Server 2016 Std RDP User Loopback

[richu 10]

hallo Leute

 

Sorry- ich weiss das das Thema schon mehrmals gepostet wurde- auch gegoogelt habe ich schon mehrmals leider erfolglos

Szenario sieht wie folgt aus- Server 2016 Std die Clients Win 10 Pro alles PCs.

Die User01-05 arbeiten intern am Server und zeitweise auch extern dann jeweils über RDP.

Ich habe eine OU Namens "RDP_User" erstellt und die Gruppe "G_RDP_User" in der die User01-05 enthalten der OU zugeteilt. Eine GPO für die "RDP_User" erstellt und verknüpft.

Im Bereich Sicherheitsfilterung habe ich die Gruppe RDP_User hinzugefügt und die Authentifizierten Benutzer entfernt und bei Delegierung die Auth. User mit  Leseberechtigungen hinzugefügt.

Auf der GPO "RDP_User" habe ich den Loopback im Modus "Zusammenführen" aktiviert. - aber leider funktioniert es nicht wie gewünscht

Wenn die User über RDP auf den Server zugreifen zieht die GPO mit den restriktiven Settings i.O das sieht aber leider dann intern für die User auch gleich aus- Sprich Herunterfahren, Taskleiste etc. was in der GPO deaktviert wurde fehlt dann intern auch ???

 

Vielen Dank im Voraus für alle wertvollen Tipps und Tricks

 

 

[NorbertFe 2.089]

Gpos wirken nicht auf Gruppen.

[Dukel 457]

https://www.gruppenrichtlinien.de/artikel/loopbackverarbeitungsmodus-loopback-processing-mode/

https://www.gruppenrichtlinien.de/artikel/remote-desktop-server-terminal-server/

 

Sind das eigene Nutzer für RDS und die Anwender haben zwei Benutzer? Eigendlich willst du keine GPO für die RDS User sondern für die RDS Hosts.

[testperson 1.728]

Hi,

 

wenn Loopback gewünscht, dann verknüpfe das GPO auch mit der OU in der sich das Computer-Objekt des RDS befindet. Bzw. erstelle eine neue OU für den RDS.

Ansonsten müsstest du neben der Gruppe mit den Usern auch dem Computer-Objekt des RDS mindestens das "Lesen-Recht" für das GPO erteilen. Die Authentifizierten User dürfen das GPO dann nicht mehr lesen, da es ansonsten an allen PCs angewendet wird.

 

Gruß

Jan

[richu 10]

erst Mal vielen Dank für Eure Hilfe.

 

@Dukel nein die RDS User haben nur ein Login- und  ja das stimmt aber wie könnte ich das machen, die RDS Hosts sehe ich ja nicht da sie nicht in der Domäne sind. 

 

@testperson Du meinst eine neue OU für die RDS Computer intern erstellen und diese mit der RDP_User GPO verknüpfen oder verstehe ich das falsch??

[testperson 1.728]

Äh, wie möchtest du Richtlinien auf einen RDS anwenden, der nicht in der Domäne ist?!

Und so gesehen haben die User zwei Logins. Einen für den Computer (in der Domäne?) und einen für den RDS (lokal auf dem RDS?).

 

Beschreibe doch mal den genauen Aufbau.

[richu 10]

Also ich versuchs mal.

Der Interne Server ist ein Physischer Server (Win 2016 Std) und der RDP Server wurde auf Hyper-V installiert als simpler Member Server in der selben Domäne. Und die RDP User haben nur ein Login egal ob sie sich intern an der Domäne anmelden oder extern über den RDP Zugang.

[Dukel 457]

48 minutes ago, richu said:

erst Mal vielen Dank für Eure Hilfe.

 

@Dukel nein die RDS User haben nur ein Login- und  ja das stimmt aber wie könnte ich das machen, die RDS Hosts sehe ich ja nicht da sie nicht in der Domäne sind.

 

2 minutes ago, richu said:

Also ich versuchs mal.

Der Interne Server ist ein Physischer Server (Win 2016 Std) und der RDP Server wurde auf Hyper-V installiert als simpler Member Server in der selben Domäne. Und die RDP User haben nur ein Login egal ob sie sich intern an der Domäne anmelden oder extern über den RDP Zugang.

Was jetzt? Sind die RDS Hosts in der Domäne oder nicht?

[testperson 1.728]

vor 21 Minuten schrieb richu:

Also ich versuchs mal.

Der Interne Server ist ein Physischer Server (Win 2016 Std) und der RDP Server wurde auf Hyper-V installiert als simpler Member Server in der selben Domäne. Und die RDP User haben nur ein Login egal ob sie sich intern an der Domäne anmelden oder extern über den RDP Zugang.

Ich würde dann zusätzlich noch fragen, ob der interne physische Server zusätzlich (?) der Hyper-V Server ist. Oder habt ihr einmal den internen Server als Belch und ein zweites Hyper-V Blech?

bearbeitet 26. Januar 2018 von testperson

[richu 10]

@Dukel der RDP Server ist schon in der Domäne aber es sind ja nur die RDP User die via RDP Server reinkommen und die PCs von den externen User sind nicht in der Domäne.

 

@testperson sorry- ich weiss das ich dämliche Fragen stelle- aber ich möchte ja gerne eine Lösung finden und dafür brauche ich Eure wertvolle Unterstützung.

[testperson 1.728]

Wo die Clients (Computer) der User sich befinden ist doch in diesem Szenario vollkommen irrelevant. Du möchtest die User die auf dem RDS arbeiten doch einschränken.

Eigentlich ist hier alles beschrieben, was du brauchst.

 

P.S.: Es könnte allerdings auch helfen, wenn du Rückfragen beantwortest..

[Dukel 457]

Bitte lies ein mal die Links unter

 und versuche es dann nochmal hier.

[Sunny61 809]

vor 3 Stunden schrieb NorbertFe:

Gpos wirken nicht auf Gruppen.

Nur auf Gruppen von Objekten. :)

[NorbertFe 2.089]

Quasi gruppierte Objekte (vom Typ Computer und Benutzer) :P

[richu 10]

kurzes Feedback

 

ich konnte das Problem dank Eurer Hilfe und dem unten aufgeführten link lösen

https://www.gruppenrichtlinien.de/artikel/remote-desktop-server-terminal-server/ 

 

Super nochmals herzlichen Dank