none
Terminalserver GPO greift nicht RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo zusammen,

    auch ich finde einfach nicht die Lösung für mein TS-Server GPO Problem. Ich habe alle möglich Foren durchforstet aber trotz aller vorschläge klappt es nicht:

    OU Praxis
       -OU Domänenbenutzer
       -OU Terminalserver Computer
       -OU Terminalserver Benutzer

    Die Default Domain Policy ist bis auf alle Kennwortrichtlinien "nicht definiert" unverändert. Mein Terminalserver ist wie der Name schon sagt in der OU "Terminalserver Computer" und ich habe einen Benutzer "drahn80" in der OU "Terminalserver Benutzer" der auch Mitglied einer von mir angelegten Sicherheitsgruppe "TS-USER" (die wiederum Mitglied der Lokalen Remotedesktop Benutzergruppe am TS ist...)

    Ich habe meine Gruppenrichtlinie "Terminalserver" natürlich mit "Loopbackmodus" aktiviert aber egal ob ersetzen oder zusammenführen, sämtliche in der Benutzerkonfiguration eingetragenen Einschränkungen wird angewendet wenn der Benutzer drahn80 sich per Remotedesktop (Windows 7 Pro Laptop, kein Domänencomputer aber mit im Lokalen LAN) anmeldet.

    Habe schon die Richtlinie auf "erzwungen" gestellt und bei Deligierung "Domänencomputer" und "TS-User" hinzugefügt und das gleiche dann noch bei Sicherheitsfilterung. Alles immer Schritt für Schritt, immer beide Server neu gestartet -geht nicht!

    WARUM??

    Danke schonmal für die Hilfe.

    Bis später.

    Mittwoch, 5. Januar 2011 10:22
    |

Antworten

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden

    Na klar, immer man kommt immer einen Schritt weiter wenn man dachte man ist ratlos...

    Ich habe jetzt den Benutzer drahn mal in die OU "Terminalserver Computer" verschoben und nun greifen auch alle Einschränkungen... Aber so war das eigentlich nicht gedacht... Wie kriege ich jetzt hin, dass alle die sich am TS anmelden immer die Richtlinie zugewiesen bekommen, egal aus welcher anderen OU? Darum hatte ich ja eigentlich den TS in diese eigene OU mit der Richtlinie konfiguriert......

    Mittwoch, 5. Januar 2011 10:35
    |
  • Question
    Anmelden
    0
    Anmelden

    Hi,

    Am 05.01.2011 11:35, schrieb Drahn80:

    Ich habe jetzt den Benutzer drahn mal in die OU "Terminalserver
    Computer" verschoben und nun greifen auch alle Einschränkungen

    Du hast keine Loopback Modus aktiviert, sonst würde es auch gehen,
    ohne den Benutzer in den Verwaltungsbereich der Richtlinie zu setzen.
    Damit der LBVM aktiv wird, muss der TS neugestartet werden.

    Mach es so:
    http://www.gruppenrichtlinien.de/HowTo/Terminal_Server.htm

    http://www.gruppenrichtlinien.de/Grundlagen/Loopback_Verarbeitungs_Modus.htm

    Tschö
    Mark

    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:    www.gruppenrichtlinien.de - deutsch
    GPO Tool:    www.reg2xml.com - Registry Export File Converter
    NNTP Bridge: http://communitybridge.codeplex.com/releases

    • Als Antwort markiert Drahn80 Samstag, 8. Januar 2011 13:43
    Mittwoch, 5. Januar 2011 11:38
    |
  • Question
    Anmelden
    0
    Anmelden

    Am 05.01.2011 schrieb Mark Heitbrink [MVP] [MVP]:
    Hi,

    Du hast keine Loopback Modus aktiviert, sonst würde es auch gehen,
    ohne den Benutzer in den Verwaltungsbereich der Richtlinie zu setzen.
    Damit der LBVM aktiv wird, muss der TS neugestartet werden.

    Wahrscheinlich hat der TS aber das Recht nicht, das entsprechende GPO zu
    lesen. ;)

    Mach es so:
    http://www.gruppenrichtlinien.de/HowTo/Terminal_Server.htm

    http://www.gruppenrichtlinien.de/Grundlagen/Loopback_Verarbeitungs_Modus.htm

    Genau.

    @Drahn89

    Habe schon die Richtlinie auf "erzwungen" gestellt und bei Deligierung "Domänencomputer" und "TS-User" hinzugefügt und das gleiche dann noch bei Sicherheitsfilterung. Alles immer Schritt für Schritt, immer beide Server neu gestartet -geht nicht!

    Wenn du nicht weißt was erzwungen bedeutet, dann laß es lieber. ;)

    Bye
    Norbert

    Mittwoch, 5. Januar 2011 11:52
    |
    Moderator
  • Question
    Anmelden
    0
    Anmelden

    Ok, ich hatte zwischenzeitlich mal die Sicherheitsgruppe TS-User anstelle des Benutzers in die OU "Terminalserver Computer" geschoben und es hat auch funktioniert. Danach habe ich alles wieder eingestellt wie vorher (Benutzer und Sicherheitsgruppe wieder in die eigenliche OU, nur den Terminalserver in die "Terminalserver Comper" OU). In der Sicherheitsfilterung habe ich nur noch die TS-USER Gruppe gelassen und alle anderen entfernt und das "erzwingen" habe ich auch wieder raus genommen.

