none
GPO עבור שרת טרמינל RRS feed

  • שאלה

  • שלום לכולם

    דומיין 2003 עם כ-100 תחנות (XP (SP2/SP3 .

    הקמתי שרת טרמינל שברצוני לנעול מבחינת הרשאות למשתמשים.

    המשתמשים ומחשביהם מפוזרים בין OU שונים ואת שרת הטרמינל הצבתי ב- OU נפרד ובלעדי.

    א. על ה- GPO שחל על הטרמינל הפעלתי Loopback בתצורת Replace - האם המשתמשים במצב זה נשארים ב-OU הנוכחיים שלהם ? אני מבין שהגדרות המחשב ב-GPO יחולו על כל מי שייכנס לטרמינל והגדרות המשתמש ב-GPO יחולו רק מה-GPO של הטרמינל לכל מי שיתחבר לטרמינל בלי להחילם במחשב המקומי שלהם. - האם נכון הדבר ?

    ב. אני רוצה למנוע מקבוצת Domain Admins לקבל את הפוליסי של הטרמינל כשהם ניגשים אליו, כיצד אוכל לבצע זאת כי שינוי ההרשאות על ה-GPO של הטמינל שלא יחול עליהם לא כל כך עובד. (Deny process) והאם אוכל למנוע מהחלת ה-GPO על קבוצה זו גם בחלק המחשב וגם בחלק המשתמש ב- GPO של הטרמינל ?

    ג. אני מבין שעדיף שאת כל מה שניתן להגדיר בחלק המשתמש ולא בחלק במחשב עדיף - כדי שניתן יהיה לא להחילם על קבוצת המנהלים ? (לדוגמא אם אפשר למנוע גישה למשל להגדרות הרשת גם ברמת המכונה וגם ברמת המשתמש ב-GPO, עדיף לבצע את ההגדרה ברמת המשתמש כדי שניתן יהיה למנוי את החלת ההגדרה על המנהלים).

    ד. אני מעוניין להשתמש בחלק ה- Preferences של ה-GPO שחל על הטרמינל (הוא כמובן 2008 R2) להגדרת קיצורי דרך על שולחן העבודה וכו' - האם יש מניעה כלשהיא להשתמש בהגדרות אלה ולבצע דרכן הגדרות על שרת הטרמינל ? ההגדרות ראיתי מאוד חזקות ומגוונות וניתן לבצע באמצעותן כל דבר כולל סינונם ע"י תנאים שונים ומשונים).

    ה. בהגדרות ה-GPO הגדרתי כי הפרופילים יישמרו בשרת הקבצים וכי לא יישמרו עותקים מקומיים על שרת הטרמינל אך שמתי לב שמשתמשים שאינם מנהלים (DOMAIN ADMIN) מקבלים הודעת שגיאה בכניסה לטרמינל שאינו יכול לשמור את הפרופיל ואכן הפרופיל שלהם ביציאה אינו נשמר בשרת הקבצים - האם פיספסתי משהו בהגדרות ?

    ו. כיום יש לי שרת טרמינל אחר WINDOWS 2003 שמשמש גם כשרת הרישיונות לטרמינל, האם אוכל להפנות את השרת החדש 2008 ולהגדיר לו שגם הוא יישתמש בשרת זה עבור רישוי ? (הבנתי שהרישוי שונה בין 2003 ל- 2008) - להוסיף שאני לקוח עם רישיון אתר VL וברישוי ברשותי 100 רשיונות לטרמינל 2008. כיצד אוכל להגדיר את שרת הרשיונות כדי שלא אפגע בפונקציונליות של טרמינל 2003 שברשותי וגם אוכל להשתמש בטרמינל החדש - 2008 ?

    אני יודע שאלו המון שאלות, אבל אודה לכם על כל עזרה בנושא.

    שבת 15 ינואר 2011 06:48

תשובות

  • א. כן, ואתה יכול להסתכל ב TAB של ה HELP ל POLICY שהגדרת, על מנת לקבל הסברים על תפקיד ההגדרה.

    ב. אתה יכול להגדיר SECURITY FILTER, ולהגדיר DENY APPLY לקבוצה מסוימת לדוגמא.

