Terminalserver: Gruppenrichtlinien machen Anmeldung langsam

[Canni 11]

Hallo zusammen,

 

wir haben einen kleinen Windows 2003 Server R2 Terminalserver, auf den die User remote zugreifen.

 

Wenn ich jetzt unterhalb der Domäne eine OU erstelle und in diese OU verschiedene reinstecke, dann dauert für diese User die Anmeldung ca. 10 Sekunden länger, als bisher.

 

Was habe ich falsch gemacht?

 

 

 

Liebe Grüße

Canni

[IThome 10]

Was für GPOs sind denn gelinkt ? Benutzt Du überhaupt GPOs zum Einschränken der Benutzer und wenn ja, wo ?

[Canni 11]

Hallo,

 

danke für die Antwort!

 

Also es handelt sich um einen DC, der gleiczeitig als Terminalserver fungiert. Sorry, ICH habs nicht aufgesetzt, das war ne Softwarefirma. Wir haben sonst auch keine Clients angebunden oder so, der einzige Zugriff auf den Server erfolgt via Remotedesktopverbindung. Ca 10 User.

 

An oberster Stelle in der Konsolenansicht habe ich die Default .... Policy ... rausgelöscht.

 

Dann habe ich unterhalb des Domänennamens eine OU "User" angelegt, auf die ich eine neue Gruppenrichtlinie gelegt habe. Die greift also nur für die User, die dort drin sind. Habe einerseits in den Computer- und andererseits in den Benutzereinstellungen Anpassungen vorgenommen.

 

Ist es normal, dass diese Gruppenrichtlinie die Anmeldung immer sooo viel langsamer macht (ca. 10 Sekunden länger) ... ?!

 

Was habe ich falsch gemacht? Oder is das normal so?

 

Ich weiss, dass das so nicht die feine Art ist mit DC + TS auf einer Maschine. Doch ich habs nicht angelegt und kann es jetzt auch nimmer ändern, immerhin läuft da (von der Softwarefirma her) David! drauf und der braucht nunmal ne Domäne mit DC ...

 

 

danke für alle Hilfen!!

 

Canni

[IThome 10]

Du hast die Default Domain Policy gelöscht ? :shock:

editiert: hatte das Wort gelöscht vergessen :D

[Canni 11]

Hi, danke für die Antwort!

 

Ja, hatte ich! Hab sie aber vor wenigen Tagen gelöscht, um rauszufinden, obs dadurch schneller geht --> nein.

 

Wenn ich "Active Directory-Benutzer und -Computer" aufrufe und dort die Domäne "name.local" mit der rechten Maustaste anklicke --> Eigenschaften --> dann auf den Reiter "Gruppenrichtlinien" dann sehe (sah!) ich dort eine Default Domain Policy!

 

Weshalb darf das so nicht sein?

 

Ich habs jetzt eben so gemacht, dass ich unterhalb von "name.local" eine OU erstellt habe, der ich dann eine neue Gruppenrichtlinie zugewiesen habe. Die Richtlinie soll natürlich nur für die darin enthaltenen User wirken! War das falsch?

 

Danke vielmals!

 

Nachtrag: auch in "Domain Controllers" unterhalb von "name.local" gibt es eine Default Domain Controllers Policy! ?!??!?!?!!?!?!?!?!?!

[TheDonMiguel 11]

Hallo Canni

 

Surf mal zu Gruppenrichtlinien - Übersicht, FAQ und Tutorials. Dort gibt es gute Grundlagen und How To's.

 

Gruss,

TDM

 

P.S. Die "Default xx Policies" sind standartmässig drin und haben wichtige Einstellungen für die Domain. BSP. Die Passwort-Richtlininie, aber das nur so nebenbei ;)

[IThome 10]

Ich denke auch, dass Du den geposteten Artikel mal durcharbeiten solltest. Gerade mit einem DC, der dann auch noch Terminalserver ist, wird die Konfiguration von Richtlinien für User des Terminalservers etwas komplizierter (Stichwort Loopbackverarbeitung angewendet in der Domain Controllers OU)

[Canni 11]

Hallo,

 

danke für die Antworten! Den Artikel kenne ich schon, werde ihn aber noch einmal durchlesen. Naja, es ist eben so, dass ich dachte, dass das Loopbackverarbeitungsmodus-Ding :-) mich nicht tangiert, weil wir eben keine Clients angebunden haben. Und ich muss sagen, es funktioniert ja so, die Gruppenrichtlinien greifen nur für die entsprechenden User.

