none
Benutzer-GPO bei Vertrauensstellung RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    ich stehe vor einem kleinen Problem.

    Folgendes Szenario:

    - Domäne A enthält einen Terminalserver
    - Domäne A + B sind per gesamtstrukturweiten bidirektionalen Vertrauensstellung verbunde
    - User aus Domäne B meldet sich erfolgreich am Terminalserver Domäne A
    - User aus Domäne B ist eine Benutzer-GPO (Laufwerksmapping) zugewiesen, die nicht angewandt wird (gpresult sagt: "Zugriff verweigert"). Ich kann vom Terminalserver als Benutzer Domäne A auf das Sysvol der Domäne B zugreifen und die GPO auch sehen

    - Auf dem Terminalserver Domäne A habe ich die Computer-GPO "Gesamtstrukturweite Benutzerrichtlinien [...] zulassen" aktiviert und gpupdate durchgeführt, ohne Erfolg, weiterhin ein "verweigert".

    Warum? Ich erinnere mich an einen ähnlichen Fall, bei dem diese Option dazu geführt hat, dass Benutzer aus Domäne B an Arbeitsstationen der Domäne A ihre Benutzer-GPOs problemlos erhielten.

    Danke schon einmal für die Anregungen

    Montag, 9. November 2020 16:30
    |

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden

    Hallo JEsders2,

    Schau mal hier:

    https://docs.microsoft.com/de-de/troubleshoot/windows-server/identity/gpo-processing-failures-across-foreast

    Grüße,

    Yavor

    Montag, 9. November 2020 17:10
    |
  • Question
    Anmelden
    0
    Anmelden

    Moin,

    der Terminalserver muss mit seiner Maschinen-Identität die Policy lesen können.

    Evgenij Smirnov

    http://evgenij.smirnov.de

    Montag, 9. November 2020 19:22
    |
  • Question
    Anmelden
    0
    Anmelden
    Das habe ich bedacht. Generell müsste es ja ausreichen, "Authentifizierte Benutzer" lesend zu berechtigen, ich habe testweise aber auch "Jeder" berechtigt und das Computerprofil des Terminalservers explizit. Leider ohne Erfolg
    Dienstag, 10. November 2020 07:48
    |
  • Question
    Anmelden
    0
    Anmelden

    Moin,

    hast Du mal geprüft, ob der User (nicht theoretisch, sondern tatsächlich) diese Policy bekommt, wenn er sich an einem Computer in seiner eigenen Domain anmeldet?

    Evgenij Smirnov

    http://evgenij.smirnov.de

    Dienstag, 10. November 2020 08:04
    |
  • Question
    Anmelden
    0
    Anmelden

    Moin,

    ja, das funktioniert

    Dienstag, 10. November 2020 08:11
    |
  • Question
    Anmelden
    0
    Anmelden

    Ich habe es nun geschafft, die GPO anzuwenden. Allerdings musste ich dafür die GPO auf "Authentifizierte Benutzer" anwenden statt denen nur Leserechte zu geben. Zuvor hatte ich die Anwendung der GPO auf eine Sicherheitsgruppe der Domäne B beschränkt und Authentifizierten Benutzern Leserecht auf die GPO gegeben (so, wie ich es in einer Single-Domäne immer mache und wie es innerhalb der Domäne ja auch funktionierte)

    Ich habe das dann noch einmal runtergebrochen. Es reicht nicht einmal, dem Computerkonto des RDS die GPO zuzuweisen, sondern es funktionierte nur bei Authentifizierten Benutzern...

    Wieso verhält sich das so?

    Dienstag, 10. November 2020 08:21
    |
  • Question
    Anmelden
    0
    Anmelden
    "Anwendung der GPO auf eine Sicherheitsgruppe der Domäne B beschränkt" - war das evt. eine DL-Gruppe statt einer globalen? Dann wäre die bei Anmeldung in Domain A nicht im Token des Users enthalten -> Access denied.

    Greetings/Grüße, Martin - https://mvp.microsoft.com/en-us/PublicProfile/5000017 Mal ein gutes Buch über GPOs lesen? - http://www.amazon.de/Windows-Server-2012--8-Gruppenrichtlinien/dp/3866456956 Good or bad GPOs? My blog - http://evilgpo.blogspot.com And if IT bothers me? Coke bottle design refreshment - http://sdrv.ms/14t35cq

    Dienstag, 10. November 2020 10:36
    |
    Beantworter
  • Question
    Anmelden
    0
    Anmelden

    Da liegt der Fehler! Ja, vielen Dank. So weit habe ich nicht mehr gedacht. Die Gruppe ist Domänenlokal, da ich auch Mitglieder der anderen Domäne hinzugefügt habe.

    Dienstag, 10. November 2020 10:42
    |