    ג. אכן, על מנת למנוע שכל המשתמשים יקבלו POLICY, ישנם דברים שמומלץ להגדיר ברמת המשתמש בלבד.

    ד. וודא שאתה עובד עם DC 2008 R2, וכן עם כלי ניהול של 2008 R2. חשוב להבין את היכולות Preferences , ואת המגבלות.

    ה. איך הגדרת? עדיף לדעתי להגדיר FOLFER REDIRECTION... בכל מקרה, סביר להניח שיש בעית הרשאות ברמת ה NTFS/SHARE, אשר

    מונעות כתיבה ל SHARE.

    ו. אתה חייב שרת רשיונות 2008 R2, ולהפנות את שרת ה TS ישירות לשרת ה LICENSE (ידנית או ע"י GPO).

    בהצלחה


    בברכה, יובל סיני, יועץ טכנולוגיות, אתר אינטרנט: http://www.ben-shushan.net
    • סומן כתשובה על-ידי Meir Pinto יום שני 28 פברואר 2011 06:50
    שבת 15 ינואר 2011 08:35
  • שלום.

    קודם כל משהו כללי:

    בשרתי TERMINAL יש להקפיד שלמשתמשים יש הרשאה של USER רגיל בלבד ולא של ADMINISTRATOR .
    זה מובן מאליו בדרך כלל אבל חשוב להדגיש את הנקודה לייתר ביטחון.
    ברגע שאתה דואג לא לתת להם הרשאות, אז גם אין צורך בחסימות מיותרות.
    למשל אין צורך לחסום למשתמשים גישה להגדרות רשת או לכיבוי המחשב, מכיוון שממילא אין להם הרשאה לבצע פעולות כאלו.
    ואז אתה יכול להתמקד בהגדרת GPO שהמטרה היא לנהל את הגישה של המשתמשים לתוכנות וקבצים,
    ואין צורך לעסוק בהגבלות מיותרות שבהרבה מקרים לא משפרות את יציבות המערכת אלא להיפך - חוסמות גישה לתוכנות חשובות.
    לדוגמא: אל תחסום למשתמשים את הגישה ל TASK MANAGER או ל CMD או ל REGEDIT - אלו כלים חשובים לצורך איתור וטיפול בבעיות.
    המקרים החריגים הם רק אם מדובר במשתמשים מועדים לפורענות (למשל בבית ספר או אוניברסיטה), שם ההתייחסות שונה.


    אני מעתיק את השאלות שלך ורושם תשובות מתחת להן:


    > המשתמשים ומחשביהם מפוזרים בין OU שונים ואת שרת הטרמינל הצבתי ב- OU נפרד ובלעדי.

    טוב מאד.


    > א. על ה- GPO שחל על הטרמינל הפעלתי Loopback בתצורת Replace - האם המשתמשים במצב זה נשארים ב-OU הנוכחיים שלהם ?

    כן.
    אבל לפעמים עדיף להגדיר MERGE - במידה שאתה רוצה שהם יקבלו גם הגדרות GPO שקשורות ל OU שלהם אם יש כאלו.


    > אני מבין שהגדרות המחשב ב-GPO יחולו על כל מי שייכנס לטרמינל והגדרות המשתמש ב-GPO יחולו רק מה-GPO של הטרמינל לכל מי שיתחבר לטרמינל בלי להחילם במחשב המקומי שלהם. - האם נכון הדבר ?

    כן.


    > ב. אני רוצה למנוע מקבוצת Domain Admins לקבל את הפוליסי של הטרמינל כשהם ניגשים אליו, כיצד אוכל לבצע זאת כי שינוי ההרשאות על ה-GPO של הטמינל שלא יחול עליהם לא כל כך עובד. (Deny process) והאם אוכל למנוע מהחלת ה-GPO על קבוצה זו גם בחלק המחשב וגם בחלק המשתמש ב- GPO של הטרמינל ?