    Jetzt scheint alles zu funktionieren. Egal welcher benutzer zur Gruppe "TS-User" hinzugefügt wird (unabhängig davon, in welcher OU er angelegt ist), kann sich nun anmelden und auch alle Sicherheitsbeschränkungen greifen.

    Kann das dann jetzt so bleiben, oder ist etwas grundlegendes falsch?

    Vielen Dank schon mal.

    Mittwoch, 5. Januar 2011 11:53
    |
  • Question
    Anmelden
    0
    Anmelden
    Ok, was heißt denn "erzwungen"... Ich weiß es tatsächlich nicht :-)
    Mittwoch, 5. Januar 2011 11:56
    |
  • Question
    Anmelden
    0
    Anmelden

    Hi,

    Am 05.01.2011 12:52, schrieb Norbert Fehlauer [MVP]:

    Wahrscheinlich hat der TS aber das Recht nicht, das entsprechende GPO zu
    lesen. ;)

    Er braucht es nicht, wenn der LBVM in einer eigenen Richtlinie
    übergeben wird und es nur um Benutzerspezifische Werte geht.
    Da kannst du ihm sogar ein deny drauf setzen, denn er kann die
    Benutzerkonfig ja sowieso nicht übernehmen :-)

    Tschö
    Mark

    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:    www.gruppenrichtlinien.de - deutsch
    GPO Tool:    www.reg2xml.com - Registry Export File Converter
    NNTP Bridge: http://communitybridge.codeplex.com/releases

    Mittwoch, 5. Januar 2011 12:17
    |
  • Question
    Anmelden
    0
    Anmelden

    Hi,

    Am 05.01.2011 12:53, schrieb Drahn80:

    Kann das dann jetzt so bleiben

    Solange es nicht die Leute trifft, die es nicht treffen soll ist
    alles im grünen Bereich. Also drauf achten, daß weder Auth. Benutzer
    im Sicherheitsfiltr auftauchen, noch der Admin Mitglied der TS-User
    wird (es sei den das ist explizit gewollt, weil es einen eigene
    TS Admin gibt ...).

    Tschö
    Mark

    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:    www.gruppenrichtlinien.de - deutsch
    GPO Tool:    www.reg2xml.com - Registry Export File Converter
    NNTP Bridge: http://communitybridge.codeplex.com/releases

    Mittwoch, 5. Januar 2011 12:17
    |
  • Question
    Anmelden
    0
    Anmelden

    Noch eine Frage...

    Es wird dort erklärt:

    ·        Man erstellt eine eigene Sicherheitsgruppe für die Terminal-Server Benutzer (Bsp. TerminalServer User)

    ·        In den Sicherheitseinstellungen der Richtlinie entfernt man die Gruppe "Authentifizierte Benutzer", den zu dieser gehören auch die Administratoren, es sind nun mal alle die sich in der Domäne "authentifiziert" haben.

    Ich finde aber die "Sicherheitseinstellungen der Richtlinie" nicht. Ich denke das das beim 2008R2 wohl anders heißt...  Ist das wohl die "Sicherheitsfilterung"? Wenn ja, wer muss denn dann jeweils drin stehen? In der Loopbackrichtlinie (die ich nun noch laut Anleitung noch zusätzlich angelegt habe, und dafür das Loopback aus der 2. (ehemaligen) zugewiesenen Richtlinie entfernt habe) steht nun "Authentifizierte Benutzer" und in meiner einschränkungs Richtlinie "TS-USER".  Für was brauche ich die "Deligierung" denn eigentlich?

    Sorry, Terminalserver Anfänger und Gruppenrichtlinien waren immer nur "kleine Anpassungen" bisher...

    Vielen Dank aber nochmals für eure Mühe!

    Mittwoch, 5. Januar 2011 12:20
    |
  • Question
    Anmelden
    0
    Anmelden

    Am 05.01.2011 schrieb Drahn80:

    Ok, was heißt denn "erzwungen"... Ich weiß es tatsächlich nicht :-)

    www.gruppenrichtlinien.de hilft dir weiter.

    Bye
    Norbert

    Mittwoch, 5. Januar 2011 13:33
    |
    Moderator
  • Question
    Anmelden
    0
    Anmelden

    Am 05.01.2011 13:20, schrieb Drahn80:

    Ich finde aber die "Sicherheitseinstellungen der Richtlinie" nicht.

    GPMC -> GPO -> Reiter Delegierung
     -- Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:    www.gruppenrichtlinien.de - deutsch
    GPO Tool:    www.reg2xml.com - Registry Export File Converter
    NNTP Bridge: http://communitybridge.codeplex.com/releases

    Mittwoch, 5. Januar 2011 13:34
    |
  • Question
    Anmelden
    0
    Anmelden

    Am 05.01.2011 schrieb Drahn80:

    Ok, ich hatte zwischenzeitlich mal die Sicherheitsgruppe TS-User anstelle des Benutzers in die OU "Terminalserver Computer" geschoben und es hat auch funktioniert.

    Wo die Gruppe im AD liegt ist vollkommen egal.

    Bye
    Norbert

    Mittwoch, 5. Januar 2011 13:35
    |
    Moderator