Wir setzen Windows Server 2025 als Basis für unsere Terminalserver ein. Auf diesen Systemen richten wir lokale Benutzerkonten mit eingeschränkten Rechten ein, die ausschließlich für den Zugriff auf ausgewählte Anwendungen vorgesehen sind.
Im Rahmen der Grundinstallation treten jedoch bei jedem RDP-Benutzer Fehlermeldungen im Zusammenhang mit dem PowerShell-Deployment auf (siehe Anhang). Diese Problematik wurde bereits in der Vergangenheit mit Ihrem Support besprochen, konnte jedoch bislang nicht zufriedenstellend gelöst werden.
Unser Ziel ist es, die Pakete aus dem neo42-Depot mindestens für die Basisinstallation, z. B. Notepad++, Firefox ESR, 7-Zip, usw. nutzen zu können. Aktuell ist das jedoch nicht möglich, da die Anwendungen unter den gegebenen Benutzerrechten nicht fehlerfrei ausgeführt werden können.
Wir möchten bewusst keine generellen Rechteanhebungen für die lokalen RDP-Benutzer vornehmen. Daher sind wir auf der Suche nach einer Lösung oder einem Workaround, der den Einsatz der Pakete im genannten Szenario ermöglicht, ohne die Sicherheitsrichtlinien aufzuweichen.
Hallo @Klaus ,
Grundsätzlich empfehlen wir in dem Fall, PowerShell-Skripte signiert und mit einem im Zertifikatsspeicher hinterlegten Zertifikat auszuführen. neo42 Leitfaden zur APD Einführung
Sollte es jedoch eine Vorgabe geben, dass PowerShell generell von Benutzern nicht ausgeführt werden darf, auch nicht signierte Skripte, bleibt nur die Möglichkeit, die Userparts zu deaktivieren. Bestimmte Aktionen, wie das Setzen von Einstellungen beim Benutzer, können dann aber nicht mehr ausgeführt werden.
Wenn die Deaktivierung der Userparts tatsächlich gewünscht ist, kannst du beispielsweise einen Pipeline-Task einsetzen, der die Werte UserPartOnInstall und UserPartOnUninstall in der Datei neo42PackageConfig.json auf false setzt. Dadurch werden die Userparts beim Installieren und Deinstallieren nicht mehr ausgeführt und die gezeigte Fehlermeldung wird nicht auftreten.
Hier ein Beispiel, wie man diese Anpassung automatisieren kann: