none
Server 2008 - Terminalserver - Gruppenrichtlinien RRS feed

  • Frage

  • Hallo zusammen!

    Auf die Gefahr hin, bereits beantwortete Fragen hier erneut zu stellen, mache ich jetzt nach gut 2 Wochen konsequenter Suche nach einer Lösung hier diesen Thread auf.

    Kurz die Situation: Ich habe in einer kleinen Infrastruktur 2 2008er Terminalserver sowie einen DB-sowie Applikationsserver, die aber hier unwichtig sind.

    Auf diesen Terminalservern (die per AD gesynct werden sollen, um eine Art Failover zu bauen, doch auch das erst später) sollen nun für verschiedene Gruppen von Usern verschiedene Richtlinien gelten. So soll es bspw. eine Gruppe mit stark eingeschränkten Rechten geben, die im Grunde sogut wie nichts mehr darf.

    Hier mal in aller Kürze mein Vorgehen nach meinen bisherigen Recherchen:

    - Server 1 wurde in Ermangelung eines freien anderen Servers mit der Rolle des Domain Controllers versehen

    - es wurde ein neues Gruppenrichtlinienobjekt "extern" erstellt, das bspw. in der Benutzerkonfiguration vorgibt, die Schaltfläche "Alle Programme" zu entfernen

    - es wurde eine neue Organisationseinheit "extern" unterhalb der Organisationseinheit "Domain Controllers" angelegt, die auf das Gruppenrichtlinienobjekt "extern" verknüpft

    - in diese OU wird meine (schon vor der Umstellung auf DC) gepflegte Usergruppe "extern" unter Sicherheitsfilterung hinzugefügt.

     

    So. In Anbetracht der Tatsache, dass die User sich via RDP, also quasi lokal, anmelden, hatte ich gehofft, dass das genauso funktionieren würde - ich habe eine lokale Usergruppe an eine Richtlinie gehängt, die verschiedene Benutzersettings vorgibt.

    Doch sie greift nicht. Das sehe ich schon über den Gruppenrichtlinienassistenten - es wird nciht etwa der Zugriff auf die Richtlinie verweigert, wenn ich den Assistenten mit einem Mitglied der Gruppe extern durchspiele, sie wird schlicht nie in Betracht gezogen.

    Woran kann das liegen? Kann mir irgendwer - notfalls in Steno - eine Anleitung geben, wie konkret zu verfahren ist, um eine Gruppe vorhandener lokaler User auf meinem Terminalserver mit Richtlinien zu versorgen?

    DNS und WINS sind übrigens korrekt gesetzt und die Richtlinie hat definitiv Inhalte gesetzt.

    Ich wäre wirklich unglaublich dankbar für jede Hilfe, das einmal von vorne sauber aufzuziehen. Notfalls reicht mir schon ein Buchtipp, wo man das mal Schritt für Schritt sieht, ohne einen Verwaltungsbegriff nach dem anderen an den Kopf geworfen zu bekommen..

    Also - schonmal vielen Dank und LG

    patrick 

     


    • Bearbeitet paddoO Donnerstag, 2. Februar 2012 09:54
    Donnerstag, 2. Februar 2012 09:54

Antworten

  • Hallo,

    >- es wurde eine neue Organisationseinheit "extern" unterhalb der Organisationseinheit "Domain >Controllers" angelegt, die auf das Gruppenrichtlinienobjekt "extern" verknüpft

    >- in diese OU wird meine (schon vor der Umstellung auf DC) gepflegte Usergruppe "extern" unter >Sicherheitsfilterung hinzugefügt.

     

    in der OU "extern" müssen sich natürlich auch die betreffenden User befinden.

    Dazu erst einmal das hier:
    http://matthiaswolf.blogspot.com/2011/12/lies-of-gpo-3.html

    Wenn du wie vorgeschlagen Loopback aktivierst,
    kannst du ebenfalls nach Sicherheitsgruppen filtern.
    Dann ist es jedoch nicht notwendig, dass auch der Benutzer in dieser OU "extern" vorhanden ist.

    Bei Loopback Merge muss zusätzlich das Computerkonto Leserechte auf die Policy haben.
    Wenn du Computereinstellungen in der Policy definierst, dann muss das Computerkonto auch
    die Berechtigung besitzen die Richtlinie zu übernehmen.

    http://matthiaswolf.blogspot.com/2011/11/gpo-loopback-benotigt-leserechte-fur.html

     


    MVP Group Policy - Mythen, Insiderinfos und Troubleshooting zum Thema GPOs: http://matthiaswolf.blogspot.com/


    Donnerstag, 2. Februar 2012 10:34
    Beantworter

Alle Antworten

  • Hi,

    Am 02.02.2012 10:54, schrieb paddoO:

    Auf diesen Terminalservern [...] So soll es bspw. eine Gruppe mit
    stark eingeschränkten Rechten geben, die im Grunde sogut wie nichts
    mehr darf.

