SBK 3 Geschrieben 6. März 2018 Melden Teilen Geschrieben 6. März 2018 Hallo Leute, Ich habe eine GPO für den neuen RDS Server 2016 erstellt, womit das Herunterfahren, Energie sparen und Neu starten ausgeblendet wird. Da ein Schlaumeier mittels CTRL-ALT-END die Session nicht nur beendet , sondern den ganzen RDS-Server runtergefahren hat, wollte ich das nur noch bestimmte Admins den Server runterfahren können. Also habe ich die berechtigten Adminuser unter Computerkonfiguration => Richtlinien => Windows-Einstellungen => Sicherheitseinstellungen => Lokale Richtlinien => Zuweisen von Benutzerrechten beim Punkt Herunterfahren des Systems berechtigt. Jetzt habe ich mal rasch gupdate /force durchführt und mit einem normalen Domainuser den ganzen Server runtergefahren. Die GPO greift irgendwie nicht. Ich habe die Einstellung eigentlich unter einer eigenen GPO mit WMI Filter select * from Win32_OperatingSystem where (ProductType = "2") OR (ProductType = "3") erstellt. Aber sogar wenn ich diese auf der Domainpolicy erstelle, greift sie nicht. Mache ich da ein Überlegungsfehler? Zitieren Link zu diesem Kommentar
Nobbyaushb 1.484 Geschrieben 6. März 2018 Melden Teilen Geschrieben 6. März 2018 Moin, ein normaler Domänen-User darf NIE einen RDS herunterfahren. Sind die vielleicht aus Versehen oder weil die Software das nicht kann alle in der Gruppe der lokalen Administratoren? Zitieren Link zu diesem Kommentar
NilsK 2.968 Geschrieben 6. März 2018 Melden Teilen Geschrieben 6. März 2018 Moin, genau für solche Kofigurationen legt man RDS-Server normalerweise in einer eigene OU ab. Dann kann man sich WMI-Filter und sowas sparen. Wenn du es so baust und das GPO auf diese OU wirken lässt, dann sollte es auch funktionieren. Wichtig: Nach dem OU-Wechsel des Server-Computerkontos den Server neu starten. Gruß, Nils Zitieren Link zu diesem Kommentar
SBK 3 Geschrieben 6. März 2018 Autor Melden Teilen Geschrieben 6. März 2018 (bearbeitet) Danke für die Tipps, werde mal gleich eine OU anlegen und das ganze ausprobieren. bearbeitet 6. März 2018 von SBK Zitieren Link zu diesem Kommentar
SBK 3 Geschrieben 6. März 2018 Autor Melden Teilen Geschrieben 6. März 2018 In der Tat waren die Domainuser als lokale Admins auf dem RDS-Server definiert. So nun greift auch die GPO, unabhängig ob mit OU oder WMI-Filter. Danke und Gruss Zitieren Link zu diesem Kommentar
NilsK 2.968 Geschrieben 6. März 2018 Melden Teilen Geschrieben 6. März 2018 Moin, *seufz* ... Na, aber gut, dass es jetzt gelöst ist. Gruß, Nils Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.