AMiGA 0 Geschrieben 16. November 2017 Autor Melden Teilen Geschrieben 16. November 2017 Löschen und neu anlegen?Hmm, es ist ein recht umfangreiches Objekt (zum starken Reduzieren des Windows Desktops). Das manuelle Neuanlegen wäre sehr aufwändig, mal schauen, ob ich diesen Weg gehe. wie viele DCs habt ihr? Nicht das es Probleme mit der Sysvol-Replikation gibt.2 DCs, einen Server 2012 R2 und einen 2008 R2. Die Verzeichnisse C:\windows\sysvol sind auf beiden Rechnern inhaltlich absolut identisch. Gruß AMiGA Zitieren Link zu diesem Kommentar
NorbertFe 2.027 Geschrieben 16. November 2017 Melden Teilen Geschrieben 16. November 2017 Na dann leg doch mal erstmal testweise ein neues an. Zitieren Link zu diesem Kommentar
AMiGA 0 Geschrieben 16. November 2017 Autor Melden Teilen Geschrieben 16. November 2017 (bearbeitet) Na dann leg doch mal erstmal testweise ein neues an. Habe ich gemacht, wird auch zügig repliziert. repadmin /showrepl zeigt, dass die Replizierungen erfolgreich waren. Ich habe nun eine neue OU angelegt. In dieser OU habe ich einen Testbenutzer angelegt. Mit dieser OU habe ich ein neu erzeugtes GP-Objekt verknüpft. Wenn ich mich mit diesem Benutzer auf dem RDS-Sitzungshost anmelde, zeigt gpresult /r, dass das GP-Objekt weder angewendet noch herausgefiltert wurde. Gibt es in Bezug auf RDS-Umgebungen eventuell noch irgendwelche Besonderheiten? Gruß, AMiGA bearbeitet 16. November 2017 von AMiGA Zitieren Link zu diesem Kommentar
NorbertFe 2.027 Geschrieben 16. November 2017 Melden Teilen Geschrieben 16. November 2017 Darf der RDS Server das GPO lesen? Zitieren Link zu diesem Kommentar
AMiGA 0 Geschrieben 22. November 2017 Autor Melden Teilen Geschrieben 22. November 2017 (bearbeitet) Ich denke schon. An dem GPO darf per Delegierung die Gruppe "Authentifizierte Benutzer" das Objekt lesen. Zu dieser Gruppe gehört ja auch der RDS Server. Auch ein explizites Hinzufügen einer Berechtigung des RDS-Servers verändert leider nichts... Edit: Ich vermute, die Ursache gefunden zu haben. Ich kann es leider nicht "mal eben" im Produktivsystem testen. An dem RDS-Server gibt es u.a. ein GPO, in welchem in der Computerkonfiguration der Loopbackverarbeitungsmodus aktiviert ist und sich im Modus "Ersetzen" befindet. Dadurch werden vermutlich die Benutzereinstellungen des Benutzers aus dem speziellen GPO an der Benutzer-OU ersetzt. Könnte das sein? Hintergrund des GPOs mit dem aktivierten Loopbackverarbeitungsmodus ist folgender: Mit diesem GPO soll die Default Domain Policy von Benutzern einer vertrauten Domäne, welche den RDS-Server nutzen ersetzt werden, da diese verschiedene Einstellungen enthält, die in unserer Domäne nicht angewendet werden sollen. Auf dem GPO gibt es eine Filterung für Benutzer der vertrauten Domäne. So wurde dies damals durch unseren Berater eingerichtet. Da der Loopbackverarbeitungsmodus aber in den Computereinstellungen konfiguriert ist, vermute ich, dass die Filterung auf eine Benutzergruppe gar keinen Einfluss auf die Anwendung des Objekts hat. Sehe ich das richtig? Gruß, AMiGA bearbeitet 22. November 2017 von AMiGA Zitieren Link zu diesem Kommentar
NilsK 2.930 Geschrieben 23. November 2017 Melden Teilen Geschrieben 23. November 2017 Moin, ja, das siehst du richtig. https://support.microsoft.com/en-us/help/231287/loopback-processing-of-group-policy Und das wurde dir in #7 ausdrücklich und bereits in #2 implizit gesagt. Aber gut, dass es jetzt gefunden ist. Gruß, Nils Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.