Madison 10 Geschrieben 21. August 2015 Melden Teilen Geschrieben 21. August 2015 Hallo, ich habe derzeit einen 2008 R2 Server als Terminalserver laufen. Diesen möchte ich ersetzen und habe dazu einen 2012 R2 Terminalserver aufgesetzt. Meine Domänenbenutzer können sich via RPD Client am 2008er anmelden und haben da eingeschränkte Rechte. Weder Servermanager lässt sich ausführen, als auch Veränderungen am System durchführen. Mein Problem: Auf dem 2012 R2 dürfen die Benutzer alles. Sie können in den Servermanager, Elemente einstellen, Rollen hinzufügen, etc. Einzige Richtlinie die zieht, die User dürfen sich nur Abmelden bzw. Trennen, können den Server nicht herunterfahren. Nun hab ich schon tagelang Google und Bing gefragt und gebastelt, bin aber mit meinem Latein am Ende. Auch eine eigens dafür erstellte GPO mit Einschränkung des Desktops, Startmenü beschränken usw. brachte keinen Erfolg. Wie muss ich jetzt vorgehen, dass meine User z.Bsp. nur den Desktop angezeigt bekommen und keine Kacheln? Wie kann ich die User einschränken in Bezug auf Änderungen des Desktops, Zugriff auf Servermanager, Anpassung Start usw.? Wie geschrieben, eine GPO hatte ich erstellt, aber es wurde nichts beschränkt. Zudem kenne ich mit GPO´s aus, liegt also nicht daran, dass ich keine Erfahrung damit habe. Sind derzeit über 20 von mir erstellte GPO´s die erfolgreich funktionieren. Danke für Hilfe und Tipps. Gruß Madison Zitieren Link zu diesem Kommentar
Nobbyaushb 1.480 Geschrieben 21. August 2015 Melden Teilen Geschrieben 21. August 2015 In welchen Gruppen sind die User im AD? ;) Zitieren Link zu diesem Kommentar
Doso 77 Geschrieben 21. August 2015 Melden Teilen Geschrieben 21. August 2015 Loopback vergessen evtl. Zitieren Link zu diesem Kommentar
Madison 10 Geschrieben 24. August 2015 Autor Melden Teilen Geschrieben 24. August 2015 Ich habe eine Gruppe TS-User. Sind auch alle zugewiesen. Habe dann meinen Testuser genommen und für ihn noch eine GPO gebaut. Funktioniert auch. Loopback ist auch drin, daran habe ich schon gedacht. Verteile meinen Proxy ja auch mittels GPO und Loopback, das klappt 1a. Hm. Problem besteht also weiterhin. Zitieren Link zu diesem Kommentar
Nobbyaushb 1.480 Geschrieben 24. August 2015 Melden Teilen Geschrieben 24. August 2015 Moin, ich habe schon mal bei einem Kunden gesehen, das die Gruppe der lokalen Administratoren alle Domänen-User enthielt. Somit darf auf dem TS jeder alles. Nur als Idee.... ;) Zitieren Link zu diesem Kommentar
Madison 10 Geschrieben 24. August 2015 Autor Melden Teilen Geschrieben 24. August 2015 Danke, für den Tipp. Habe eben geschaut. In der lokalen Administrator-Gruppe steht nur der Administrator und *MYDOMAIN*\Domänen-Admins. Mein Testuser ist in keiner der beiden Gruppen. Zitieren Link zu diesem Kommentar
Nobbyaushb 1.480 Geschrieben 24. August 2015 Melden Teilen Geschrieben 24. August 2015 Dann vielleicht noch Member der Dom-Admin, Backup oder ähnliches im AD - sonst fällt mir auch nichts mehr ein. Ich habe diverse 2012R2 RDS Host laufen, auch in Farmen, das habe ich noch nie gesehen... :cool: Zitieren Link zu diesem Kommentar
Madison 10 Geschrieben 24. August 2015 Autor Melden Teilen Geschrieben 24. August 2015 hm..ich werde mal Docusnap laufen lassen und mir mal die Rechte des Testusers und die AD-Pläne anschauen. Das Tool wertet ja alles genial aus. Vlt übersehe ich ja auf dem DC was. Zitieren Link zu diesem Kommentar
Madison 10 Geschrieben 5. Oktober 2015 Autor Melden Teilen Geschrieben 5. Oktober 2015 Hallo nochmal, habe in der Zwischenzeit weiter gebastelt und gefummelt. Leider bringt alles keine Lösung. Alle rechte sind meines Erachtens richtig erteilt. Aber dennoch können die User im Servermanager, in der Systemsteuerung bzw. auf dem gesamten 2012 R2 Terminalserver tun und machen was sie wollen. Vielleicht hat da jemand noch eine Idee bzw. gibt's irgendwo ein Tutorial dazu. Hab zwar schon Wochen gegoogelt aber vlt. habe ich ja was übersehen. Würde gern den 2008 R2 durch den 2012 R2 ersetzen. Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 5. Oktober 2015 Melden Teilen Geschrieben 5. Oktober 2015 Können die User auch wirklich Einstellungen verändern und abspeichern, oder nur ein bisschen rumklicken? Als der betroffene User in einer cmd das hier eingeben: whoami /groups [ENTER] In welchen Gruppen ist der Benutzer Mitglied? Was sagt GPRESULT /H >gpresult.html [ENTER] in einer administrativen Commandline aus? Irgendwelche GPOs die greifen, aber nicht greifen sollten? Zitieren Link zu diesem Kommentar
Madison 10 Geschrieben 6. Oktober 2015 Autor Melden Teilen Geschrieben 6. Oktober 2015 Der Testuser ist ein Domänenbenutzer und Remotedesktop-Benutzer. Dazu noch in ein paar Untergruppen. Allesamt regeln aber nichts, was Terminalserverbasierend oder Remotedesktopbasierend ist. Ich habe eben nur den vergleich zum alten 2008 R2 TS. Dort sind auch keine weiteren Gruppen die Beschränkungen regeln. Hab ich damals auch einfach aufgesetzt und damit den alten 2003 TS abgesetzt - und da haben die User allesamt keinen Zugriff auf den Servermanager und andere administrative Dinge. Kann auch sein ich hab hier beim 2012 R2 TS einen Denkfehler oder sehe den Ansatz ganz falsch... Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 6. Oktober 2015 Melden Teilen Geschrieben 6. Oktober 2015 Der neue TS ist auch in allen Gruppen wie der alte TS? Grab dich hier mal weiter vor: http://www.gruppenrichtlinien.de/artikel/remote-desktop-server-terminal-server/ http://www.gruppenrichtlinien.de/artikel/loopbackverarbeitungsmodus-loopback-processing-mode/ Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.