    אתה יכול להגדיר להם DENY על ההרשאה APPLY של ה GPO . זה יחסום אותם מלקבל חסימות ברמת ה USER .
    לגבי חסימות ברמת ה COMPUTER - אני לא יודע לגבי מה מדובר בדיוק מכיוון שבדרך כלל נושא החסימות מוגדר ברמת ה USER .
    בכל אופן תשתמש בכלים הבאים כדי לאבחן מה שקורה ולזהות מה ה GPO שהם מקבלים ומה ההגדרות:
    תשתמש ב GPMC בשרת/מחשב שממנו אתה מנהל את ה GPO - למטה יש לך MODELING ו RESULTS .
    שים לב שאם אתה משתמש ב MODELING אז עליך להגדיר ידנית את מצב ה LOOPBACK .
    תשתמש ב RSOP.MSC בשרת ה TS .
    תשתמש ב GPRESULT בשרת ה TS .

    אם תלך לפי ההמלצות שכתבתי בהתחלה, תראה שבדרך כלל לא צריך להגדיר חסימות למשתמשים על פעולות שאין להם הרשאה לבצע ממילא, ואז גם אין צורך לשחרר את המנהלים מהחסימות האלו.




    > ג. אני מבין שעדיף שאת כל מה שניתן להגדיר בחלק המשתמש ולא בחלק במחשב עדיף - כדי שניתן יהיה לא להחילם על קבוצת המנהלים ? (לדוגמא אם אפשר למנוע גישה למשל להגדרות הרשת גם ברמת המכונה וגם ברמת המשתמש ב-GPO, עדיף לבצע את ההגדרה ברמת המשתמש כדי שניתן יהיה למנוי את החלת ההגדרה על המנהלים).

    תקרא את מה שכתבתי בהתחלה - בדרך כלל עדיף לא להגדיר בכלל אלא רק לדאוג למי יש הרשאות מתאימות בלי קשר או צורך ב GPO בשביל זה.


    > ד. אני מעוניין להשתמש בחלק ה- Preferences של ה-GPO שחל על הטרמינל (הוא כמובן 2008 R2) להגדרת קיצורי דרך על שולחן העבודה וכו' - האם יש מניעה כלשהיא להשתמש בהגדרות אלה ולבצע דרכן הגדרות על שרת הטרמינל ? ההגדרות ראיתי מאוד חזקות ומגוונות וניתן לבצע באמצעותן כל דבר כולל סינונם ע"י תנאים שונים ומשונים).

    לגבי קיצורי דרך - אפשר להשתמש ב PREFERENCE אבל יותר פשוט לשים קיצור דרך אחד על ה PUBLIC DESKTOP .
    שים לב שזו תיקייה מוסתרת. היא נמצאת ב C:\Users\Public\Desktop
    לגבי שאר ההגדרות כמו מיפוי כונן או מדפסת רשת - כן אפשר להשתמש ב PREFERENCE או בכלים אחרים לפי מה שנראה לך.


    > ה. בהגדרות ה-GPO הגדרתי כי הפרופילים יישמרו בשרת הקבצים וכי לא יישמרו עותקים מקומיים על שרת הטרמינל אך שמתי לב שמשתמשים שאינם מנהלים (DOMAIN ADMIN) מקבלים הודעת שגיאה בכניסה לטרמינל שאינו יכול לשמור את הפרופיל ואכן הפרופיל שלהם ביציאה אינו נשמר בשרת הקבצים - האם פיספסתי משהו בהגדרות ?

    נושא ה PROFILES הוא תמיד מקור לבעיות פוטנציאליות, וגם חשוב לזכור שזה יוצר תלות נוספת בין שרת ה TS לשרת שעליו נמצאים הפרופילים.
    בארגון עם שרת TS יחיד או גם עם שניים, אני בדרך כלל מעדיף פשוט להשאיר את הפרופילים על כונן C של השרת ורק להגדיר QUOTA כדי שהמשתמשים לא ישתוללו שם מבחינת הנפח.
    אני מצטרף להמלצה של יובל סיני - תבדוק גם את האופציה של FOLDER REDIRECTION בתור חלופה.
    לגבי הבעיה והודעת השגיאה הספיציפית שאתה מתאר - אני לא יכול להתייחס בלי לראות את הפרטים, אבל אם תקרא את המאמרים המתאימים ותחפש את השגיאה ב GOOGLE אז סביר להניח שתסתדר.

