GPO - globale Grp - Terminalserveranmeldung...

Hallo zusammen,

eine kleine Frage zur Anwendung der GPO's und Gruppen unter Windows 2003:

Haben eine Domäne mit einem Terminalserver (TS) als Mitgliedsserver!
In der Domäne gibt es eine GPO, welche das Herunterfahren untersagt, um zu vermeiden, dass ein am TS über RDP angemeldeter Benutzer den TS herunterfahren kann!

Die GPO ist einer globalen Sicherheitsgruppe zugewiesen!

In den Berechtigungen der lokalen Gruppe "Remotdesktopbenutzer" auf dem TS ist die globale Gruppe, wleche die GPO anwenden soll, Mitglied!
Eine lokale Gruppe (Domäne) lässt sich dieser Gruppe nicht zuteilen!

Wenn sich ein Mitglied dieser Gruppe nun aber mit seinem lokalen Client mit der Domäne verbindet, unterbindet die GPO natürlich auch das Herunterfahren des lokalen Clients!!!!!

Das soll so natürlich nicht sein! Was ist zu tun, damit ein User ausschließlich bei Anmeldung am TS über RDP die Einstellungen der GPO bekommt?

Vielleicht kann uns in dieser Sache jemand einen Tip geben.

Vilene Dank für jeden kontruktiven Beitrag...

Mit freundlichen Grüßen

Harald

Harald Haas schrieb:

> eine kleine Frage zur Anwendung der GPO's und Gruppen unter Windows 2003:

In welchen Gruppen hast Du noch gepostet? Eine würde völlig ausreichen.

> Wenn sich ein Mitglied dieser Gruppe nun aber mit seinem lokalen
> Client mit der Domäne verbindet, unterbindet die GPO natürlich auch
> das Herunterfahren des lokalen Clients!!!!!
>
> Das soll so natürlich nicht sein! Was ist zu tun, damit ein User
> ausschließlich bei Anmeldung am TS über RDP die Einstellungen der GPO
> bekommt?

Du kennst die Seite von Mark wohl noch nicht:
http://www.gruppenrichtlinien.de/How...nal_Server.htm

> Vielleicht kann uns in dieser Sache jemand einen Tip geben.

Bitte stelle doch in Groupwise eine Usenetkonforme Zeilenlänge ein.
Danke.

Servus
Winfried
--
Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
Win2000-FAQ: http://w2k-faq.ebend.de
GPO's: http://www.gruppenrichtlinien.de
W2K Up2date: http://home.arcor.de/jterlinden/index.htm

Hallo Winfried,

Danke fuer die Antwort, schau mir dieSeite gleich mal an...

Wusste nicht, welche Gruppe besser passt und habe noch in microsoft.public.de.german.windows.gruppenrichtlin ien gepostet...

Viele Grueße
Harald

>>> Winfried Sonntag [MVP]<Winfried.Sonntag@gmx.de> 08.04.2008 10:53:41 >>>
Harald Haas schrieb:

> eine kleine Frage zur Anwendung der GPO's und Gruppen unter Windows 2003:

In welchen Gruppen hast Du noch gepostet? Eine w*rde v*llig ausreichen.

> Wenn sich ein Mitglied dieser Gruppe nun aber mit seinem lokalen
> Client mit der Dom*ne verbindet, unterbindet die GPO nat*rlich auch
> das Herunterfahren des lokalen Clients!!!!!
>
> Das soll so nat*rlich nicht sein! Was ist zu tun, damit ein User
> ausschlie*lich bei Anmeldung am TS *ber RDP die Einstellungen der GPO
> bekommt?

Du kennst die Seite von Mark wohl noch nicht:
http://www.gruppenrichtlinien.de/How...nal_Server.htm

> Vielleicht kann uns in dieser Sache jemand einen Tip geben.

Bitte stelle doch in Groupwise eine Usenetkonforme Zeilenl*nge ein.
Danke.

Servus
Winfried
--
Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
Win2000-FAQ: http://w2k-faq.ebend.de
GPO's: http://www.gruppenrichtlinien.de
W2K Up2date: http://home.arcor.de/jterlinden/index.htm

Harald Haas schrieb:

> Wusste nicht, welche Gruppe besser passt und habe noch in microsoft.public.de.german.windows.gruppenrichtlin ien gepostet...

