Wolke2k4 11 Geschrieben 29. August 2007 Melden Teilen Geschrieben 29. August 2007 Hallo zusammen, ich kämpfe da gerade mit einem GPO Problem auf zwei W2K3 TS. Ist-Zustand: 1x W2k3 DC 1x W2KDC 2x W2K3 TS, SP2 Auf die OU der beiden TS sind zwei GPOs gelegt. Beide GPOs sind nahezu identisch. GPO2 ist für 3 Nutzer angepasst und wird nur von diesen übernommen. Das eigentliche Problem: Wenn ich als Administrator ein rsop.msc auf beiden TS absetze sehe ich, dass die TS Profiles, die ich in der Computerkonfiguration (Windows Komponenten --> Terminaldienste) hinterlegt habe, auch für den Administrator konfiguriert und aktiviert sind. Ebenfalls ziehen tut die Richtlinie zum Löschen temporärer Profile. gepresult zeigt an, dass beide GPOs in der Computerkonfiguration angewendet werden. Die Benutzereinstellungen werden verweigert, so wie es korrekterweise in den Eigenschaften der GPOs hinterlegt ist. Nun gibt es noch den unschönen Effekt, dass beim Serverneustart das Profil des Administrators gekillt und aber das TSProfil nicht gezogen wird. Eigentlich sollten doch auch in der Computerkonfiguration die GPOs mit verweigert nicht angewandt werden korrekt? Gruß Wolke Zitieren Link zu diesem Kommentar
nobex 10 Geschrieben 30. August 2007 Melden Teilen Geschrieben 30. August 2007 Eigentlich sollten doch auch in der Computerkonfiguration die GPOs mit verweigert nicht angewandt werden korrekt? Beschreib doch mal genauer, was Du womit für wen oder was zu verweigern versuchst. Computer-GPOs gelten immer für alle Benutzer, welche sich an dem/den Rechner(n) anmelden und lassen sich auch nicht für bestimmte Benutzer verweigern, höchstens 'überschreiben'. Sie werden unabhängig (auch ohne Anmeldung) angewendet. Zitieren Link zu diesem Kommentar
Wolke2k4 11 Geschrieben 30. August 2007 Autor Melden Teilen Geschrieben 30. August 2007 Ich möchte lediglich erreichen, dass der TS Profile Pfad über die GPO festgelegt wird. Das ist soweit auch umgesetzt jedoch scheint es für den Administrator Account ein Problem zu sein, denn dessen Profil wird beim Neustart "geplättet". Beziehungsweise wird das TS Profil nicht geladen. Es wurde jedoch schon mal definitv geladen. Es muss doch einen Weg geben Computersettings einer GPO für bestimmte Nutzer zu sperren. Wenn ich bspw. nicht möchte, dass eine bestimmte Gruppe (A) von Nutzern an einem PC das Recht hat Drucker zu löschen, andere Gruppen (B und C) dies aber durchaus tun dürfen muss ich den Gruppen (B und C) die die Drucker löschen dürfen doch das Recht die GPO zu übernehmen die das Löschen verbietet oder sehe ich das falsch? Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 30. August 2007 Melden Teilen Geschrieben 30. August 2007 Hm, ich wüsste nicht. Man kann für bestimmte Benutzer Einschränkungen anwenden, wenn sie sich an bestimmten Computern anmelden (Loopback), aber nicht, wenn etwas in der Computerkonfiguration für einen bestimmten Computer eingestellt ist ... Das mit Deinem Beispiel siehst Du IMHO falsch, ausser wenn man sowas in der Benutzerkonfiguration einstellt ... Zitieren Link zu diesem Kommentar
Wolke2k4 11 Geschrieben 1. September 2007 Autor Melden Teilen Geschrieben 1. September 2007 Hm, ich wüsste nicht. Man kann für bestimmte Benutzer Einschränkungen anwenden, wenn sie sich an bestimmten Computern anmelden (Loopback), aber nicht, wenn etwas in der Computerkonfiguration für einen bestimmten Computer eingestellt ist ... Der Loopback ist natürlich aktiviert, ist ja ein TS. Das mit Deinem Beispiel siehst Du IMHO falsch, ausser wenn man sowas in der Benutzerkonfiguration einstellt ... OK, wenns in der Userkonfig steht, was es aber leider nicht tut, da der Eintrag hier einfach fehlt. Wie so viele andere Einträge die nur in der Computerkonfig stehen. Wenn es nun wirklich so ist, dass Einstellungen in der Computerkonfiguration global und immer für den Computer angewandt werden, unabhängig davon, dass einem Nutzer das Recht die GPO zu übernehmen verweigert wurde, ist mir nicht ganz klar, wie man es bewerkstelligen soll, dass unter anderem bspw. Nutzern auf einem TS unterschiedliche TS Profilpfade zugewiesen bekommen. Das Beispiel mit den Drucker gilt hier auch und sicher noch viele andere. Wie realisiert Ihr, dass verschiedene Computereinstellungen einer GPO abhängig vom jeweils angemeldeten Nutzer greifen? Ich kann mir einfach nicht vorstellen, dass das nicht gehen soll. Zitieren Link zu diesem Kommentar
Userle 145 Geschrieben 1. September 2007 Melden Teilen Geschrieben 1. September 2007 So ganz kann ich das nicht nachvollziehen. Wenn für eine GPO der Zugriff für einen User - hier der Administrator - verweigert wird, dürfte diese nicht wirksam werden. Weder Benutzer- noch Computerteil. Werde da aber mal in meiner Testumgebung nachvollziehen. Greetings Ralf Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 2. September 2007 Melden Teilen Geschrieben 2. September 2007 Wenn im Computerteil konfiguriert wird, wird für Computerobjekte angewendet. Hier gilt Loopback, was bedeutet, dass Einstellungen in der Benutzerkonfiguration für Benutzer gelten, die sich an dem Loopback konfiguriertem Rechner anmelden. Entzieht man einem Benutzer die Berechtigung Lesen und Gruppenrichtlinie übernehmen, gelten die Einstellungen für diesen User an diesem Computer nicht (wohlgemerkt die Einstellung in der Benutzerkonfiguration). Deine Vermutung ist daher falsch, was Du in der Testumgebung aber auch selbst sehen wirst ... Zitieren Link zu diesem Kommentar
Wolke2k4 11 Geschrieben 2. September 2007 Autor Melden Teilen Geschrieben 2. September 2007 Soweit hatte ich das ja auch festgestellt. Bisher ist mir das noch nie so aufgefallen, weil ich TS Profiles bisher immer über das ADS angebunden habe... Wie dem auch sei... vielleicht sehe ich das alles falsch oder ich übersehe generell etwas aber aus meiner Sicht ist dieses Verhalten ein großer "Desingfehler". Ich habe nämlich keine Möglichkeit Computereinstellungen Nutzer bezogen anzuwenden. Und es ist ein echtes Problem, wenn Policies nur in der Computerkonfig verfügbar sind, nicht jedoch in der Userkonfig. Ich kann mir auch nicht vorstellen, dass es so abwägig ist bestimmte Computereinstellungen nur auf bestimmte Nutzer wirken zu lassen als dass ein solches Vorhaben über die GPOs nicht zu realisieren ist. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.