    > ו. כיום יש לי שרת טרמינל אחר WINDOWS 2003 שמשמש גם כשרת הרישיונות לטרמינל, האם אוכל להפנות את השרת החדש 2008 ולהגדיר לו שגם הוא יישתמש בשרת זה עבור רישוי ? (הבנתי שהרישוי שונה בין 2003 ל- 2008) - להוסיף שאני לקוח עם רישיון אתר VL וברישוי ברשותי 100 רשיונות לטרמינל 2008. כיצד אוכל להגדיר את שרת הרשיונות כדי שלא אפגע בפונקציונליות של טרמינל 2003 שברשותי וגם אוכל להשתמש בטרמינל החדש - 2008 ?

    את הרשיונות של ts cal 2008 r2 יש להתקין על שרת עם מערכת הפעלה win2008r2 .
    אם יש לך DC עם מערכת כזו אז רצוי להתקין עליו.
    במידה שלא, אז תתקין על שרת ה TS עצמו.

    להת
    יזהר


    Yizhar Hurwitz http://yizhar.mvps.org
    • סומן כתשובה על-ידי Meir Pinto יום שני 28 פברואר 2011 06:50
    שבת 15 ינואר 2011 12:22

כל התגובות

  • א. כן, ואתה יכול להסתכל ב TAB של ה HELP ל POLICY שהגדרת, על מנת לקבל הסברים על תפקיד ההגדרה.

    ב. אתה יכול להגדיר SECURITY FILTER, ולהגדיר DENY APPLY לקבוצה מסוימת לדוגמא.

    ג. אכן, על מנת למנוע שכל המשתמשים יקבלו POLICY, ישנם דברים שמומלץ להגדיר ברמת המשתמש בלבד.

    ד. וודא שאתה עובד עם DC 2008 R2, וכן עם כלי ניהול של 2008 R2. חשוב להבין את היכולות Preferences , ואת המגבלות.

    ה. איך הגדרת? עדיף לדעתי להגדיר FOLFER REDIRECTION... בכל מקרה, סביר להניח שיש בעית הרשאות ברמת ה NTFS/SHARE, אשר

    מונעות כתיבה ל SHARE.

    ו. אתה חייב שרת רשיונות 2008 R2, ולהפנות את שרת ה TS ישירות לשרת ה LICENSE (ידנית או ע"י GPO).

    בהצלחה


    בברכה, יובל סיני, יועץ טכנולוגיות, אתר אינטרנט: http://www.ben-shushan.net
    • סומן כתשובה על-ידי Meir Pinto יום שני 28 פברואר 2011 06:50
    שבת 15 ינואר 2011 08:35
  • שלום.

    קודם כל משהו כללי:

    בשרתי TERMINAL יש להקפיד שלמשתמשים יש הרשאה של USER רגיל בלבד ולא של ADMINISTRATOR .
    זה מובן מאליו בדרך כלל אבל חשוב להדגיש את הנקודה לייתר ביטחון.
    ברגע שאתה דואג לא לתת להם הרשאות, אז גם אין צורך בחסימות מיותרות.
    למשל אין צורך לחסום למשתמשים גישה להגדרות רשת או לכיבוי המחשב, מכיוון שממילא אין להם הרשאה לבצע פעולות כאלו.
    ואז אתה יכול להתמקד בהגדרת GPO שהמטרה היא לנהל את הגישה של המשתמשים לתוכנות וקבצים,
    ואין צורך לעסוק בהגבלות מיותרות שבהרבה מקרים לא משפרות את יציבות המערכת אלא להיפך - חוסמות גישה לתוכנות חשובות.
    לדוגמא: אל תחסום למשתמשים את הגישה ל TASK MANAGER או ל CMD או ל REGEDIT - אלו כלים חשובים לצורך איתור וטיפול בבעיות.
    המקרים החריגים הם רק אם מדובר במשתמשים מועדים לפורענות (למשל בבית ספר או אוניברסיטה), שם ההתייחסות שונה.