Das hab ich gesehen und Mark hat dort auch schon geantwortet.

Servus
Winfried
--
Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
Win2000-FAQ: http://w2k-faq.ebend.de
GPO's: http://www.gruppenrichtlinien.de
W2K Up2date: http://home.arcor.de/jterlinden/index.htm

Hallo Winfried,

mmmh - ok, das Thema loopback scheint genau das zu sein, was wir benötigen, aber es scheitert derzeit generell daran, dass wir es nicht schaffen, ein Computerkonto die Richtilinie anwenden zu lassen!

Sprich, wenn wir in der Sicherheitsfilterung der GPO, in welcher Loopback eingestellt ist, ein Computerkonto zum Übernehmen der GPO angeben und uns in der GPMC dann die Richtlinienergebnisse dieses Computers anzeigen lassen, dann bekommen wir permanent gemeldet, dass der Zgriff verweigert wurde (für die Computeronfiguration)?!?!?!?!?

hast du da noch einen Tipp?

Viele Grüße, Harald

>>> Winfried Sonntag [MVP]<Winfried.Sonntag@gmx.de> 08.04.2008 10:53 >>>
Harald Haas schrieb:

> eine kleine Frage zur Anwendung der GPO's und Gruppen unter Windows 2003:

In welchen Gruppen hast Du noch gepostet? Eine w*rde v*llig ausreichen.

> Wenn sich ein Mitglied dieser Gruppe nun aber mit seinem lokalen
> Client mit der Dom*ne verbindet, unterbindet die GPO nat*rlich auch
> das Herunterfahren des lokalen Clients!!!!!
>
> Das soll so nat*rlich nicht sein! Was ist zu tun, damit ein User
> ausschlie*lich bei Anmeldung am TS *ber RDP die Einstellungen der GPO
> bekommt?

Du kennst die Seite von Mark wohl noch nicht:
http://www.gruppenrichtlinien.de/How...nal_Server.htm

> Vielleicht kann uns in dieser Sache jemand einen Tip geben.

Bitte stelle doch in Groupwise eine Usenetkonforme Zeilenl*nge ein.
Danke.

Servus
Winfried
--
Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
Win2000-FAQ: http://w2k-faq.ebend.de
GPO's: http://www.gruppenrichtlinien.de
W2K Up2date: http://home.arcor.de/jterlinden/index.htm

Howdie!

Harald Haas schrieb:
> mmmh - ok, das Thema loopback scheint genau das zu sein, was wir benötigen, aber es scheitert derzeit generell daran, dass wir es nicht schaffen, ein Computerkonto die Richtilinie anwenden zu lassen!
>
> Sprich, wenn wir in der Sicherheitsfilterung der GPO, in welcher Loopback eingestellt ist, ein Computerkonto zum Übernehmen der GPO angeben und uns in der GPMC dann die Richtlinienergebnisse dieses Computers anzeigen lassen, dann bekommen wir permanent gemeldet, dass der Zgriff verweigert wurde (für die Computeronfiguration)?!?!?!?!?

Wieso arbeitet ihr nicht Schritt für Schritt? Sicherheitsfilterung ist
jetzt nicht gerade das, was ich in Kombination mit anderen
"Testanläufen" versuchen würde. Was habt ihr denn für die
Sicherheitsfilterung konfiguriert? Hat der Computer auch wirklich
"Lesen" und "Richtlinie übernehmen" Berechtigungen?

cheers,

Florian
--
Microsoft MVP - Windows Server - Group Policy.
eMail: prename [at] frickelsoft [dot] net.
blog: http://www.frickelsoft.net/blog.
Use a newsreader! http://www.frickelsoft.net/news.html

Hi,

Harald Haas schrieb:
> mmmh - ok, das Thema loopback scheint genau das zu sein,
> was wir benötigen,

Nein. Es "ist", es scheint nicht.

> aber es scheitert derzeit generell daran, dass wir es nicht
> schaffen, ein Computerkonto die Richtilinie anwenden zu lassen!

Warum so kompliziert?

Neue OU -> Neue GPO -> Loopback an -> Computer hinverschieben, fertig.
"Authentifizierte Benutzer" sind alle, auch die Computer.

