doskias
Goto Top

Powershell und CMD im Menü des Dateiexplorers ausblenden

Hallo zusammen,

Ich suche nach einer Möglichkeit (gerne auch per Registry) im Dateiexplorer unter Datei die Menüpunkte "Eingabeaufforderung öffnen" und "Windows PowerShell öffnen" auszublenden.

Hintergrund/Umgebung:
wir haben Windows 2012 R2 Server im Einsatz, auf denen sich die Anwender per Citrix verbinden. Sie können dort unter anderem den Dateiexplorer öffnen, sollen aber über selbigen nicht die CMD und/oder Powershell öffnen können. Auf der anderen Seite arbeiten auf dem gleichen Server auch Mitarbeiter, die diese Option benötigen, so dass ich die Ausführung von cmd.exe und powershell.exe nicht einfach für den gesamten Server sperren kann. Eine Userbezogene Einstellung (gerne auch via RegKey für current_user via Item Level Targeting) ist daher erforderlich.

Meine bisherigen Recherchen haben noch keine Eisntellungsmöglichkeit via GPO oder einen Registry-Key zur Steuerung ans Lciht gebracht. Vielleicht hat der eine oder andere diese Anforderung ebenfalls schon einmal umsetzen müssen und daher eine Lösung/Tipp für mich.

Gruß
Doskias

Content-Key: 261214

Url: https://administrator.de/contentid/261214

Ausgedruckt am: 29.03.2024 um 11:03 Uhr

Mitglied: DerWoWusste
DerWoWusste 26.01.2015 um 16:11:39 Uhr
Goto Top
Hi.

Arbeite mit angepassten NTFS-Rechten auf cmd.exe bzw. powershell.exe, dann hast Du zumindest eine Lösung.
Deine eigentliche Idee lässt sich sicherlich ergooglen (remove "open command window here"), ich hab's noch nie gebraucht.
Mitglied: Doskias
Doskias 26.01.2015 um 16:19:29 Uhr
Goto Top
Danke. Die Idee ist an sich auch nicht verkehrt. Werde mal schauen, ob wir Skripte haben, die ausgeführt werden müssen. Nicht, dass ich durch die EBrechtigungen dann manuelle Skriptstarts blockiere.

und das
remove "open command windows here"
hilft auch weiter. Ich stand an der Stelle nur auf dem Schlauch und hab immer nach kombinationen wie "file explorer menu bar hide powershell" und ähnlichem gesucht, aber halt primär immer nach PowerShell, weil das zu entfernen wichtiger ist. Nun kansnt du dir vorstellen, dass es in Bezug auf PowerShell und dem File Explorer sehr viele Seiten gibt, die zwar ein positives Ergebnis bringen, aber nicht das was ich Suche :D
Manchmal steht man halt auf dem Schlauch. Ein Wechel von PowerShell zum Command Window war hilfreich.
Mitglied: DerWoWusste
DerWoWusste 26.01.2015 um 16:37:27 Uhr
Goto Top
Nicht, dass ich durch die EBrechtigungen dann manuelle Skriptstarts blockiere.
Keine Sorge, Startskripte laufen ja nicht im Userkontext. Nur wenn Ihr Anmeldeskripte habt, wäre das eine berechtigte Sorge.
Mitglied: Doskias
Doskias 26.01.2015 um 21:08:56 Uhr
Goto Top
In der aktuellen Umgebung haben wir da leider das eine oder andere Anmeldeskript, so wie Programme die eine vorgelagerte Batch benötigen.
Mitglied: Doskias
Doskias 06.02.2015 um 09:57:10 Uhr
Goto Top
Wir haben das ganze nun dahingehend "gelöst", dass wir die Ausführung von CMD.exe und powershell.exe auf den Servern unterbunden haben. Kurioserweise können via Citrix (eigene App mit Ziel auf die gleichen Server) die entsprechenden Programme weiterhin gestartet werden, Skripte fuktionieren, nur die entsprechenden Buttons im Dateiexplorer sind nicht mehr verfügbar.
Mitglied: DerWoWusste
DerWoWusste 06.02.2015 um 11:29:02 Uhr
Goto Top
Kurioserweise...
So kurios ist das nicht. Du hast vermutlich Maßnahmen eingesetzt, die nicht als Schutz, sondern nur als Verschleierung gedacht sind. Nimm lieber NTFS-Rechte, oder SRP/Applocker.
Mitglied: Doskias
Doskias 06.02.2015 um 11:42:33 Uhr
Goto Top
Naja ich finde es schon Kurios. Ich erläuter mal wieso:

Wir haben eine GPO gebaut, die auch bei dem Start von Citrix Anwendungen greift. Sie greift wunderbar. Laufwerke werden verbunden, etc. Wenn ich über Citrix nun Powershell starte, dann wird die GPO auch ausgeführt, nur das Powershell schon läuft. ich kann dann auch normal mit PS arbeiten, etc.

Wenn ich die entsprechenden Anwendungen aus dem Datei-Explorer starte, dann bekomme ich die Meldung: Die Computerrichtlinie haben die Ausführung beschränkt. Bitte wenden Sie sich an den Systemadminsitrator. Ist greift also definitiv ein Sicherheitsfeature, weil ja nichts verschleiert wird.

NTFS-Rechte mach ich dann nächste Woche zusätzlich noch.
Mitglied: DerWoWusste
DerWoWusste 06.02.2015 um 13:01:09 Uhr
Goto Top
Du nennst nicht die GPO. Was hast Du denn gesetzt, um den Start zu unterbinden? Es gibt eine GPO a la "die Ausführung folgender Programme verhindern" und in deren Kommentar steht schon, dass sie nur den Explorer an der Ausführung hindert, aber nicht andere Startwege.
Mitglied: Doskias
Doskias 06.02.2015 um 13:19:12 Uhr
Goto Top
Stimmt, die hab ich nicht genannt. Es ist aber die, die du meinst. Den Kommentar habe ich gelesen und verstanden. Vermutlich rührt meine Verwudnerung daher, dass ich nicht genau weiß, wie Citrix die Applikation startet.
Mitglied: DerWoWusste
DerWoWusste 06.02.2015 um 14:46:20 Uhr
Goto Top
Diese GPO "schützt" nur gegen starten vom explorer aus. Programmatischer Aufruf, wie Kommandozeile oder RemoteApp benutzen den Explorer nicht und werden deshalb damit nicht beschränkt.