GPO Terminalserver - Was mache ich falsch ?

[wuurian 0]

Guten Morgen zusammen,

 

habe ein kleines Problem, bei dem ich zurzeit leider alleine nicht weiterkomme.

 

Etwas Hintergrund:

 

Wir haben in der Firma zwei Intranet-Stations mit jeweils einem IGEL-Thinclient dran.

 

Habe für jeden Thinclient einen Benutzer erstellt, intranet1 & intranet2.

 

Diese melden sich am Terminalserver über Citrix an, und dort habe ich nur die Anwendung Internet-Explorer freigegeben, die sich auch gleich nach der Citrix-Anwendung im Vollbildmodus öffnet.

 

Für die Terminalserver gibt es eine OU "Terminalserver", dort befinden sich die Terminalserver drin.

 

Dieser OU sind schon einige GPO zugeordnet, z.B. "TerminalserverEinschränkungen" und Loopback.

 

Diese greifen für alle authentifizierten Benutzer, die sich am Terminalserver anmelden.

 

 

 

Nun möchte ich gerne eine GPO für die zwei Benutzer erstellen, die eine Änderung im Internet-Explorer der Proxyeinstellungen verhindert.

 

Wie bin ich vorgegangen:

 

Erst einmal intranet1 & intranet2 in eine erstelle OU "Proxyeinstellungen_verboten" verschoben.

 

Dann in der Gruppenrichtlinienverwaltung eine neue GPO erstellt, die "Änderungen der Proxyeinstellungen " sowie "Menü - Extras- Menüoption "Internetoptionen" deaktivieren".

 

Beides sind Benutzerkonfigurationen.

 

Diese GPO habe ich mit meiner OU Verknüpft, wo sich die beiden User intranet drin befinden.

 

Dieses GPO ist mit der OU "Terminalserver" verknüpft.

 

Unten in der Sicherheitsfilterung ist meine OU "Proxyeinstellungen_verboten" eingetragen.

 

Gleichzeitig habe ich noch die OU "Proxyeinstellungen_verboten" in der Sicherheitsfilterung bei der GPO "Loopback" mit eingetragen.

 

 

Habe nach dem erstellen auf jedem TS noch einen gpupdate /force angewendet.

 

Leider greift die Gruppenrichtlinie überhaupt nicht.

 

 

Wo könnte mein Fehler liegen? Komme leider echt nicht weiter..

 

Was am Thinclient ankommt, kann ich leider aufgrund fehlender Konsole auch nicht rausbekommen..

 

 

Wenn iihr noch Angaben benötigt, bitte bescheid sagen.

 

 

Besten Dank für eure Hilfe!

 

Liebe Grüße

 

wuurian

 

 

 

 

Edit://

 

Habe gerade ein Gruppenrichtlinienergebniss ausprobiert, dort wird mir unter der Zusammenfassung angezeigt:

 

Abgelehnte Gruppenrichtlinienobjekte

 

Unter Namen wird mir auch nicht der Name angzeigt, sondern nur die ID {ECC usw.}

 

Grund: abgelehnt, Zugriff nicht möglich.

 

 

Wo ist mein Fehler?

bearbeitet 12. Juli 2016 von wuurian

[Sunny61 806]

Das hier wird dir fehlen: http://www.gruppenrichtlinien.de/artikel/sicherheitsfilterung-neu-erfunden-ms16-072-patchday-14062016/

[wuurian 0]

Hallo,

 

wenn ich jetzt aber die Authentifizierten Benutzer bei der Delegierung mit hinzufüge, dann greift die GPO ja bei allen Benutzern, die sich am TS anmelden.

 

Ich glaube das Problem ist folgendes:

 

In der Gruppenrichtlinienverwaltung ist die OU "Terminalserver", wo sich alle TS befinden.

 

Dort drunter sind die GPO`s.

 

Unter anderem auch TerminalserverEinschränkungen, dort ist die Delegierung -> Alle Authentifizierten Benutzer -> die sich am TS anmelden.

 

Dort befindet sich auch meine Regel "ProxyEinstellung_verbieten".

 

Wenn ich da jetzt die Authentifizierten Benutzer mit reinhaue, greift es ja für alle Benutzer, soll aber nur für meine Gruppe greifen.

 

 

Stehe auf dem Schlauch..

[Sunny61 806]

Nein, lies den Artikel einfach mal ganz genau und aufmerksam durch. Sie dürfen das GPO nur lesen, nicht die Einstellungen übernehmen. Und das funktioniert auch nur richtig, wenn Du die Gruppe über die Delegierung und über den Button Erweitert hinzufügst.

[wuurian 0]

Hat geklappt,

 

ich bedanke mich recht herzlich.