Mach es einfach genau wie im TS Artikel beschrieben, du wärst der erste
bei dem es nicht klappt.

Tschö
Mark
--
Mark Heitbrink - MVP Windows Server - Group Policy

Homepage: www.gruppenrichtlinien.de - deutsch
Blog: gpupdate.spaces.live.com - english

Hallo Mark,

Sorry nochmal...

Also wie in deinem Beitrag auf der Seite www.gruppenrichtlinien.de beschrieben, wollen wir genau das Ziel erreichen, dass bei Anmeldung am TS der Benutzer diesen nicht herunterfahren darf!
Bei Anmeldung an der Domäne von seinem PC aus soll der Benutzer natürlich seinen PC herunterfahren dürfen!!!

Dies haben wir also gemacht:
> Neue OU (01_TerminalServer),
> Computer in die OU verschoben
> keine User in dieser OU (User sind in anderer OU)
> Neue GPO erstellt, Loopback an (ersetzen ausgewählt) (Name der GPO=Loopback)
>>> Computerkonf. = Loopback, Benutzerkonf. = Kein Herunterfahren....
> Authentifizierte Benutzer im Filter (Dieser übernmimmt auch die GPO - Einstellung GPO übernehmen ist ausgewählt)
> Dem User, der sich hier am TS anmelden soll, ist Mitgleid der lokalen Gruppe "remotedesktopbenutzer und hat somit die rechte auf das RDP Portokoll des TS und darf sich anmelden.

Anmeldung klappt, TS darf aber heruntergefahren werden.
Beim Überprüfen der Richtlnienergebnisse haben wir dann festgestellt, dass die Richtlinie "Loopback" überhaupt nicht übernommen wird - sie wird gar nicht aufgeführt!

Deinen Beitrag haben wir so verstanden, dass in der OU, in der der TS als Computer enthalten ist, KEINE User drinn sein dürfen! Nur der Computer.
Die restlichen User, so auch unser Testuser befinden sich in anderen OU's auf der gleichen Ebene!

Wird nun der User ebenfalls in die OU "01-TerminalServer" verschoben, dann wird die Nenutzerkonfiguration ünernommen, was aber leider auch bedeutet, dass der User seinen PC, wenn er sich an der Domäne anmeldet, ebenfalls nicht herunterfahren darf!
Die Computerkonfiguration wird nicht angerührt!!!!!!!?????

Wahrscheinlich ist es wirklich nur ein Häkchen oder ne andere Kleinigkeit aber vielleicht hast du noch eine Stelle, an der wir ansetzen können!!!!

Vielen vielen Dank für eine kontruktive Unterstützung! Das Funktionieren dieser Richtlinien ist leider die Voraussetzung für alles weitere in unserer Domäne!

Danke vorab, Harald


>>> Mark Heitbrink [MVP]<spam-only@gruppenrichtlinien.de> 08.04.2008 21:36 >>>
Hi,

Harald Haas schrieb:
> mmmh - ok, das Thema loopback scheint genau das zu sein,
> was wir benötigen,

Nein. Es "ist", es scheint nicht.

> aber es scheitert derzeit generell daran, dass wir es nicht
> schaffen, ein Computerkonto die Richtilinie anwenden zu lassen!

Warum so kompliziert?

Neue OU -> Neue GPO -> Loopback an -> Computer hinverschieben, fertig.
"Authentifizierte Benutzer" sind alle, auch die Computer.

Mach es einfach genau wie im TS Artikel beschrieben, du wärst der erste
bei dem es nicht klappt.

Tschö
Mark
--
Mark Heitbrink - MVP Windows Server - Group Policy

Homepage: www.gruppenrichtlinien.de - deutsch
Blog: gpupdate.spaces.live.com - english

Moinsen,

kannst du bitte eine Zeilenumbruch integrieren? Ist so gerade etwas
unleserlich. Danke.

Harald Haas schrieb:
> Bei Anmeldung an der Domäne von seinem PC aus soll der Benutzer
> natürlich seinen PC herunterfahren dürfen!!!

Logisch. Deswegen ja auch die Trennung.