 

Die Default Domain Policy kann ich wieder einfügen, hab sie nur rausgetan, nicht aber das Objekt gelöscht.

 

Als Domain Controlers Policy hab ich etwas angepasst, z.B. dass auch Fehlgeschlagene Anmeldeereignisse und - versuche protokolliert werden. So in Ordnung?

[TheDonMiguel 11]

BSP zu Loopbackverarbeitung gibt es ein How To. Canni, dieses findest du dort unter "How To - Terminal-Server" (um nicht noch einen Link zu posten)

[Canni 11]

Hi, das hab ich ja schon oft gelesen, bezieht sich aber ja auf Terminalserver, die KEINE Domaincontroller sind? Unser TS ist ja praktisch ein DC für sich selbst, da keine Clients angebunden sind, verstehst? Danke!

[IThome 10]

Du hast schon recht, wenn Du keine Clients hast, die Richtlinien verarbeiten können, kannst Du die Richtlinien auch in einer OU linken, in denen sich die Benutzer befinden. Also einfach eine neue OU erstellen und aller User des TS dorthin verschieben. Dann konfigurierst Du eine Richtlinie und linkst sie dort hinein ...

Loopbackverarbeitung bezieht sich auch auf Server, die DCs sind. Loopbackverarbeitung hat nicht zwingend etwas mit Terminalservern zu tun, wird in diesem Anwendungsgebiet aber häufig eingesetzt ...

[Canni 11]

Hi ITHome, vielen Dank für Deine Antwort, hat mir sehr geholfen, denn es hat mir gezeigt, dass ich doch nicht ganz so falsch liege ... :-)

 

Klar ist, dass man in unserem Falle doch eigentlich keinen DC benötigen würde; den hat der EDV-Typ nur deshalb aufgesetzt, weil dieses eMailprogramm (DAVID) das so benötigt. Seht ihr das auch so?

 

Der Loopbackverarbeitungsmodus wird auch z.B. an Kiosk-Systemen etc. eingesetzt, korrekt? Überall dort eben, wo eine meist restriktivere Richtliniengebung erforderlich ist.

 

Doch in unserem Fall hat es doch keinen Wert, das ganze mit Loopbackverarbeitungsmodus zu konfigurieren, zumal hier keine Clients angebunden sind und auch nicht angebunden werden! --> Und die Frickelei mit den Berechtigungen, damit sich die Administratoren nicht selbst einschänken spare ich mir ?!

 

--> Frage ist aber nach wie vor, ob das normal ist, dass die Benutzeranmeldung doch deutlich länger dauert, als ohne GPs .... und ob das mit Loopbackmethode anders wäre?

 

Achja, die Default Domain Policy hab ich wieder verknüpft :-)

[IThome 10]

Das Active Directory lohnt sich alleine schon deswegen, weil Du OUs erzeugen kannst und dann die User mit Richtlinien einschränken kannst. Auf einem Standalone-Server ist das sehr umständlich. Der Loopbackverarbeitungsmodus wird immer dann eingesetzt, wenn auf einem bestimmten Computer gewisse Benutzereinschränkungen gelten sollen, die für den User an einem anderen Computer nicht gültig sein sollen (z.B. TS oder ein Kiosk-System). Ob es Probleme bei der Verarbeitung der Gruppenrichtlinien gibt, kannst Du in der Ereignisanzeige des DCs sehen. Ebenso kannst Du mit RSOP.MSC sehen, ob alles angewendet wird oder nicht. Du kannst auf dem DC auch den USER PROFILE HIVE CLEANUP SERVICE installieren, der Probleme mit nicht ordnungsgemäss entladenen Profilen behebt. Mir ist aber noch nie aufgefallen, dass sich die Anmeldezeit deutlich verlängert, nur weil Gruppenrichtlinien angewendet werden. Was stellst Du denn ein ?

[Canni 11]

Hi, danke für die schnelle Antwort! Habe den User Profile Hive Cleanup Service schon länger installiert, wegen der Klassenregistrierungsdatei etc ... ... Du kennst das ja :-)

 

Naja, also angewendet wird sie meines wissens schon, muss es nochmal mit RSOP.MSC überprüfen ... sind schon einige Einstellungen ... hmm .. mal schauen was man rausnehmen kann.

 

Ja also bei mir ist der Loopbackverarbeitungsmodus NICHT aktiviert, so in Ordnung?

 

Danke!

[IThome 10]

Ist in Ordnung, muss man ja nicht ...