Herunterfahren an einem Rechner für div. Benutzer ausblenden

[brb 10]

@ITHOME

 

erstmal danke habe in spalte Sicherheitsfiltering meine beiden usern und den computer hinzugefügt..

 

wenn ich die gpo nun auf den dc verknüpfe sind alle anderen user aussen vor richtig?

 

edit:// so habe die beiden user und den rechner da eingepflegt und es auf DC verknüpft leider setzt es nicht durch

[MCSE_SF 10]

Hallo.

Standardmäßig kann kein Benutzer der vordefiniert der Gruppe Benutzer angehört ein Remotesystem herunterfahren, er muss schon Mitglied der Administratoren-Gruppe sein! Das ist auf einem Client und auf einem Server dergleiche Fall. Er kann sich nur abmelden!

 

Gruß

MCSE_SF

[IThome 10]

Du meinst die OU "Domain Controllers" ? Da dort keine Benutzerobjekte existieren, die Loopbackverarbeitung aktiviert ist und die entsprechenden Einstellungen in der Benutzerkonfiguration gemacht wurden (sicherheitsgefiltert), gilt es für alle sicherheitsgefilterten Benutzer, die sich interaktiv am DC anmelden.

Ist der DC ein Terminalserver ? Oder warum melden sich da Benutzer an ? Benutzer, die keine Administratoren oder Operatoren sind ?! Oder sind das Administratoren/Operatoren ?

[brb 10]

okey

 

Ich erstell ne OU... in die OU kommt der rechne rund die beiden user rein..

 

ich verknüopf meine gpo mit dieser ou.. klappt das dann??

 

das mit loopback versteh ich leider nicht:(

–

2 server ist hier beide w2k ..eine ist domäne eine ist Terminal.. da sollen sich die user von niederlassung über remote einwählen ..einwahl und co. klappt auch (server gespeicherte profile) nur möchten wir halt das die user weder Systemsteuerung sehen noch herunterfahren können

[IThome 10]

Du redest die ganze Zeit von einem Rechner, dann auf einmal vom Domänencontroller. Was denn nun ? Ein normaler Rechner oder ein Domänencontroller ? Was genau hast Du denn vor ? Was machen User auf einem DC ?

 

Erstelle für den TS eine OU und stelle so ein, wie oben beschrieben ...

Einsatz von Gruppenrichtlinien auf einem Terminal Server

[brb 10]

nein kein DC... user logen sich an den "exchange Server" an da der auch als Terminalserver dient...

 

Geschäftleitung möchte geld spaaren und darum Remotedesktop ...

[IThome 10]

Ach herrje, ein Exchange, der auch als Terminalserver im Anwendungsmodus arbeitet (da sage ich jetzt mal gar nichts zu :D) ... Wie auch immer, so, wie schon beschrieben ...

[NorbertFe 2.110]

Für dieses GPO aktivierst Du Loopbackverarbeitung auf "Zusammenführen" und wendest es auf die OU an, in dem sich das entsprechende Computerkonto befindet.

 

Da es sich um eine Computerrichtlinie handelt, braucht er den Loopbackmodus theoretisch nicht.

 

Bye

Norbert

[IThome 10]

Wenn es nur das Benutzerrecht ist, geben ich Dir recht ... "Befehl "Herunterfahren" entfernen und Zugriff darauf verweigern" ist eine Einstellung der Benutzerkonfiguration. Das Benutzerrecht muss auf einem Server eigentlich nicht eingestellt werden, zumindest nicht, wenn die Benutzer als Benutzer zugreifen und nicht als Mitglieder höherprivilegierter Gruppen ...

Da sich die Ausgangslage auch ein wenig verändert hat, müsste man auch prüfen, ob man auf "Zusammenführen" oder "Ersetzen" stellen muss ...

[brb 10]

Also es funktioniert immernoch nicht..

 

OU erstellt.. Computer hineingeschoben... meine vorgefertigte und getestete gpo auf die OU verknüpft.. loopback aktiviert und zusammenführen bestätigt.. Sicherheitsfilter frei geräumt.. delegieren die user und rechner lesen rechte zugewiesen..

 

wenn ich mich aber anmeldet zieht es nicht durch

[MCSE_SF 10]

Hallo.

Da sie sich als Benutzer dort anmelden ist es vollkommen egal ob die dann das Applet "Systemsteuerung sehen" oder die Herunterfahren-Schaltfläche. Die Benutzer werden das Remotesystem nicht herunterfahren können, wenn sie nicht in der Admin-Gruppe sind, desweiteren werden diese User auch bei Remoteanmeldung in der Systemsteuerung nichts systemtechnisches verändern können was den Server in Gefahr bringen könnte. Wenn Du trotzdem diese Applets ausblenden willst kannst Du es mithilfe von GPOs wie hier beschrieben realisieren, wober ich das nicht für nötig betrachte. (Wobei es zu betrachten gilt ob es sinnvoll ist diese RDPs zu diesem Server zu gestatten???)

Weiterhin hast Du die Möglichkeit über die RDP-Verbindung über Optionen "Programme" ein einziges Programm lokal (per Dateipfad) mitstarten zu lassen, auch wenn Du das Programm minimierst ist auf dem dahinterligendem Desktop keine Verknüpfung vorhanden, geschweige denn das Startmenü/Taskleiste. Sobald der Benutzer die mitstartende Apll beendet wird auch die Remotesitzung ordentlich getrennt.

 

Gruß

MCSE_SF

[IThome 10]

"Lesen" und "Gruppenrichtlinie übernehmen" für die Benutzer und das Computerkonto des TS auf Erlauben. Die Authentifizierten Benutzer raus. Welche Einstellungen im GPO hast Du denn vorgenommen ?

[brb 10]

"Lesen" und "Gruppenrichtlinie übernehmen" für die Benutzer und das Computerkonto des TS auf Erlauben. Die Authentifizierten Benutzer raus. Welche Einstellungen im GPO hast Du denn vorgenommen ?

 

 

 

was meinst du mit TS auf erlauben??

 

hier meine einstellugnen..und damit klappt es nicht..

 

 

[Sunny61 812]

Wer steht im ersten Bild ganz oben bei Lesen drin?

[IThome 10]

Klick im Reiter "Delegierung" unten mal auf "Erweitert". Ist für SERVER2 und den Benutzer "Lesen" und "Gruppenrichtlinie übernehmen" angehakt ?

Schon mal SECEDIT /REFRESHPOLICY MACHINE_POLICY /ENFORCE auf dem TS (Windows 2000) oder GPUDATE (Windows 2003) durchgeführt ?