zKcHusi 10 Geschrieben 20. Juni 2007 Melden Teilen Geschrieben 20. Juni 2007 Hi, ich habe so ein kleines Problemchen mit einer GPO die ich geschrieben habe. Ich möchte die GPO gerne ausschließlich auf den Terminalserver anwenden. Das Problem an der Sache ist jetzt folgendes, der Terminalserver ist auch gleichzeitig DomänenController. Kann ich einfach die GPO nehmen und auf den Ordner DomainControllers "verlinken" und zusätzlich sagen das die GPO dann auch nur für die Gruppe TS-Benutzer die sich remote einloggen gilt? Was sagt ihr dazu??? Jetzt keine Diskussionen bitte über die sinnigkeit von Terminalservices und DomänenControllern!!!!!!!!! Ich weiss selber das das nicht die beste idee ist, aber da sowieso nur 5 Leute auf dem TS arbeiten ist das finde ich nicht so tragisch! Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 20. Juni 2007 Melden Teilen Geschrieben 20. Juni 2007 Du linkst ein GPO in die Domaincontrollers OU, in dem Du die Loopbackverarbeitung auf ersetzen stellst und in der Du die relevanten Benutzereinstellungen definierst. In der Sicherheitsfilterung entfernst Du die Gruppe Authentifizierte Benutzer und fügst stattdessen die Benutzergruppe mit den Mitgliedern zu, die auf den TS zugreifen und eingeschränkt werden sollen. Dieser Gruppe gibst Du die Berechtigung Lesen und Gruppenrichtlinie übernehmen. Den Domänenadmins verweigerst Du Gruppenrichtlinie übernehmen. Das Computerkonto des DCs brauchst Du nicht zufügen, da per Default die Gruppe Domänencontroller der Organisation die Berechtigung Lesen auf das GPO haben (um die Loopbackverarbeitung zu aktivieren, was in der Computerkonfiguration eingestellt wird). Du musst hier noch den Haken Gruppenrichtlinie übernehmen anhaken. Dieses GPO setzt Du in der Priorität höher als die Default Richtlinie. Hast Du mehr als einen DC, lässt Du die Berechtigungen für die Domänencontroller der Organisation so wie sie ist und fügst das Computerkonto des DC/TS zu und gibst diesem die Berechtigung Lesen und Gruppenrichtlinie übernehmen. Zitieren Link zu diesem Kommentar
vmorbit 10 Geschrieben 20. Juni 2007 Melden Teilen Geschrieben 20. Juni 2007 Mit Loopback Processing müsste das schon möglich sein... Die Frage ist: Ist jeder DomainController auch ein TerminalServer oder nur einer? edit: ups...da war schon jemand schneller Zitieren Link zu diesem Kommentar
djmaker 95 Geschrieben 20. Juni 2007 Melden Teilen Geschrieben 20. Juni 2007 Hmmm, kein Kommentar zu der Konstellation: Du kannst (zumindest bei w2k3 -Gruppenrichtlinienverwaltung) WMi-Filter setzen (z.B. auf User / Gruppen, rechts unten in der Gruppenrichtlinienkonsole). Das ist aber nur bei grurili sinnvoll die auf Benutzer ziehen. Bei den grurili für den DC / TS kannst du nicht viel filtern da es die gleiche Maschine ist. PS: eventuell ist es notwendig die benutzeraktiven Richtlinien in der Richtlinienreihenfolge der DC-OU als letztes zu setzen (wegen Reihenfolge der Abarbeitung). EDIT: Sorry, die anderen Posts waren schneller . . . Zitieren Link zu diesem Kommentar
zKcHusi 10 Geschrieben 20. Juni 2007 Autor Melden Teilen Geschrieben 20. Juni 2007 Hi, danke schonmal. Ich hatte mir das ja so ähnlich auch schon gedacht und bereits vorbereitet. Jetzt habe ich das ganze auch grade durchgeführt, bloss bekomme ich jetzt im Fenster der Gruppenrichtlinienergebnisse die Meldung Abgelehnte GruppenrichtlinienobjekteAusblenden Name Verknüpfungsstandort Grund: abgelehnt Terminalserver GPO xxx.local\Domain Controllers Zugriff verweigert (Sicherheitsfilterung) während er alle anderen GPOs annimmt. In den Einstellungen der GPO sehe ich zusätzlich diese Informationen, und denke mal ich hab mir die GPO grade zerhauen :D Fehler beim Zusammenstellen von Informationen für Administrative Vorlagen. Folgende Fehler sind aufgetreten: Das Format der .adm-Datei "\\xxx.local\SysVol\lob-personal.net\Policies\{00C1A056-C380-499C-8348-F33BC65C8DAD}\adm\word11.adm" ist ungültig, sie muss ersetzt werden. Details: In Zeile 818 muss eine Zeichenfolge stehen. Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 20. Juni 2007 Melden Teilen Geschrieben 20. Juni 2007 Was hast Du denn konfiguriert, so wie ich geschrieben habe ? Welche Richtlinie wird nicht angewendet, eine aus der Benutzerkonfiguration ? Andere Benutzerrichtlinien aber schon ? Beschreibe das mal möglichst genau. Der zweite Fehler hat was mit Deiner ADM-Datei zu tun, nicht mit der Anwendung der Gruppenrichtlinie an sich ... Die benutzerbezogenen Richtlinien kannst Du in dem GPO anwenden, in dem auch die Loopbackverarbeitung gesetzt ist. Sie werden nur angewendet, wenn sich jemand am DC/TS anmeldet (lokal oder via RDP) ... Zitieren Link zu diesem Kommentar
zKcHusi 10 Geschrieben 20. Juni 2007 Autor Melden Teilen Geschrieben 20. Juni 2007 Also, ich hatte die GPO für den Terminalserver ja bereits vorbereitet. Diese lag allerdings noch auf der höchsten Ebene, so das diese GPO sich auf die komplette Domäne auswirkte ;) Was ja bis jetzt noch nicht schlimm ist, da noch keine Rechner zu Mitgliedern der Domäne gemacht wurden. Da ich das jetzt aber angehen möchte, muss ich natürlich die GPO verlinken. Was habe ich gemacht? Ich bin in der Gruppenrichtlinienverwaltung auf den Punkt Gruppenrichtlinienobjekte gegangen, und habe von dort aus die GPO per Drag n Drop verschoben und zwar auf die OU = Domain Controllers. Jetzt stehen natürlich 2 GPOs in der OU. Einmal klar die Default Domain Controller Policy und die Terminalserver GPO. Wie du ja bereits geschrieben hast, sollte ich die Loopbackverarbeitung aktivieren (das habe ich getan in der Terminalserver GPO). Danach habe ich sichergestellt, das die GPO sich auf den Ordner DomainControllers verknüpft hat. Unter der Sicherheitsfilterung steht auch meine Gruppe TS-Benutzer. edit: Hatte noch vergessen zu erwähnen das ich natürlich die Terminalserver GPO auf Platz 1 vor die Default DomainController Policy gesetzt habe Im Fenster Delegierung habe ich nichts geändert. Ich kann mal gleich versuchen ein paar bilders hochzuladen damit ihr das dann auch sehen könnt. Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 20. Juni 2007 Melden Teilen Geschrieben 20. Juni 2007 Wenn Du an der Delegierung nichts verändert hast, sollten die Richtlinien greifen, da per Default die Authentifizierten Benutzer Lesen und Gruppenrichtlinie übernehmen haben und zu dieser Gruppe gehören auch die Computerkonten. Wo hast Du denn die Benutzereinstellungen konfiguriert ? Auch in dem GPO, in dem Du Loopback eingeschaltet hast ? Zitieren Link zu diesem Kommentar
zKcHusi 10 Geschrieben 21. Juni 2007 Autor Melden Teilen Geschrieben 21. Juni 2007 Hi, so ich habe jetzt grade nochmal gebastelt. Ich habe die Gruppe Authentifizierte Benutzer hinzugefügt, und meine Ts-Benutzergruppe gelöscht. Danach habe ich dann die Gruppenrichtlinienergebnissanalyse ;) durchlaufen lassen und siehe da die GPO greift wieder. Jetzt bin ich etwas "verwundert" um ehrlich zu sein. Trotzdem werde ich jetzt nochmal probieren, die TS-Benutzer hinzuzufügen und dann mal schauen was er dann sagt! Danke schonmal edit 2: Habe grade die Gruppe TS-Benutzer wieder hinzugefügt, und es ist wieder das gleiche spielchen. Aus einem mir unerfindlichen Grund verweigert die Gruppe TS-Benutzer die übernahme der GPO. Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 21. Juni 2007 Melden Teilen Geschrieben 21. Juni 2007 Hast Du der Gruppe "Domänencontroller der Organisation" die Berechtigung Gruppenrichtlinie übernehmen" gegeben ? Zitieren Link zu diesem Kommentar
zKcHusi 10 Geschrieben 21. Juni 2007 Autor Melden Teilen Geschrieben 21. Juni 2007 nope, die steht derzeit nur mit lesen drin! *verwundertbin* Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.