    Uralt, aber tuts immer noch:
    http://www.gruppenrichtlinien.de/HowTo/Terminal_Server.htm

    Shorttrack:
    - Restriktive Sicherheitsgruppe erstellen
    - 1 GPO erstellen, Benutzerkonfig deaktivieren
    - Loopback Merge aktivieren
    - 1 GPO erstellen, Benutzerkonfig deaktivieren
    - Zuweisen von Benutzerrechten:
       Anmelden über RDP = Restriktive Gruppe + Admins
    - an die OU der TS hängen
    - 1 GPO erstellen, CompConfig deaktivieren
      - Sicherheitsfilter -> GPMC -> Delegieren -> Erweitert
        Computerkonto = Lesen
        Restriktive Gruppe = Übernehmen
    - Einstellungen nach persönlichem Gusto
    - an die OU der TS hängen
    -  Am TS in den RDP Protokoll Sicherheitseinstellungen
       die REstriktive Gruppe hinzufeügen

    Fertig

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

    Donnerstag, 2. Februar 2012 10:23
  • > - es wurde eine neue Organisationseinheit "extern" unterhalb der
    > Organisationseinheit "Domain Controllers" angelegt, die auf das
    > Gruppenrichtlinienobjekt "extern" verknüpft
     
    Und wer befindet sich in dieser OU? Irgendwelche User oder Computer?
     
    GPOs wirken nicht auf Gruppen, sondern nur auf User und Computer.
     
     
    mfg Martin
     

    A bissle "Experience", a bissle GMV... Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating!
    Donnerstag, 2. Februar 2012 10:23
    Beantworter
  • Hallo,

    >- es wurde eine neue Organisationseinheit "extern" unterhalb der Organisationseinheit "Domain >Controllers" angelegt, die auf das Gruppenrichtlinienobjekt "extern" verknüpft

    >- in diese OU wird meine (schon vor der Umstellung auf DC) gepflegte Usergruppe "extern" unter >Sicherheitsfilterung hinzugefügt.

     

    in der OU "extern" müssen sich natürlich auch die betreffenden User befinden.

    Dazu erst einmal das hier:
    http://matthiaswolf.blogspot.com/2011/12/lies-of-gpo-3.html

    Wenn du wie vorgeschlagen Loopback aktivierst,
    kannst du ebenfalls nach Sicherheitsgruppen filtern.
    Dann ist es jedoch nicht notwendig, dass auch der Benutzer in dieser OU "extern" vorhanden ist.

    Bei Loopback Merge muss zusätzlich das Computerkonto Leserechte auf die Policy haben.
    Wenn du Computereinstellungen in der Policy definierst, dann muss das Computerkonto auch
    die Berechtigung besitzen die Richtlinie zu übernehmen.

    http://matthiaswolf.blogspot.com/2011/11/gpo-loopback-benotigt-leserechte-fur.html

     


    MVP Group Policy - Mythen, Insiderinfos und Troubleshooting zum Thema GPOs: http://matthiaswolf.blogspot.com/


    Donnerstag, 2. Februar 2012 10:34
    Beantworter
  • Hallo, bitte entschuldigt die verspätete Antwort, als absoluter GR-Neuling war ich zunächst leicht überfordert und musste mich erstmal ein wenig einlesen. Und nicht zuletzt dank dieser Anleitungen läuft nun alles wie erhofft - tausend Dank dafür! Ich musste nur erstmal genug lesen, um die Hinweise richtig zu verstehen ;-) Also - vielen Dank, ich bin glücklich. lg patrick
    Dienstag, 7. Februar 2012 16:07
  • Hallo,

    schön, dass es nun geklärt ist.

    >Ich musste nur erstmal genug lesen, um die Hinweise richtig zu verstehen

    Das macht ohnehin Sinn, wenn du mit GPOs hantierst :-)

    Gruß
    Matthias


    MVP Group Policy - Mythen, Insiderinfos und Troubleshooting zum Thema GPOs: http://matthiaswolf.blogspot.com/

    Dienstag, 7. Februar 2012 16:14
    Beantworter