none
Terminal Server (RDS RRS feed

  • שאלה

  • שלום לכולם,

    סוגייה קטנה בשרת טרמינל,

    התקנתי שרת RDS 2008 R2 וברצוני לאכוף עליו User policy ברמת הדומיין.

    פתחתי OU חדש שנקרא Terminal servers, לתוכו הכנסתי את השרת וקשרתי אליו את הפוליסי שהגדרתי,

    אבל ייש בעיה, כל ההגדרות שהגדרתי ברמת ה - User configuration לא נאכפות , אלא אם אני מכניס את היוזר עצמו לתוך ה OU הזה.

    אני לא מעוניין להכניס את היוזרים שאמורים להתחבר לשרת הזה שבתוך ה OU הזה, אלא להשאיר אותם במקום בו הם נמצאים היום, כל יוזר נמצא תחת OU המשייך אותו עם הגדרות ספציפיות עבורו (מדפסות, Cert, Office וכו)

    האם יש דרך לאכוף את  ה- User configuration ללא העברת היזרים האלה ל OU הזה?

    יום שלישי 26 פברואר 2013 20:15

תשובות

  • שלום.

    האופציה שאתה מחפש נקראת

    group policy loopback processing

    היא מאפשרת בדיוק את מה שאתה צריך.

    תקרא על זה ב google ותמצא מאמרים שמסבירים את הנושא.

    להת

    יזהר


    Yizhar Hurwitz http://yizhar.mvps.org

    • סומן כתשובה על-ידי HAIM LModerator יום שני 01 אפריל 2013 12:52
    יום רביעי 27 פברואר 2013 06:24
  • הי,

    כאשר מיישמים פוליסי באמצעות Security Filtering צריך לשים דגש על כמה הגדרות:

    הפוליסי מוגדר על OU.

    חובה Security Group.

    גם אם המשתמשים נמצאים תחת Sub OU עדיין מבצעים Link לאותו פוליסי.

    לגבי Authenticated Users - כאשר הקבוצה מוגדרת היא חלה על משתמשים ומחשבים בדומיין, האם הפוליסי הוא על מחשבים או משתמשים.

    אלי.


    הירשם עכשיו לקבוצת Unified Communication בפייסבוק וקבל עדכונים לגבי מפגשי הקבוצה ועוד חדשות בתחומי הקבוצה, https://www.facebook.com/groups/mucugi/

    • סומן כתשובה על-ידי HAIM LModerator יום שני 01 אפריל 2013 12:53
    יום שני 04 מרץ 2013 18:56
  • שלום.

    כשאתה מוסיף את הקבוצה שהגדרת, תוודא שהם מקבלים את ההרשאות הבאות:

    apply + read

    על ה GPO .

    תנסה להיכנס דרך advanced מהכרטיסיה האחרונה, ואז security .

    יזהר


    Yizhar Hurwitz http://yizhar.mvps.org

    • סומן כתשובה על-ידי HAIM LModerator יום שני 01 אפריל 2013 12:53
    יום שני 04 מרץ 2013 20:36
  • שלום.

    לגבי ה administrator אפשר להגדיר לו הרשאת deny על האופציה apply group policy אבל לא על הדברים האחרים.

    אופציה נוספת היא להגדיר קבוצה של משתמשים security group שרק הם יקבלו את ה policy במקום כל ה authenticated users .

    תקרא ב google על המונחים הבאים:

    group policy security filterring

    יזהר


    Yizhar Hurwitz http://yizhar.mvps.org

    • סומן כתשובה על-ידי HAIM LModerator יום שני 01 אפריל 2013 12:52
    יום רביעי 27 פברואר 2013 09:14
  • שלום.

    לגבי הצגת זמן כניסה אחרון - זה קצת יותר מורכב מהשאלות האחרות שלך, אבל גם הנושא הזה ניתן לפתרון במספר שיטות שונות.

    * שיטה אחת - שימוש בסקריפט powershell / vbscript או אחר שבודק את הערך של lastlogon ב activedirectory .

    לדעתי זה לא יהיה יעיל כל כך ועשוי להאט את תהליך הכניסה.

    * שיטה אחרת שלדעתי תהיה פשוטה ויעילה יותר:

    תוסיף ל Logon script את הפקודות הבאות שמבצעות רישום של הכניסות ומציגות אותו למשתמש (חלק מהשורות עלולות להשתבש בגלל יישור לימין בפורום):

    set logfile="%userprofile%\login-%username%.log"

    %echo %date% %time% %clientname% >> %logfile

    %notepad %logfile

    תבדוק את זה כמובן קודם כל באופן ידני.

