. Um die Anzahl von berechtigten Personen zu steuern bzw. zu begrenzen, entfernen wir zuerst die Gruppe Users.
4.1 Die Eigenschaften von einer beliebigen Verknüpfung auswählen, auf der Registerkarte Security, dann auf die Schaltfläche Advanced klicken.
4.2 Auf die Schaltfläche Disable inheritance (Vererbung deaktivieren) klicken.
4.3 Wählen Sie die Option Convert inherited permissions into explicit permissions on this object / Vererbte Berechtigung in explizite Berechtigung für dieses Objekt konvertieren
4.4 Jetz können Sie die Gruppe Users entfernen
4.5 Fügen Sie die Gruppe hinzu, die einen expliziten Zugriff bekommen darf. In unserem Fall handel es sich um die Excel 2013, die globale Gruppe GG_SOFT_Excel-2013 wird hinzugefügt.
Die Konfiguration ist damit abgeschlossen
Auf solche Art und Weise können Sie beliebige Applikationen steuern. Der Benutzer kann nur auf die Applikationen zugreifen, die er sehen darf.
Hier sind zwei Beispiele auf Basis von Windows 2012 R2 (fünf Office Apps sind erlaubt / sichtbar)
Nur Outlook darf gestartet werden: