TS - Policy greift nicht?

[IThome 10]

In der Sicherheit des GPOs, was ist da eingetragen ? Was sagt RSOP.MSC auf dem TS ?

[Forentroll 10]

mach doch vielleicht mal ein gpresult auf dem TS und überprüfe ob die Richtlinie überhaupt übernommen wird.

 

Andernfalls, wenn du die gpmc installiert hast, lass mal den "Gruppenrichtlinienergebnissatz" laufen und schau was der sagt.

 

In den Sicherheitseinstellungen der GPO kannst du sehen für welche Objekte die GPO wie greifen soll, sprich darf ein Objekt die GPO lesen und auch übernehmen. Füge den TS da mal bei und geb ihm die Berechtigung "lesen" und "Richtlinie übernehmen". Ebenso muss da die Gruppe bzw. die User drin sein für die die Richtlinie greifen soll.

 

In dem Fall handelt es sich meist um Berechtigungsproleme.

 

Gruß der

Forentroll

 

 

edit: Damn da war wieder mal einer schneller mit dem posten^^ und das auch noch viel kürzer ;)

[Gadget 37]

rsop.msc (Resultant set of Policies) läuft auch ohne installierte GPMC auf nem 2k3 Server.

 

Zur Sicherheitsfilterung für Loopback Policies = Authentifizierte Benutzer / Gruppenrichtlinien Lesen / Gruppenrichtlinie übernehmen

Domänen-Administratoren = Gruppenrichtlinie übernehmen haken raus.

 

@Forentroll: Vergiss nicht wir reden von einer Loopback Policy deswegen muss der Computer-Account des TS entsprech richtig als Target vorgegeben sein:

- Bei Auth. Benutzer ist das Computerkonto per Sicherheitsfilterung eingeschlossen...

- 2. Muss natürlich die richtige OU gewählt sein wo der TS-Computer-Account darunter liegt, was wir aber von der ferne hier schlecht überprüfen können.

- Ist die Richtlinie evtl. deaktiviert?

 

grouppolicy - Targeting GPOs

 

Security Filtering. By modifying the security groups associated with a GPO, the application of the GPO can be further refined. For example, if a GPO is linked to OU A and has a security filter for the MyGroup security group, then all accounts that are in OU A and MyGroup will be affected by the GPO. By default a newly created GPO's security Access Control List (ACL) contains an Access Control Entry (ACE) for the Authenticated Users group which has the Read and Apply Group Policy permissions. Since Authenticated Users includes all computers and users in the domain, a new GPO will be processed by all users and computers. So, for example, if you want to restrict a GPO's application to only the users in MyGroup, you would remove the Authenticated Users ACE and add one for MyGroup with Read and Apply Group Policy permissions.

 

LG Gadget

[eXOs 10]

Morgen zusammen und an der Stelle mal ein dickes Danke für eure Unterstützung!

 

Also, wie gestern geschrieben hab ich ihn ja runtergefahren und der "Neustart" hat leider nichts gebracht.

 

@IThome: Sorry das blicke ich nicht. Wenn ich RSOP.MSC ausführe bekomme ich den Richtlinienergebnissatz, da seh ich aber nicht viel?

 

@Forentroll: gpresult hat folgendes gesagt:

RSOP-Daten für XXXXX\Administrator auf XXXXX: Protokollmodus
-------------------------------------------------------------

Betriebssystemtyp:           Microsoft(R) Windows(R) Server 2003 Standard Editio
n
Betriebssystemkonfiguration: Mitgliedsserver
Betriebssystemversion:       5.2.3790
Terminalservermodus:         Anwendungsserver
Standortname:                Standardname-des-ersten-Standorts
Zwischengespeichertes Profil:
Lokales Profil:              C:\Dokumente und Einstellungen\Administrator
Langsame Verbindung?         Nein


COMPUTEREINSTELLUNGEN
----------------------

   Letzte Gruppenrichtlinienanwendung:   03.04.2007, um 09:35:36
   Gruppenrichtlinieanwendung von:       xxxx.xxxxxxx.xxxxxxx.xx
   Schwellenwert für langsame Verbindung:500 kbps
   Domänenname:                          xxxxx
   Domänentyp:                           Windows 2000

   Angewendete Gruppenrichtlinienobjekte
   --------------------------------------
       Default Domain Policy
       Richtlinien der lokalen Gruppe

   Folgende herausgefilterte Gruppenrichtlinien werden nicht angewendet.
   ----------------------------------------------------------------------
       DB-Gruppenrichtlinienobjekt
           Filterung:  Nicht angewendet (Leer)

   Der Computer ist Mitglied der folgenden Sicherheitsgruppen
   ----------------------------------------------------------
       Administratoren
       Jeder
       Benutzer
       NETZWERK
       Authentifizierte Benutzer
       Diese Organisation
       XXXXX$
       Domänencomputer


BENUTZEREINSTELLUNGEN
----------------------

   Letzte Gruppenrichtlinienanwendung:   03.04.2007, um 09:37:07
   Gruppenrichtlinieanwendung von:       Nicht zutreffend
   Schwellenwert für langsame Verbindung:500 kbps
   Domänenname:                          XXXXX
   Domänentyp:                           Windows 2000

   Angewendete Gruppenrichtlinienobjekte
   --------------------------------------
       Nicht zutreffend

   Folgende herausgefilterte Gruppenrichtlinien werden nicht angewendet.
   ----------------------------------------------------------------------
       Richtlinien der lokalen Gruppe
           Filterung:  Nicht angewendet (Leer)

   Der Benutzer ist Mitglied der folgenden Sicherheitsgruppen
   ----------------------------------------------------------
       Kein
       Jeder
       Administratoren
       Benutzer
       INTERAKTIVE REMOTEANMELDUNG
       INTERAKTIV
       Authentifizierte Benutzer
       Diese Organisation
       LOKAL
       NTLM-Authentifizierung

 

Wenn ich das richtig sehe sacht er doch, das nur die "Default Domain Policy" und die "Richtlinien der lokalen Gruppe" aktiv sind, ist aber auch der lokale Admin, beim DomänenAdmin das gleiche und ein paar zusatzinfos bezüglich des Benutzers die wir hier denke ich nicht brauchen. Hab das mal noch mit einem TS-User gemacht und dort ist unter "BENUTZEREINSTELLUNGEN" nur die "Default Domain Policy" aktiv, also nicht die die aktiv sein sollte.

 

@Gadget: das Ergebnis von rsop.msc sacht mir an der stelle ja auch nicht mehr wie das von gpresult, oder sehe ich das falsch?

 

Zur Sicherheitsfilterung für Loopback Policies = Authentifizierte Benutzer / Gruppenrichtlinien Lesen / Gruppenrichtlinie übernehmen

Domänen-Administratoren = Gruppenrichtlinie übernehmen haken raus.

 

Das versteh ich jetzt leider nicht. UNd auch der Link hilft mir da leider auch nicht weiter.

[IThome 10]

Naja, den sollst Du ja auch kriegen, schaue in dem entsprechenden Punkt in der Computerkonfiguration nach, ob Loopback überhaupt aktiviert wurde. Wenn nicht, baue Dir zum Test ein neues GPO mit dieser Einstellung und führe erneut RSOP.MSC aus. Laut GPRESULT wird jedenfalls nichts ausser den Default Richtlinien angewendet. Welche Richtlinie ist denn in die OU des Terminalservers gelinkt ?

[eXOs 10]

also du meinst doch jetzt: "Computerkonfiguration - Administratiove Vorlage - System - Gruppenrichtlinien", oder?

 

Da ist Loopbackverarbeitungsmodus für Benutzergruppenrichtlinie aktiviert

[IThome 10]

In welcher Richtlinie ? Wie heisst sie ? Wo ist sie gelinkt ?

[eXOs 10]

In welcher Richtlinie ? Wie heisst sie ? Wo ist sie gelinkt ?

 

Aha, jetzt wird es etwas klare: Richtlinie der lokalen Gruppen. Wenn ich aber in die Eigenschaften der gewollten Richtlinie gehe, ist der Loopbackverarbeitungsmodus auch aktiviert, Modus ersezten

[IThome 10]

Mach mal folgendes, gehe in die Gruppenrichtlinienverwaltung (auf dem DC) und erzeuge und linke in die OU, in der sich der TS befindet, eine neue Richtlinie, die Du TS-Loopback z.B. nennst. In dieser Richtlinie konfigurierst Du die Loopbackverarbeitung in der Computerkonfiguration und in der Benutzerkonfiguration erstmal einige wenige Dinge. Dann klickst Du diese Richtlinie an, rechts auf Delegierung und unten rechts auf Erweitert. Dann setzt Du bei den Domänen-Admins bei Gruppenrichtlinie übernehmen einen Haken bei Verweigert.

Jetzt noch ein GPUPDATE auf dem TS und wieder RSOP.MSC. Wenn angewendet wurde, meldest Du Dich einmal mit einem Benutzer an und einmal mit einem Domänen-Admin und prüfst, ob auch die Benutzerrichtlinien angewendet wurden, beim Admin dagegen nicht ...

[eXOs 10]

Muss ich dazu zwingend am DC sein? Wenn ich auf dem TS die gpmc öffne geht das doch auch, oder nicht?

[IThome 10]

Ja klar, das geht auch ...

[eXOs 10]

Loopbackverarbeitung bei RSOP.MSC wieder nur "Richtlinie der lokalen Gruppen"

[IThome 10]

Wo befindet sich der TS, wo die Richtlinie ?

[eXOs 10]

Wo befindet sich der TS, wo die Richtlinie ?

 

Sorry, ich blicks wieder nicht. Ich habe unterhalb der Domäne zwei OUs mit folgenden einträgen:

- Domain Controllers

- Default Dommain Controllers Policy

- Neues Gruppenrichtlinienobjekt

 

- TS-User

- TS

 

wqenn ich das richtig sehe sind das immer die Verknüpfungen. Darunter die

 

- Gruppenrichtlinienobjekte

- DB-Gruppenrichtlinie

- Default Domain Controllers Policy

- Default Domain Policy

- Neues Gruppenrichtlinienobjekt (was das da macht weiß ich auch nicht)

- Ordnerumleitung

- TS

 

Im Gruppenrichtlinienobjekte TS steht folgendes:

Pfad: TS-User

Erzwungen: Ja

Verknüpfung aktuiviert: Ja

Pfad: xxxx.xxxxx.xx/TS-User

 

unter Sicherheitsfilterung habe ich zwei Einträge

XXXXX$ (xxxxx\XXXXX$) (wobei hier XXXXX für den TS-Namen und xxxx für den Domainnamen steht)

TS-Benutzer

[IThome 10]

Du erzeugst Dir mit Active Directory Benutzer und Computer eine neue OU mit Namen Terminalserver. In diese OU verschiebst Du das Computerkonto des Terminalservers. In der Gruppenrichtlinienverwaltungskonsole klickst Du mit rechts auf die neue OU und erzeugst und verknüpfst ein neues Richtlinienobjekt, in dem Du Loopback aktivierst und etwas in der Benutzerkonfiguration einstellst. In dem GPO TS-USER entfernst Du den Haken erzwungen (wofür auch immer ein GPO für Terminaleinschränkungen erzwungen werden muss).

Ich muss allerdings dazu sagen, dass ich von hier aus nicht sehen kann, warum dies oder das konfiguriert wurde, finde aber, dass es irgendwie gebastelt aussieht (besonders die erzwungene Richtlinie).

Das Ziel dieser Konfiguration soll sein, dass die User, die sich am Terminalserver anmelden, eingeschränkt werden. Wenn sie sich lokal anmelden dagegen nicht ...