    החסרון של שיטה כזו - משתמש מתוחכם שרוצה "להסתיר את העקבות" יכול לערוך ידנית את הקובץ.

    להת

    יזהר


    Yizhar Hurwitz http://yizhar.mvps.org

    • סומן כתשובה על-ידי HAIM LModerator יום שני 01 אפריל 2013 12:53
    יום רביעי 27 פברואר 2013 09:27
  • שלום.

    לגבי הסקריפט - פשוט תנסה לכתוב אותו ידנית ותבדוק, אני בטוח שתסתדר.

    לגבי התאמה אישית של דף remote app - אני לא יודע, תבדוק.

    להת

    יזהר


    Yizhar Hurwitz http://yizhar.mvps.org

    • סומן כתשובה על-ידי HAIM LModerator יום שני 01 אפריל 2013 12:53
    יום חמישי 07 מרץ 2013 22:50

כל התגובות

  • שלום.

    האופציה שאתה מחפש נקראת

    group policy loopback processing

    היא מאפשרת בדיוק את מה שאתה צריך.

    תקרא על זה ב google ותמצא מאמרים שמסבירים את הנושא.

    להת

    יזהר


    Yizhar Hurwitz http://yizhar.mvps.org

    • סומן כתשובה על-ידי HAIM LModerator יום שני 01 אפריל 2013 12:52
    יום רביעי 27 פברואר 2013 06:24
  • היי יזהר,

    תודה רבה, זה עובד מצויין !!!

    כמו כן שאלה נוספת, אני מעוניין שכל יוזר שעושה login יקבל הודעה בסגנון :

    this computer system including all related equipment are provided only for authorized use . Access to this device is restricted to those individuals with specific  Permissions. If you are not an authorized user, disconnect now. Any attempts to gain unauthorized access will be prosecuted to the fullest extent of the law "

    ובנוסף יקבל הודעה נוספת שאומרת לו מתי הוא התחבר לשרת בפעם האחרונה

    יום רביעי 27 פברואר 2013 07:27
  • דבר נוסף שאני רואה

    שגם ה- administrator נאכף, זה מצב לא טוב

    איך ניתן להוציא אותו מהפוליסי?

    יום רביעי 27 פברואר 2013 07:33
  • שלום.

    לגבי ה administrator אפשר להגדיר לו הרשאת deny על האופציה apply group policy אבל לא על הדברים האחרים.

    אופציה נוספת היא להגדיר קבוצה של משתמשים security group שרק הם יקבלו את ה policy במקום כל ה authenticated users .

    תקרא ב google על המונחים הבאים:

    group policy security filterring

    יזהר


    Yizhar Hurwitz http://yizhar.mvps.org

    • סומן כתשובה על-ידי HAIM LModerator יום שני 01 אפריל 2013 12:52
    יום רביעי 27 פברואר 2013 09:14
  • שלום.

    לגבי הודעה כללית בכניסה - זה לא מסובך ויש אופציה כזו ב gpo :

    Interactive logon: Message text for users attempting to log on

    Interactive logon: Message title for users attempting to log on

    לא בדקתי אם זה עובד דרך RDP או לא - תבדוק ותעדכן אותנו.

    אופציה נוספת:

    להכין קובץ טקסט על השרת למשל -

    motd.txt

    (קיצור של messeage of the day).

    וב logon script להוסיף פקודה פשוטה:

    notepad \\server\share\motd.txt

    יזהר


    Yizhar Hurwitz http://yizhar.mvps.org

    יום רביעי 27 פברואר 2013 09:20
  • שלום.

    לגבי הצגת זמן כניסה אחרון - זה קצת יותר מורכב מהשאלות האחרות שלך, אבל גם הנושא הזה ניתן לפתרון במספר שיטות שונות.

    * שיטה אחת - שימוש בסקריפט powershell / vbscript או אחר שבודק את הערך של lastlogon ב activedirectory .

    לדעתי זה לא יהיה יעיל כל כך ועשוי להאט את תהליך הכניסה.