    אני מעתיק את השאלות שלך ורושם תשובות מתחת להן:


    > המשתמשים ומחשביהם מפוזרים בין OU שונים ואת שרת הטרמינל הצבתי ב- OU נפרד ובלעדי.

    טוב מאד.


    > א. על ה- GPO שחל על הטרמינל הפעלתי Loopback בתצורת Replace - האם המשתמשים במצב זה נשארים ב-OU הנוכחיים שלהם ?

    כן.
    אבל לפעמים עדיף להגדיר MERGE - במידה שאתה רוצה שהם יקבלו גם הגדרות GPO שקשורות ל OU שלהם אם יש כאלו.


    > אני מבין שהגדרות המחשב ב-GPO יחולו על כל מי שייכנס לטרמינל והגדרות המשתמש ב-GPO יחולו רק מה-GPO של הטרמינל לכל מי שיתחבר לטרמינל בלי להחילם במחשב המקומי שלהם. - האם נכון הדבר ?

    כן.


    > ב. אני רוצה למנוע מקבוצת Domain Admins לקבל את הפוליסי של הטרמינל כשהם ניגשים אליו, כיצד אוכל לבצע זאת כי שינוי ההרשאות על ה-GPO של הטמינל שלא יחול עליהם לא כל כך עובד. (Deny process) והאם אוכל למנוע מהחלת ה-GPO על קבוצה זו גם בחלק המחשב וגם בחלק המשתמש ב- GPO של הטרמינל ?

    אתה יכול להגדיר להם DENY על ההרשאה APPLY של ה GPO . זה יחסום אותם מלקבל חסימות ברמת ה USER .
    לגבי חסימות ברמת ה COMPUTER - אני לא יודע לגבי מה מדובר בדיוק מכיוון שבדרך כלל נושא החסימות מוגדר ברמת ה USER .
    בכל אופן תשתמש בכלים הבאים כדי לאבחן מה שקורה ולזהות מה ה GPO שהם מקבלים ומה ההגדרות:
    תשתמש ב GPMC בשרת/מחשב שממנו אתה מנהל את ה GPO - למטה יש לך MODELING ו RESULTS .
    שים לב שאם אתה משתמש ב MODELING אז עליך להגדיר ידנית את מצב ה LOOPBACK .
    תשתמש ב RSOP.MSC בשרת ה TS .
    תשתמש ב GPRESULT בשרת ה TS .

    אם תלך לפי ההמלצות שכתבתי בהתחלה, תראה שבדרך כלל לא צריך להגדיר חסימות למשתמשים על פעולות שאין להם הרשאה לבצע ממילא, ואז גם אין צורך לשחרר את המנהלים מהחסימות האלו.




    > ג. אני מבין שעדיף שאת כל מה שניתן להגדיר בחלק המשתמש ולא בחלק במחשב עדיף - כדי שניתן יהיה לא להחילם על קבוצת המנהלים ? (לדוגמא אם אפשר למנוע גישה למשל להגדרות הרשת גם ברמת המכונה וגם ברמת המשתמש ב-GPO, עדיף לבצע את ההגדרה ברמת המשתמש כדי שניתן יהיה למנוי את החלת ההגדרה על המנהלים).

    תקרא את מה שכתבתי בהתחלה - בדרך כלל עדיף לא להגדיר בכלל אלא רק לדאוג למי יש הרשאות מתאימות בלי קשר או צורך ב GPO בשביל זה.


    > ד. אני מעוניין להשתמש בחלק ה- Preferences של ה-GPO שחל על הטרמינל (הוא כמובן 2008 R2) להגדרת קיצורי דרך על שולחן העבודה וכו' - האם יש מניעה כלשהיא להשתמש בהגדרות אלה ולבצע דרכן הגדרות על שרת הטרמינל ? ההגדרות ראיתי מאוד חזקות ומגוונות וניתן לבצע באמצעותן כל דבר כולל סינונם ע"י תנאים שונים ומשונים).

