none
Benutzerrichtlinien für Terminalserver Benutzer werden nicht gezogen RRS feed

  • Frage

  • Hallo zusammen,

    nachdem ich schon endlos viel gelesen und vieles getestet habe, bin ich jetzt leider doch am Fragen stellen und ich hoffe mir kann hier jemand helfen.

    Ich bin noch nicht sehr vertraut mit Gruppenrichtlinien und es scheint mir, als das dies ein recht komplexes Thema.

    AD Struktur:

    Domain
    |__Server
       |__TerminalServer
    |__User
       |__Fachbereich A
       |__Fachbereich B
       |__Fachbereich ...
       |__Citrix-Gruppen

    Nun habe ich Computerrichtlinien, die auf die TerminalServer angewendet werden. Funktioniert alles problemlos.

    Aber bei den Benutzerrichtlinien leider nicht. Unsere Benutzer sind nach Fachbereichen in verschiedenen OUs. Das soll auch so bleiben. Aber aus allen verschiedenen Fachbereichen haben wir User die nun auf die TerminalServer zugreifen sollen. Nur für sie und nur wenn sie auf Citrix zugreifen sollen dann die entsprechenden Berechtigungen zugreifen.

    Eine Richtlinie ist zum Beispiel, dass C ausgeblendet werden soll sobald sie am TerminalServer arbeiten. Ich habe es bisher nicht hinbekommen, dass es funktioniert. Vielleicht hat jemand eine Lösung für mich. Aktuell befinden wir uns noch in der Testphase, aber bald sollen die TSe von vielen Usern genutzt werden und dann sollten alle Richtlinien funktionieren.

    Vielen Dank schon mal.

    Dienstag, 17. Januar 2017 08:50

Antworten

  • Hallo AK

    ja Gruppenrichtlinien sind kein einfaches Thema. 

    Es kommt hier sehr darauf wo die Richtlinien definiert werden. Ein Computer wird standardmäßig keine benutzerbezogenen Einstellungen der GPOs verarbeiten und umgekehrt.

    Für deinen speziellen Fall kannst du dir diesen Artikel http://www.gruppenrichtlinien.de/artikel/loopbackverarbeitungsmodus-loopback-processing-mode/ ansehen. Dort wird das Verhalten beschrieben.

    Generell solltest du dich tiefer mit dem Thema GPOs beschäftigen bevor du dich an die komplizierten Sachverhalte wagst.

    Gruß Benjamin


    Benjamin Hoch
    MCSE: Data Platform & Data Management and Analytics
    MCSA: SQL Server 2012/2014 & 2016 DB Administration
    MCSA: Windows Server 2012

    • Als Antwort vorgeschlagen Carsten Heins Dienstag, 17. Januar 2017 09:02
    • Als Antwort markiert AK Nashi Dienstag, 17. Januar 2017 09:38
    Dienstag, 17. Januar 2017 09:01

Alle Antworten

  • Hallo AK

    ja Gruppenrichtlinien sind kein einfaches Thema. 

    Es kommt hier sehr darauf wo die Richtlinien definiert werden. Ein Computer wird standardmäßig keine benutzerbezogenen Einstellungen der GPOs verarbeiten und umgekehrt.

    Für deinen speziellen Fall kannst du dir diesen Artikel http://www.gruppenrichtlinien.de/artikel/loopbackverarbeitungsmodus-loopback-processing-mode/ ansehen. Dort wird das Verhalten beschrieben.

    Generell solltest du dich tiefer mit dem Thema GPOs beschäftigen bevor du dich an die komplizierten Sachverhalte wagst.

    Gruß Benjamin


    Benjamin Hoch
    MCSE: Data Platform & Data Management and Analytics
    MCSA: SQL Server 2012/2014 & 2016 DB Administration
    MCSA: Windows Server 2012

    • Als Antwort vorgeschlagen Carsten Heins Dienstag, 17. Januar 2017 09:02
    • Als Antwort markiert AK Nashi Dienstag, 17. Januar 2017 09:38
    Dienstag, 17. Januar 2017 09:01
  • Funktioniert nun! Vielen Dank. Ohne Loopback geht's nicht, aber der Artikel hat geholfen.
    Dienstag, 17. Januar 2017 09:37
  • Am 17.01.2017 um 10:37 schrieb AK Nashi:
    > Funktioniert nun! Vielen Dank. Ohne Loopback geht's nicht, aber der
    > Artikel hat geholfen.
     
    Doch geht es. Du kannst WMI verwenden oder MS16-072 als Filter für die
    Computer Objekte.
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Group Policy - Cloud and Datacenter Management
     
    Homepage:  http://www.gruppenrichtlinien.de - deutsch
     
    Dienstag, 17. Januar 2017 17:49
  • Am 17.01.2017 um 10:37 schrieb AK Nashi:
    > Funktioniert nun! Vielen Dank. Ohne Loopback geht's nicht, aber der
    > Artikel hat geholfen.
     
    Doch geht es. Du kannst WMI verwenden oder MS16-072 als Filter für die
    Computer Objekte.
     
