Terminal-Server und Gruppenrichtlinien

[Jan-34 10]

Hallo..zusammen!Ich hoffe Ihr könnt mir helfen!!!

 

Ich habe 1 DC auf den DC läuft auch ein Terminal-Server (ich weiß das sollte man(n) nich machen)aber ging nich anders!

Ich habe eine OU erstellt namens "TS-User" in der OU habe ich eine Sicherheitsgruppe mit dem Namen "TerminalServer-User" erstellt!

Da habe ich den den User der Gruppe "TerminalServer-User" hin zu gefügt und habe alle anderen gruppen bei dem User entfernt!

Dann habe ich die Gruppe Netzwerke,Administratoren,TerminalServer-User dem Terminal-Dienst RDP-TCP zugefügt!

Dann habe ich für die OU-TS-Server die Gruppenrichtlinien festgelegt!

So!...Aber davon funktioniere nicht alle einige schon!Was nicht geht ist, der User soll nicht den Arbeitsplatz sehen er steht aber immer noch in der Startleiste und kann geöffnet werden und der User kann auf alle Laufwerke zu greifen obwohl ich das in der GPO verboten habe!In der Taskleiste links sieht er alle Symbole die der Admin am Server auch sieht darf nicht sein!

 

Also hat jemand eine Idee?

Ich bin schon etwas verzweifelt..... ich brauch ne Lösung

 

Danke schon mal im voraus

bearbeitet 9. November 2009 von Jan-34

[Kraftzwerg 10]

Tach,

 

muss dir leider sagen, dass ich mit deiner Interpunktation geringfügige Probleme habe. Hoff also, dass ich das richtig verstanden habe;)

 

Hast du lediglich die Sicherheitsgruppe in die OU verschoben und möchtest nun, dass die GPO auf die User angewendet wird?

Wenn dem so ist wird das m.E. nichts. Die User selbst müssen in der OU sein, mit der die GPO verknüpft ist. Die Gruppe kann dazu verwendet werden die Berechtigungen auf die GPO (Übernehmen, Lesen...) zu vergeben.

 

Hoff das hilft dir!?

[IThome 10]

Genau, denn Gruppenrichtlinien werden nicht auf (Sicherheits-)Gruppen angewendet, sondern es sind Gruppen von Richtlinien ... Da hat Kraftzwerg also vollkommen recht ... :) Auch mit der Interpunktion, da kriegt man ja ´nen Fön, wenn man sowas liest. Bemühe Dich bitte, Punkte und Kommata zu setzen, damit der Text besser lesbar wird (das hilft ungemein) ...

[Jan-34 10]

JA sorry, das mit den Kommase!

 

Ich hab auch den Benutzer probeweise in die OU geschoben, mit dem selben resultat!

[Kraftzwerg 10]

Also,

 

User ist in der OU auf die die Gruppenrichtlinie verknüpft ist?

User hat die Rechte die Linie zu übernehmen?

Was sagt der Gruppenrichtlinienergebnissatz? Werden dort die Einstellungen wie gewünscht angezeigt?

Wenn ja, mal ein gpupdate gemacht?

[Jan-34 10]

Ja der User ist in der OU mit der Verknüpften GP.

Linie übernehmen?

Im GP-linienergebissatz steht alles so wie ich es eingerichtet hab.

gpupdat?

 

Ich muss dazu sagen das GP mit Terminal-Server für mich völliges Neugebiet ist!

[IThome 10]

Welche Einstellungen im GPO hast Du konfiguriert (Computer- und Benutzereinstellungen) ? Welche funktionieren und welche nicht (bitte ein Beispiel von beiden Varianten) ? Mit RSOP.MSC kannst Du prüfen, ob die Richtlinien ankommen ...

[Jan-34 10]

Also mit rsop.msc werden mir nur die richtlinien für die Domän angezeigt!Die Richtlinien für die OU TS-User sind da nicht zu sehen!

Für die OU habe ich die Computer GPO abgeschaltet und nur die für den Benutzer konfiguriert!Da der User über VPN zugreift!

[Jan-34 10]

Funktionieren tut nur das man Eigene Datein den Pfad nich änder kann.

In der Systemsteuerung kann der User auf nichts mehr zugreifen das geht also.

Aber z.B. ich kann die Systemsteuerung sehen im Startmenü, dass solltze nicht sein!

Dann sehe ich immer noch den Arbeitsplats im Startmenü und kann drauf zugreifen und das beste ich kann auf alle Laufwerke vom server zugreifen!

Das soll nicht sein der User hat nur ein Laufwerk und mehr darf nicht gesehen noch daruf zugegriffen werden.

Dann sieht der User eingabeauffordereung.....und und und

[SFHE 10]

Hast Du den Loopbackverarbeitungsmodus für die GPO eingeschaltet?

[IThome 10]

Das muss man ja nur machen, wenn die Einstellungen ausschliesslich auf dem TS gelten sollen. Anwenden sollte er die Einstellungen auch ohne Loopback, dann natürlich auch auf den Desktop-PCs (sofern sie Domänenmitglieder sind und sich auch der entsprechende Domänenuser anmeldet) ...

[Jan-34 10]

Guten Morgen....

Ja diese Funktion habe ich eingeschalten.

Vielleicht wäre es Sinnvoll wenn sich mal jemannd auf meinen Server schaltet, so kann er die ganzen Einstellungen selber sehen und kontrollieren.Weil hier kann ich eh nicht alles lückenlos erklären, weil meistens ist es nur ne kleinigkeit die ich übersehen hab.

[IThome 10]

Wenn Du möchtest, dass sich jemand auf Deinen Server schaltet, dann solltest Du diese Bitte an ein Dienstleistungsunternehmen richten und nicht an die freiwillig und kostenlos agierenden User eines Internetforums ...

Ich würde es so machen ...

GPO-Link löschen und neu verlinken, in der Delegierung alles auf Standard lassen und probieren, ob es dann funktioniert. Danach dann nur den Gruppen/Benutzern (Domänen-Admins z.B.), die dieses GPO nicht anwenden sollen, die Berechtigung "Gruppenrichtlinie übernehmen" verweigern ...

[Jan-34 10]

Ja gut....auf diese Idee bin ich auch schon gekommen....Aber danke für den hinweis mit den Dienstleistern......das werd ich dann wohl auch jedem hier raten.......

 

 

Danke noch mals

[Stephan Betken 43]

Aber danke für den hinweis mit den Dienstleistern......das werd ich dann wohl auch jedem hier raten.......

Wie ist das denn jetzt gemeint?

 

Bevor du jemanden an deinen Server lässt, den du nicht kennst und von dem du keinerlei weitere Daten hast, solltest du lieber einen Dienstleister beauftragen, der greifbar ist. Was machst du denn, wenn derjenige deinen Server plättet?