    לגבי קיצורי דרך - אפשר להשתמש ב PREFERENCE אבל יותר פשוט לשים קיצור דרך אחד על ה PUBLIC DESKTOP .
    שים לב שזו תיקייה מוסתרת. היא נמצאת ב C:\Users\Public\Desktop
    לגבי שאר ההגדרות כמו מיפוי כונן או מדפסת רשת - כן אפשר להשתמש ב PREFERENCE או בכלים אחרים לפי מה שנראה לך.


    > ה. בהגדרות ה-GPO הגדרתי כי הפרופילים יישמרו בשרת הקבצים וכי לא יישמרו עותקים מקומיים על שרת הטרמינל אך שמתי לב שמשתמשים שאינם מנהלים (DOMAIN ADMIN) מקבלים הודעת שגיאה בכניסה לטרמינל שאינו יכול לשמור את הפרופיל ואכן הפרופיל שלהם ביציאה אינו נשמר בשרת הקבצים - האם פיספסתי משהו בהגדרות ?

    נושא ה PROFILES הוא תמיד מקור לבעיות פוטנציאליות, וגם חשוב לזכור שזה יוצר תלות נוספת בין שרת ה TS לשרת שעליו נמצאים הפרופילים.
    בארגון עם שרת TS יחיד או גם עם שניים, אני בדרך כלל מעדיף פשוט להשאיר את הפרופילים על כונן C של השרת ורק להגדיר QUOTA כדי שהמשתמשים לא ישתוללו שם מבחינת הנפח.
    אני מצטרף להמלצה של יובל סיני - תבדוק גם את האופציה של FOLDER REDIRECTION בתור חלופה.
    לגבי הבעיה והודעת השגיאה הספיציפית שאתה מתאר - אני לא יכול להתייחס בלי לראות את הפרטים, אבל אם תקרא את המאמרים המתאימים ותחפש את השגיאה ב GOOGLE אז סביר להניח שתסתדר.

    > ו. כיום יש לי שרת טרמינל אחר WINDOWS 2003 שמשמש גם כשרת הרישיונות לטרמינל, האם אוכל להפנות את השרת החדש 2008 ולהגדיר לו שגם הוא יישתמש בשרת זה עבור רישוי ? (הבנתי שהרישוי שונה בין 2003 ל- 2008) - להוסיף שאני לקוח עם רישיון אתר VL וברישוי ברשותי 100 רשיונות לטרמינל 2008. כיצד אוכל להגדיר את שרת הרשיונות כדי שלא אפגע בפונקציונליות של טרמינל 2003 שברשותי וגם אוכל להשתמש בטרמינל החדש - 2008 ?

    את הרשיונות של ts cal 2008 r2 יש להתקין על שרת עם מערכת הפעלה win2008r2 .
    אם יש לך DC עם מערכת כזו אז רצוי להתקין עליו.
    במידה שלא, אז תתקין על שרת ה TS עצמו.

    להת
    יזהר


    Yizhar Hurwitz http://yizhar.mvps.org
    • סומן כתשובה על-ידי Meir Pinto יום שני 28 פברואר 2011 06:50
    שבת 15 ינואר 2011 12:22
  •  

    היי,

    אשמח אם תוכל/י לעדכן אותנו בסטטוס השאלה שלך.

    במידה וקיבלת תשובה מתאימה לשאלתך, יש לסמן את התשובה המתאימה ע"י לחיצה על "סמן כתשובה" ליד סימון ה V הירוק

    אם לא קיבלת תשובה, מומלץ לספק פרטים נוספים אודות הבעיה, פרטי לוג, צילומי מסך וכו'

    על מנת להעלות תמונה לפורום ניתן להעזר במדריך להעלאת תמונה


    אם תגובתי פתרה את בעייתך - לחץ/י, על "סמן כתשובה" ליד סימן ה V הירוק.


    מיקרוסופט מציעה שירות זה ללא תשלום, למטרת סיוע למשתמשים והעשרת הידע הקשור בטכנולוגיות ובמוצרים של Microsoft. תוכן זה מתפרסם כפי שהוא והוא אינו מעיד על כל אחריות מצד מיקרוסופט.
    יום ראשון 27 פברואר 2011 06:58