    * שיטה אחרת שלדעתי תהיה פשוטה ויעילה יותר:

    תוסיף ל Logon script את הפקודות הבאות שמבצעות רישום של הכניסות ומציגות אותו למשתמש (חלק מהשורות עלולות להשתבש בגלל יישור לימין בפורום):

    set logfile="%userprofile%\login-%username%.log"

    %echo %date% %time% %clientname% >> %logfile

    %notepad %logfile

    תבדוק את זה כמובן קודם כל באופן ידני.

    החסרון של שיטה כזו - משתמש מתוחכם שרוצה "להסתיר את העקבות" יכול לערוך ידנית את הקובץ.

    להת

    יזהר


    Yizhar Hurwitz http://yizhar.mvps.org

    • סומן כתשובה על-ידי HAIM LModerator יום שני 01 אפריל 2013 12:53
    יום רביעי 27 פברואר 2013 09:27
  • היי יזהר

    תודה רבה,

    אבל משהו לא עובד, יצרתי Security Group שהכנסתי לשם את המשתמשים שאמורים לקבל את הפוליסי, הוספתי את הקבוצה לתוך הsecurity filtering ב GPO שיצרתי והסרתי משם את קבוצת Authenticated users

    עשיתי gpupdate /force גם ב DC גם ב TS סרבר והפוליסי לא מתקבל.

    לאחר נסיונות רבים גילית, שאם אני מחזיר את Authenticated users ל security filtering , הפוליסי מתקבל בשרת ה TS אבל גם הDOMAIN Administrator נאכף ןזה לא טוב לי

    מה אני לא עושה בסדר?

    יום שני 04 מרץ 2013 09:15
  • הי,

    כאשר מיישמים פוליסי באמצעות Security Filtering צריך לשים דגש על כמה הגדרות:

    הפוליסי מוגדר על OU.

    חובה Security Group.

    גם אם המשתמשים נמצאים תחת Sub OU עדיין מבצעים Link לאותו פוליסי.

    לגבי Authenticated Users - כאשר הקבוצה מוגדרת היא חלה על משתמשים ומחשבים בדומיין, האם הפוליסי הוא על מחשבים או משתמשים.

    אלי.


    הירשם עכשיו לקבוצת Unified Communication בפייסבוק וקבל עדכונים לגבי מפגשי הקבוצה ועוד חדשות בתחומי הקבוצה, https://www.facebook.com/groups/mucugi/

    • סומן כתשובה על-ידי HAIM LModerator יום שני 01 אפריל 2013 12:53
    יום שני 04 מרץ 2013 18:56
  • שלום.

    כשאתה מוסיף את הקבוצה שהגדרת, תוודא שהם מקבלים את ההרשאות הבאות:

    apply + read

    על ה GPO .

    תנסה להיכנס דרך advanced מהכרטיסיה האחרונה, ואז security .

    יזהר


    Yizhar Hurwitz http://yizhar.mvps.org

    • סומן כתשובה על-ידי HAIM LModerator יום שני 01 אפריל 2013 12:53
    יום שני 04 מרץ 2013 20:36
  • הפוליסי הוא על משתמשים במתחברים לשרת TS ספציפי.

    בצעתי את מה שכתב יזהר (למטה) וזה עובד לי מצויין

    יום חמישי 07 מרץ 2013 10:45
  • יזהר,

    תודה רבה עובד מעולה !!!!!!!!!!!

    עוד דבר קטן, לגבי הסקריפט :

    set logfile="%userprofile%\login-%username%.log"

    %echo %date% %time% %clientname% >> %logfile

    %notepad %logfile

    האם יש מקום אשפשר להעתיק אותו בלי בעיות של ימין ושמאל  ?

    יום חמישי 07 מרץ 2013 10:47
  • סליחה על השאלות הרבות

    האם ניתן לפתוח לכל משתמש ב TS דף Remote app יחודי עבורו עם תוכנות שאני מאפשר לו לראות?

    יום חמישי 07 מרץ 2013 11:47
  • שלום.

    לגבי הסקריפט - פשוט תנסה לכתוב אותו ידנית ותבדוק, אני בטוח שתסתדר.

    לגבי התאמה אישית של דף remote app - אני לא יודע, תבדוק.

    להת

    יזהר


    Yizhar Hurwitz http://yizhar.mvps.org

    • סומן כתשובה על-ידי HAIM LModerator יום שני 01 אפריל 2013 12:53
    יום חמישי 07 מרץ 2013 22:50