wegen Richtlinien keine Installation möglich

[cebo 10]

unter lokale anmeldung verweigern steht im WTS Computername\ASPnet bedseitig gehakt

[IThome 10]

Mache es so, wie beschrieben :)

[cebo 10]

Jetzt mal in Kürze

1. OU erstellen, in diese OU den Terminalserver schieben

2. In diese OU eine Richtlinie verknüpfen, in der die Loopbackverarbeitung auf Ersetzen steht und die Einschränkungen in der Benutzerkonfiguration vorgenommen werden

3. In der Sicherheitsfilterung dieses GPOs den Domänenadmins "Gruppenrichtlinie übernehmen - Verweigern" anklicken, nichts weiter (die Authentifizierten Benutzer dürfen die Gruppenrichtlinie übernehmen, dazu zählt auch die Gruppe und der TS selbst) ...

4. In dieser Richtlinie das Benutzerrecht "Lokale Anmeldung zulassen" konfigurieren, falls notwendig (muss man eigentlich nicht machen, da die lokale Richtlinie die Anmeldung zulässt, wenn es ein Memberserver ist)

5. Im RDP-TCP Verbindungsobjekt die Gruppe eintragen, die sich anmelden soll, falls notwendig

6. Die bisher eingestellten Richtlinien wieder entfernen

 

zu 1 yes

zu2 yes

zu3 soll ich hier lesen schreiben, erstellen und löschen die Häkchen weg nehmen ?

zu 4 habe ich bisher nicht

zu 5 yes

zu 6 Meinst Du die bisher eingestellten Richtlinien in der erstellten OU? Was ich da eingestellt habe, kannst du hier sehen So sperren Sie eine Windows 2000-Terminalserversitzung

[cebo 10]

alles klar

[IThome 10]

zu 3: Nein

zu 6: Ja, stelle es in der neuen Richtlinie ein und lösche die alte. Entferne auch die Einstellungen, die Du in irgendeiner anderen Richtlinie eingestellt bzw. stelle sie auf den Ursprungswert zurück ...

[cebo 10]

habs so gemacht. es gibt aber noch keine Gruppe in dieser OU aber authentifizierte Benutzer steht drin

[cebo 10]

die neuen Gruppenrichtlinien sind aktiv und ich kann auch adobe installieren

[IThome 10]

Also alles okay ?

[cebo 10]

soweit, ich aktiviere jetzt mal alle gewünschten Optionen in der neuen Richtlinie. Muss ich denn die Sicherheitsgruppe nicht anlegen ?

[IThome 10]

Nein, brauchst Du nicht. Vergiss aber nicht, den Domänenadmins das Übernehmen zu verweigern ...

[cebo 10]

Ich hab das Übel jetzt dingfest gemacht, obwohls mir unlogisch erscheint.

 

Ich hatte das gleiche Problem gerade wieder. d.h. die Admins konnten auf dem TS kein Programm installieren.

In der Gruppenrichtlinie gibt es unter Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Windows Installer die Einstellung Windows Installer deaktivieren, immer. Das "immer" ist hier offensichtlich wörtlich zu nehmen.

 

Wenn ich das aktiviere, dann können auch die Admins nicht mehr installieren. Alle anderen in der Richtlinie gesetzten Einschränkungen scheinen für Admins nicht zu gelten.

 

Habe die o.g. Einstellung wieder deaktiviert, den TS neu gestartet und konnte als admin wieder installieren.

 

Wie kann das sein ?

[IThome 10]

es ist eine computerkonfiguration, die sich nicht auf benutzer bezieht ... Alle anderen Einschränkungen in der Benutzerkonfiguration gelten nicht für die Admins ...

[cebo 10]

wenn ichs jetzt aber doch für User einschränken möchte, welche option aus windows installer sollte ich dann aktivieren?

 

Grüsse

 

Cebo

[IThome 10]

User können nichts installieren, solange sie nur Benutzer sind. In der Benutzerkonfiguration gibt es nicht die Einstellmöglichkeiten wie in der Computerkonfiguration. Und diese Einstellungen gelten für alle. Ich habe bisher noch nie den Windows-Installer deaktiviert ...

[cebo 10]

alles klar, dann steht in der Microsoft Anweisung noch drin, dass wenn man die Systemsteuerung deaktiviert auch Admins keine MSI Pakete installieren könnten. Wasn das ?