wuurian 0 Geschrieben 12. Juli 2016 Melden Teilen Geschrieben 12. Juli 2016 (bearbeitet) Guten Morgen zusammen, habe ein kleines Problem, bei dem ich zurzeit leider alleine nicht weiterkomme. Etwas Hintergrund: Wir haben in der Firma zwei Intranet-Stations mit jeweils einem IGEL-Thinclient dran. Habe für jeden Thinclient einen Benutzer erstellt, intranet1 & intranet2. Diese melden sich am Terminalserver über Citrix an, und dort habe ich nur die Anwendung Internet-Explorer freigegeben, die sich auch gleich nach der Citrix-Anwendung im Vollbildmodus öffnet. Für die Terminalserver gibt es eine OU "Terminalserver", dort befinden sich die Terminalserver drin. Dieser OU sind schon einige GPO zugeordnet, z.B. "TerminalserverEinschränkungen" und Loopback. Diese greifen für alle authentifizierten Benutzer, die sich am Terminalserver anmelden. Nun möchte ich gerne eine GPO für die zwei Benutzer erstellen, die eine Änderung im Internet-Explorer der Proxyeinstellungen verhindert. Wie bin ich vorgegangen: Erst einmal intranet1 & intranet2 in eine erstelle OU "Proxyeinstellungen_verboten" verschoben. Dann in der Gruppenrichtlinienverwaltung eine neue GPO erstellt, die "Änderungen der Proxyeinstellungen " sowie "Menü - Extras- Menüoption "Internetoptionen" deaktivieren". Beides sind Benutzerkonfigurationen. Diese GPO habe ich mit meiner OU Verknüpft, wo sich die beiden User intranet drin befinden. Dieses GPO ist mit der OU "Terminalserver" verknüpft. Unten in der Sicherheitsfilterung ist meine OU "Proxyeinstellungen_verboten" eingetragen. Gleichzeitig habe ich noch die OU "Proxyeinstellungen_verboten" in der Sicherheitsfilterung bei der GPO "Loopback" mit eingetragen. Habe nach dem erstellen auf jedem TS noch einen gpupdate /force angewendet. Leider greift die Gruppenrichtlinie überhaupt nicht. Wo könnte mein Fehler liegen? Komme leider echt nicht weiter.. Was am Thinclient ankommt, kann ich leider aufgrund fehlender Konsole auch nicht rausbekommen.. Wenn iihr noch Angaben benötigt, bitte bescheid sagen. Besten Dank für eure Hilfe! Liebe Grüße wuurian Edit:// Habe gerade ein Gruppenrichtlinienergebniss ausprobiert, dort wird mir unter der Zusammenfassung angezeigt: Abgelehnte Gruppenrichtlinienobjekte Unter Namen wird mir auch nicht der Name angzeigt, sondern nur die ID {ECC usw.} Grund: abgelehnt, Zugriff nicht möglich. Wo ist mein Fehler? bearbeitet 12. Juli 2016 von wuurian Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 12. Juli 2016 Melden Teilen Geschrieben 12. Juli 2016 Das hier wird dir fehlen: http://www.gruppenrichtlinien.de/artikel/sicherheitsfilterung-neu-erfunden-ms16-072-patchday-14062016/ Zitieren Link zu diesem Kommentar
wuurian 0 Geschrieben 12. Juli 2016 Autor Melden Teilen Geschrieben 12. Juli 2016 Hallo, wenn ich jetzt aber die Authentifizierten Benutzer bei der Delegierung mit hinzufüge, dann greift die GPO ja bei allen Benutzern, die sich am TS anmelden. Ich glaube das Problem ist folgendes: In der Gruppenrichtlinienverwaltung ist die OU "Terminalserver", wo sich alle TS befinden. Dort drunter sind die GPO`s. Unter anderem auch TerminalserverEinschränkungen, dort ist die Delegierung -> Alle Authentifizierten Benutzer -> die sich am TS anmelden. Dort befindet sich auch meine Regel "ProxyEinstellung_verbieten". Wenn ich da jetzt die Authentifizierten Benutzer mit reinhaue, greift es ja für alle Benutzer, soll aber nur für meine Gruppe greifen. Stehe auf dem Schlauch.. Zitieren Link zu diesem Kommentar
Beste Lösung Sunny61 807 Geschrieben 12. Juli 2016 Beste Lösung Melden Teilen Geschrieben 12. Juli 2016 Nein, lies den Artikel einfach mal ganz genau und aufmerksam durch. Sie dürfen das GPO nur lesen, nicht die Einstellungen übernehmen. Und das funktioniert auch nur richtig, wenn Du die Gruppe über die Delegierung und über den Button Erweitert hinzufügst. 1 Zitieren Link zu diesem Kommentar
wuurian 0 Geschrieben 12. Juli 2016 Autor Melden Teilen Geschrieben 12. Juli 2016 Hat geklappt, ich bedanke mich recht herzlich. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.