DeinAD.local
-- eigene OU Computer
Darin alle Computer
GPO: Was auch immer du willst
-- eigene OU Terminal Server
GPO: LoopbackMOdus aktiviert -> KEIN FILTER!
Authentifizierte User lesen/übernehmen
GPO: Deine TerminalServer Settings -> FILTER
Sicherheitsgrupep TS User
Das TerminalServerComputerkonto (oder eine eigene Gruppe)
-- eigene OU Benutzer
GPO: Was auch immer du willst
EIn Benutzer der auch Mitglied der Sicherheitsgrupep TS User ist.

Einstellung: Herunterfahren des Systems entferne einfach die Benutzer
dann stehe da nur noch die Administratoren, Hauptbenutzer und
Sicherungsoperatoren was ja ausreicht.

Wenn es trotzdem ghet, habt ihr schon dran gefummelt, oder Gruppen
geschachtelt, oder der Testuser ist Admin ;-)

> deinen Beitrag haben wir so verstanden, dass in der OU, in der der TS als
> Computer enthalten ist, KEINE User drinn sein dürfen! Nur der Computer.
> Die restlichen User, so auch unser Testuser befinden sich in anderen OU's
> auf der gleichen Ebene!

Absolut korrekt. Siehe Oben. Wobei die "Ebene" Wurscht ist, Hauptsache du
steht in einem eigenen Verwaltungsbereich.

> Dies haben wir also gemacht:

Mache es wie oben beschrieben,

Tschö
Mark
--
Mark Heitbrink - MVP Windows Server - Group Policy

Homepage: www.gruppenrichtlinien.de - deutsch
Blog: gpupdate.spaces.live.com - english

Hallo nochmals...

Sorry bzgl. Zeilenumbruch - geht bei unserem GroupWare Programm leider nicht!

Dein letzter Beitrag auf meine Anfrage war entscheidend! Vielen vielen Dank! Endlich!

Noch eine Frage:
Computer bzw. TS in eine OU zu verschieben mag ja OK sein. Aber kann ich einen DC (zusätzlicher DC) auch in eine OU verschieben, da hier notgedrungen TS Anmeldungen erfolgen müssen?

Danke nochmals...

Viele Gruesse - Harald



>>> Mark Heitbrink [MVP]<spam-only@gruppenrichtlinien.de> 09.04.2008 11:17:25 >>>
Moinsen,

kannst du bitte eine Zeilenumbruch integrieren? Ist so gerade etwas
unleserlich. Danke.

Harald Haas schrieb:
> Bei Anmeldung an der Domäne von seinem PC aus soll der Benutzer
> natürlich seinen PC herunterfahren dürfen!!!

Logisch. Deswegen ja auch die Trennung.

DeinAD.local
-- eigene OU Computer
Darin alle Computer
GPO: Was auch immer du willst
-- eigene OU Terminal Server
GPO: LoopbackMOdus aktiviert -> KEIN FILTER!
Authentifizierte User lesen/übernehmen
GPO: Deine TerminalServer Settings -> FILTER
Sicherheitsgrupep TS User
Das TerminalServerComputerkonto (oder eine eigene Gruppe)
-- eigene OU Benutzer
GPO: Was auch immer du willst
EIn Benutzer der auch Mitglied der Sicherheitsgrupep TS User ist.

Einstellung: Herunterfahren des Systems entferne einfach die Benutzer
dann stehe da nur noch die Administratoren, Hauptbenutzer und
Sicherungsoperatoren was ja ausreicht.

Wenn es trotzdem ghet, habt ihr schon dran gefummelt, oder Gruppen
geschachtelt, oder der Testuser ist Admin ;-)

> deinen Beitrag haben wir so verstanden, dass in der OU, in der der TS als
> Computer enthalten ist, KEINE User drinn sein dürfen! Nur der Computer.
> Die restlichen User, so auch unser Testuser befinden sich in anderen OU's
> auf der gleichen Ebene!

Absolut korrekt. Siehe Oben. Wobei die "Ebene" Wurscht ist, Hauptsache du
steht in einem eigenen Verwaltungsbereich.

> Dies haben wir also gemacht:

Mache es wie oben beschrieben,

Tschö
Mark
--
Mark Heitbrink - MVP Windows Server - Group Policy

Homepage: www.gruppenrichtlinien.de - deutsch
Blog: gpupdate.spaces.live.com - english