GP für User Vertrauter Domain

[Concept 10]

Hallo zusammen,

 

wie kann man es realisieren User in ihren rechten zu beschneiden wenn ich diese nur via Globaler Gruppe aus einer Vertrauten Domain in meinem AD habe? Dafür muss es doch auch eine Möglichkeit geben? Gruppenrichtlinien werden ja nicht auf Globale Gruppen angewandt. Ziel ist es Sie bei der Anmeldung an Terminalserver zu beschränken.

 

Danke schon mal.

 

Gruß Dennis

[vmorbit 10]

D.h. du willst dass sich diese User nicht am TS anmelden dürfen?

Dann machst eine GPO für TerminalServer, falls es noch keine gibt und unter Computerkonfiguration => Windows-Einstellungen => Sicherheitseinstellungen => Lokale Richtlinien => Zuweisen von Benutzerrechten => Anmeldung über Terminaldienste verweigern...

 

Dort die Gruppe rein und ferdisch ;)

[Concept 10]

Leider nicht so einfach. Genau diese User sollen sich anmelden können, nur habe ich die User Konten ja nicht in meinem AD. Folglich kann ich die User ja nicht mir Terminalserver Profilen ausstatten oder in Ihren Rechten auf dem Terminalserver beschneiden (Systemsteuerung öffnen, Netzwerk durchsuchen etc.)

 

Domain A______________Domain B

 

globale Guppen_________Terminalserver

->User Account_________Domain Lokale Gruppen

______________________->(inhalt globale Gruppen aus A)

 

Das ich die User über die Verzeichnisberächtigung beschränken kann ist, nur wie gesagt, wie sieht es mit Terminalserver Profilen aus oder das beschränken Ihrer Terminalserver Umgebung?

 

Problem erkannt?

–

Ist mein Vorhaben nicht umsetzbar? oder einfach nur nicht so einfach zu lösen?

[Stephan Betken 43]

Ist umsetzbar und einfach zu lösen.

Per GPO kannst du in der Computerkonfiguration unter Terminaldienste den "Pfad für servergespeicherte Profile der Terminaldienste festlegen". Andere Anpassungen kannst du doch ebenfalls per GPO einstellen. (Loopbackmodus nicht vergessen.)

[Concept 10]

Danke erstmal für die Antwort, bin leider jetzt erst dazu gekommen es zu testen. Ich habe auch soweit eigentlich alles hin bekommen, also ts-profile/basis Ordner Umleiten, Login Script. Was ich jetzt leider nicht besser hin bekommen habe ist, dass die Benutzer weiter eingeschränkt werden können oder? Also damit meine ich in den Gruppenrichtlinien den Teil für Benutzer, z.b. Internet-Explorer ausblenden, Netzwerkumgebung ausblenden...

 

Oder gibt es hierfür auch eine Lösung?

 

@Stephan: Danke für deine Tipps

[Stephan Betken 43]

Oder gibt es hierfür auch eine Lösung?

Loopbackmodus.

 

Und bitte, keine Ursache. :)

[Concept 10]

Zu dem Modus hab ich mir schon was durchgelesen, ich habe nur das Problem, dass die User wie gesagt nicht in meiner Domain liegen. Die User Stammen aus einer Vertrauten Domain, sind für mich also nur über Globale Gruppen erreichbar, wenn du verstehst wie ich das mein.

 

Ich will damit sagen, ich habe zwar Berechtigungen für die User Vergeben, diese werden aber nicht verarbeitet und da liegt im Moment das Problem :(

[Stephan Betken 43]

Dafür ist der Loopbackmodus ja da. Er wirkt auf Computerobjekte und die Übernahme für die einzelnen Benutzer/Gruppen wird über Sicherheitsfilterung realisiert. Das GPO wird mit den TS verknüpft und nicht mit den User-Accounts.

[Concept 10]

Das hört sich ja erstmal gut an, dann hab ich da wohl was falsch verstanden. Nur worauf muss ich die User config dann verlinken? auch auf die TS OU? das hab ich eigentlich gemacht, die einstellungen werden aber nicht gezogen.

[Concept 10]

So jetzt habe ich mich schon ne weile mit dem Loopback Modus beschäftigt, nur leider werden die Richtlinien immer noch nicht gezogen. Muss die Globale Gruppe der User aus der anderen Domain vielleicht noch irgenwo Zugriff haben?

Wenn ich mich mit einem User aus meiner Domain auf dem TS Anmelde wird das User Profil auch beschränkt, gehe ich mit einem User auf den Terminalserver, der nicht aus meiner Domain ist passiert das nicht.

Der User Account aus der anderen Domain ist bei mir nur Mitglied einer Terminalserver berechtigten Gruppe. Diese Gruppen habe ich bei den Gruppenrichtlinien auch schon hinzugefügt und mit der Berechtigung "Gruppenrichtlinien Übernehmen" ausgestattet. Das führt leider auch nicht zum Erfolg.

Ansonsten ist das mit dem Loopback Modus genau das was ich brauche.

Wo könnte den Usern die Berechtigung fehlen, jemand eine Idee?

[Stephan Betken 43]

Gibt es denn Meldungen im Ereignisprotokoll? Handelt es sich um Windows 2003 oder aktueller?

 

EDIT: Gerade noch mal geschaut. Bei einer Gesamtstrukturvertrauensstellung funktioniert es.

[Concept 10]

Stimmt gibt eine Meldung:

Der Computername kann nicht ermittelt werden. (Zugriff verweigert ). Die Verarbeitung der Gruppenrichtlinie wurde abgebrochen. ID: 1055

Welches Konto meint er vom Client? denke nicht, muss ja wohl der TS gemeint sein.

 

die Erstellte Vertrauensstellung ist eine Gesamtstrukturenvertrauensstellung, allerdings nur mit Zeiger auf die Domain in der die User sind.

 

Windows 2003 SP1 R2

[Stephan Betken 43]

Eigentlich ist damit der DC gemeint, von dem er die GPO ziehen möchte. Bei anderen Usern wird die Richtlinie aber übernommen?

[Concept 10]

Es geht jetzt endlich. Ich hab der Gruppe der Terminalserver User jetzt noch die berechtigung auf dem DC gegeben "Darf Authentifizieren", was ich vorher nur für den Terminalserver getan habe. Jetzt werden die GPOs auch gezogen. Was hier jetzt grade vom Tisch fällt :)

Soviel zu dem Thema alles so weit wie möglich einzuschränken :)

 

Jetzt muss über die Vertrauenstellung nur noch der Lizenzserver aus der anderen Domain erreicht werden.

[Stephan Betken 43]

Ich hab der Gruppe der Terminalserver User jetzt noch die berechtigung auf dem DC gegeben "Darf Authentifizieren", was ich vorher nur für den Terminalserver getan habe. Jetzt werden die GPOs auch gezogen.

:confused: Das kann ich jetzt gar nicht deuten. Seit dem die Gruppe der Terminalserver-Benutzer die genannten Rechte hat geht es? Hmmm......

Na ja, so lange es funktioniert.

 

Der Terminallizenzserver ist also in der anderen Domain?