    ...und nachdem wir die Theorie geklärt haben: In welchem Fall würdest Du diese Filtermöglichkeiten dem Loopback vorziehen? (Die Frage ist ernst gemeint)

    Evgenij Smirnov

    I work @ msg services ag, Berlin -> http://www.msg-services.de
    I blog (in German) @ http://it-pro-berlin.de
    my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
    Exchange User Group, Berlin -> http://exusg.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

    Dienstag, 17. Januar 2017 18:06
  • Am 17.01.2017 um 19:06 schrieb Evgenij Smirnov:
    > ...und nachdem wir die Theorie geklärt haben: In welchem Fall würdest
    > Du diese Filtermöglichkeiten dem Loopback vorziehen? (Die Frage ist
    > ernst gemeint)
     
    - Loopback braucht immer einen Reboot, bevor er funktioniert.
    Manchmal möchte ich die Regel aber /jetzt/ an den Client geben.
     
    - Performance, Loopback merge ist u.U. der längere Prozess, wenn ich
    nicht 50 idiotische WMI Filter verwende :-), aber es müssen 3
    Richtlinien Listen verarbeitet werden und einige GPOs aus dem Merge
    werden doppelt angewendet, wenn sie schon "oberhalb" verlinkt waren und
    beide Objekte im Scope of Management sind.
     
    - speziell 16-072 ist für mich der logischste aller Lösungsansätze.
    Sag einem Admin er muss entscheiden "wo" die Richtlinien ankommt und
    "wer" sie kriegt. Was wird er als erstes machen? Eine Sicherheitsgruppe
    für Computer (Wo?) bauen und eine für Benutzer (Wer?)
    Sag ihm er braucht Loopback und er hat ein Fragezeichen auf der Stirn.
     
    - Für "replace" gibt es keine schöne Lösung, dann müssten alle
    Richtlininien immer gefiltert werden, auch die, die sonst für alle
    gelten damit vorhandene am Ziel nicht ankommen. Das wäre aufwendiger
     
    - Loopback ist der bekanntere Prozess, im Troubleshooting kann sich ein
    Dienstleister sonst ganz schön verbasteln, wenn du ihm sagst: Bei uns
    geht das ohne Loopback ... und er denkt sich: Hä? Wie denn?
    "Machen alle so" kann ein gutes Argument für Loop sein.
     
    - wenn es nur "eine" Sonderregel ist, warum dann den ganzen Prozess auf
    Loop umstellen, wenn ich den Filter schneller bauen kann?
     
    - Nachvollziehbarkeit für Administratoren, die noch jeden Tag GPOs
    verwalten. Verlinke jeweils 15 Richtlinien über 4 OUs hinweg, Erzwinge
    beliebige und schalte in einigen OUs die Vererbung aus, schalte den Loop
    auf Merge und sag mir ohne Report, welche Einstellung gewinnt.
     
    - Übersichtlichkeit und "single point of failure", Benutzerrichtlinien
    sind an der Benutzer OU verlinkt. Da, wo sie hingehören.
     
    - Single point of failure ist auch ein Argument für Loop replace.
     
    - Viele Admins haben Loop nicht verstanden. Sie aktivieren ihn in jeder
    GPO, die "loopen" soll. Dann verlinken sie die Richtlinien kreuz und
    quer und auf einmal machen Worstations Loopback, von denen man das gar
    nicht wollte.
     
    Ich glaube, das wars erst mal auf die Schnelle :-)
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Group Policy - Cloud and Datacenter Management
     
    Homepage:  http://www.gruppenrichtlinien.de - deutsch
     
    Mittwoch, 18. Januar 2017 21:37
  • Am 18.01.2017 schrieb Mark Heitbrink [MVP]:
    Nabend,

    - Viele Admins haben Loop nicht verstanden. Sie aktivieren ihn in jeder
    GPO, die "loopen" soll. Dann verlinken sie die Richtlinien kreuz und
    quer und auf einmal machen Worstations Loopback, von denen man das gar
    nicht wollte.

    Denen muß man beim Troubleshooting aber auch meist nicht ihre Fehler erklären. Die wollen nur, dass du es "ganz machst". ;)

    Bye
    Norbert


    Frank, I never thought I'd say this again. I'm getting the pig!
    nntp-bridge Zugriff auf die MS Foren wieder möglich: https://communitybridge.codeplex.com/

    Mittwoch, 18. Januar 2017 22:35
    Moderator
  • > an die komplizierten Sachverhalte wagst.
     
    Jetzt erschreck ihn doch nicht so... :-)
     
    Loopback wurde für Terminal Server und Kioskrechner entworfen, daher ist es im konkreten Fall absolut in Ordnung, Loopback zu verwenden. Ich verzichte i.d.R. aber gerne darauf und verwende stattdessen Group Policy Preferences mit Zielgruppenadressierung:
     
     
    Freitag, 20. Januar 2017 09:44
    Beantworter
  • Hallo Martin,

    das war auch nicht meine Absicht aber es gibt bestimmt einfachere Einstiege in das Thema GPO als gerade Terminalserver. Gerade wenn ich eine Hochschule oder Universität bin. Das kenne ich aus eigener (leidvoller) Erfahrung wie kompliziert diese Thematik dort werden kann.


    Benjamin Hoch
    MCSE: Data Platform & Data Management and Analytics
    MCSA: SQL Server 2012/2014 & 2016 DB Administration
    MCSA: Windows Server 2012

    Freitag, 20. Januar 2017 09:57