wegen Richtlinien keine Installation möglich

[cebo 10]

Hallo,

 

hatte gerade per Gruppenrichtlinie und Loopback den TS gesperrt. Obwohl ich mich als domänenadmin direkt am server angemeldet habe, ließ er mich den Adobe Reader nicht installieren. Als Fehlermeldung erschien, dass Richtlinien erlassen wurden, um diese installation zu verhindern. Eigentlich waren Admins doch aus den Richtlinien ausgeschlossen ?

 

Grüsse

 

Cebo

 

wie bekomme ich es eigentlich wieder hin, dass der Administrator/WTS sich an diesem anmelden kann ?

[IThome 10]

Verweigere den Domänen-Admins "Gruppenrichtlinie übernehmen" ...

Was meinst Du mit "wieder anmelden" ? Welche Richtlinien hast Du verändert ? Was steht in "Lokale Anmeldung zulassen" (ist doch ein W2K-Server) ?

[cebo 10]

...

Was meinst Du mit "wieder anmelden" ? Welche Richtlinien hast Du verändert ? Was steht in "Lokale Anmeldung zulassen" (ist doch ein W2K-Server) ?

Hi, seitdem ich die Einstellungen in lokale Anmeldung in der Default Domain Policy gemacht habe, konnte der lokale admin sich am WTS nicht mehr anmelden.

War bestimmt nicht ok oder ? ich habe da auch Einträge gelöscht. Was müsste denn drin stehen

 

Grüsse

 

Cebo

[IThome 10]

Auf jeden Fall "Administratoren", aber generell alle, die sich entweder interaktiv oder via RDP anmelden müssen ...

[cebo 10]

Auf jeden Fall "Administratoren" ...

ok, habs dazugefügt. muss da auch authentifizierter Benutzer rein ?

Die Sicherheitsgruppe des TS muss da garnicht rein oder ?

[IThome 10]

Wenn die sich am TS anmelden sollen, schon, Authentifizierte Benutzer nicht ...

[cebo 10]

die Installation von Adobe klappt immer noch nicht

[IThome 10]

Wer steht in der Sicherheit der Gruppenrichtlinie ?

[cebo 10]

Domänen Admins lesen, schreiben erstellen löschen ..... Gruppenrichtlinie übernehmen verweigert

 

Organisationsadmins und System wie oben ohne übernehmen verweigert

 

 

TS lesen, übernehmen

 

Sicherheitsgruppe lesen übernehmen

[IThome 10]

Und trotzdem werden beim Domänenadmin Richtlinien zugewiesen ? Sind in dieser Richtlinie neben der Loopbackeinstellung auch Einstellungen in der Benutzerkonfiguration vorgenommen worden ? Welche Einstellungen sind ausserdem noch in der Computerkonfiguration eingestellt worden ?

[cebo 10]

administratoren habe ich der lokalen Anmeldung hinzugefügt . der lokale Admin lässt sich trotzdem nicht anmelden.

 

Fehlermeldung: die lokale Richtlinie erlaubt es Ihnen nicht sich interaktiv anzumelden

[IThome 10]

In welcher Gruppenrichtlinie hast Du es zugefügt ? Wo befindet sich diese Richtlinie ?

[cebo 10]

unter AD Benutzer und Computer meine Domäne Das Gruppenrichtlinienobjekt heisst Default Domain Policy

[cebo 10]

Habe gerade mal in die lokalen sicherheitsrichtlinien des TS selber geschaut. Es gibt einstellung der lokalen Richtlinie und Einstellung der effektiven Richtlinie.

 

Die Domänenadministratoren sind effektiv gehagt. lokal nicht. Der lokale admin, also Computername/administrator ist nicht aufgeführt. administratoren ist lokal und effektiv gehakt

[IThome 10]

Jetzt mal in Kürze

1. OU erstellen, in diese OU den Terminalserver schieben

2. In diese OU eine Richtlinie verknüpfen, in der die Loopbackverarbeitung auf Ersetzen steht und die Einschränkungen in der Benutzerkonfiguration vorgenommen werden

3. In der Sicherheitsfilterung dieses GPOs den Domänenadmins "Gruppenrichtlinie übernehmen - Verweigern" anklicken, nichts weiter (die Authentifizierten Benutzer dürfen die Gruppenrichtlinie übernehmen, dazu zählt auch die Gruppe und der TS selbst) ...

4. In dieser Richtlinie das Benutzerrecht "Lokale Anmeldung zulassen" konfigurieren, falls notwendig (muss man eigentlich nicht machen, da die lokale Richtlinie die Anmeldung zulässt, wenn es ein Memberserver ist)

5. Im RDP-TCP Verbindungsobjekt die Gruppe eintragen, die sich anmelden soll, falls notwendig

6. Die bisher eingestellten Richtlinien wieder entfernen