Jump to content

Home Verzeichnisse mappen an RDS Server von Trusted Domain Usern


Direkt zur Lösung Gelöst von testperson,
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen,

 

wir haben eine Bidirektionale Vertrauensstellung zwischen Domäne A und Domäne B. Der Trust funktioniert hervorragend. Damit Ihr mein Problem besser versteht, nenne ich meine Domäne A und die Remote Domäne B.

 

Ich habe bisher nicht viel getestet, da ich schon beim ersten Test bzw. meinem eigentlichen Ziel nicht weiter komme.

 

In unserer Domäne, also Domäne A wird für die Domäne B ein RDS Server bereit gestellt, damit bestimmte User Applikationen die in Domäne A bereitgestellt werden, nutzen können. 

 

Der RDS Server ist vollständig konfiguriert und Logins von Benutzern aus der Domäne A samt dem mapping von Laufwerken (auch Home Laufwerk), Umleitung von Ordnern wie "Desktop, Download usw." funktioniert per GPO wunderbar. Ich habe keine Servergespeicherten Profile für die User in Dom A konfiguriert. In Dom B sind auch keine Servergespeicherten Profile konfiguriert.

 

Ich habe noch eine weitere GPO für den RDS in Dom A mit folgender Einstellung konfiguriert -> Gesamtstrukturübergreifende Benutzerrichtlinien und Servergespeicherte Profile zulassen

 

Ich habe in Domäne B einen Test user "test" erstellt und diesen User in eine Globale Sicherheits- Gruppe in Dom B rein geschoben. Diese Gruppe ist Mitglied in einer Lokalen Gruppe in Dom A und diese Lokale Gruppe hat das Recht, sich am RDS Server anzumelden.

 

Der "test" User aus der Dom B hat ein Home Verzeichnis unter dem Reiter "Remotedesktop-Dienste Profil" in den Eigenschaften des Users eingestellt (Laufwerksbuchstabe P). Auch hat er ein Home Laufwerk unter dem Reiter "Profil" mit dem Laufwerksbuchstaben H konfiguriert. Beide Homelaufwerke zeigen auf verschiedene Ordner auf dem gleichen Server. Der "test" User hat Vollen Zugriff auf beide Ordner.

 

-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

 

Oben habe ich mal grob meine Konfiguration beschrieben.

 

Mein Problem liegt darin, dass das Home Verzeichnis (weder H noch P) beim Login am RDS Server in Dom A nicht gemappt werden. Mappe ich die Laufwerke über cmd, komme ich ohne weiteres dran.

 

Ich weis, ich habe hier einen Denkfehler oder ich habe etwas vergessen zu konfigurieren. Ich vermute mal, dass ich in der Remote Domäne B eine GPO konfigurieren muss, damit die Laufwerke übernommen werden, oder so ähnlich.

 

Habt Ihr vielleicht einen Tipp für mich, wie ich hier vorgehen kann?

 

Danke

 

 

Link zu diesem Kommentar

Hi,

 

wenn es sich hier um RDSH mit Windows Server 2016 oder 2019 handelt wird das Problem sein, dass den RDSHs die Einstellungen im AD-Objekt des Benutzers erstmal egal sind: https://support.microsoft.com/en-us/help/3200967/changes-to-remote-connection-manager-in-windows-server

 

Generell würde ich nur das Nötigste im AD-Objekt konfigurieren und so viel wie möglich per GPO erledigen. Bei RDSH Profilen würde ich aber auch direkt in Richtung FSLogix schauen.

 

Gruß

Jan

bearbeitet von testperson
Link zu diesem Kommentar

Hi testsperson,

 

danke für die schnelle Antwort. Es handelt sich um RDSV mit Server2016. 

 

Du hast natürlich recht mit den GPOs. Ich werde mir die Artikel anschauen. Wenn es nicht klappen sollte, melde ich mich nochmal.

 

Danke

vor 13 Minuten schrieb testperson:

Hi,

 

wenn es sich hier um RDSH mit Windows Server 2016 oder 2019 handelt wird das Problem sein, dass den RDSHs die Einstellungen im AD-Objekt des Benutzers erstmal egal sind: https://support.microsoft.com/en-us/help/3200967/changes-to-remote-connection-manager-in-windows-server

 

Generell würde ich nur das Nötigste im AD-Objekt konfigurieren und so viel wie möglich per GPO erledigen. Bei RDSH Profilen würde ich aber auch direkt in Richtung FSLogix schauen.

 

Gruß

Jan

Hi testperson,

 

ich habe den Microsoft Artikel gelesen. Das würde bedeuten, dass ich alle Einstellungen für die User in DOM B anhand von GPOs erstellen muss, ist das richtig?

 

GPOs für RDSH Konfigurationen haben aber keinen Einfluss auf Anmeldung an lokalen Computern in DOM B (hoffe ich zumindest) Die User sollen witerhin wie gewohnt in Dom B funktionieren.

 

Danke

Link zu diesem Kommentar

Das Stichwort lautet "loop back". Ich hoffe das gilt noch für Server 2016. In folgendem Artikel ist das hervorragend beschrieben:

 

https://www.gruppenrichtlinien.de/artikel/loopbackverarbeitungsmodus-loopback-processing-mode/

 

"Die Herausforderung:
Ich muss die Richtlinie irgendwie auf das Computerkonto anwenden? Aber der Computer ignoriert den Anteil der Benutzerkonfiguration einer Richtlinie, da er ja schliesslich ein Computerobjekt ist und kein Benutzer. Ebenfalls, ist dem anmeldenden Benutzer die Benutzerkonfiguration einer Richtlinien auf dem Computerobjekt egal, da der Benutzer die Computerkonfiguration garnicht liest, und damit am Ende die Richtlinie, nicht übernehmen kann. Es kommt noch hinzu, daß der Benutzer meistens nicht in der OU des Computers steht, damit nicht im Verwaltungsbereich der Richtlinie ist und er somit die GPO generell nicht anwenden kann."

Link zu diesem Kommentar
vor 12 Stunden schrieb djmaker:

Das Stichwort lautet "loop back". Ich hoffe das gilt noch für Server 2016. In folgendem Artikel ist das hervorragend beschrieben:

 

https://www.gruppenrichtlinien.de/artikel/loopbackverarbeitungsmodus-loopback-processing-mode/

 

"Die Herausforderung:
Ich muss die Richtlinie irgendwie auf das Computerkonto anwenden? Aber der Computer ignoriert den Anteil der Benutzerkonfiguration einer Richtlinie, da er ja schliesslich ein Computerobjekt ist und kein Benutzer. Ebenfalls, ist dem anmeldenden Benutzer die Benutzerkonfiguration einer Richtlinien auf dem Computerobjekt egal, da der Benutzer die Computerkonfiguration garnicht liest, und damit am Ende die Richtlinie, nicht übernehmen kann. Es kommt noch hinzu, daß der Benutzer meistens nicht in der OU des Computers steht, damit nicht im Verwaltungsbereich der Richtlinie ist und er somit die GPO generell nicht anwenden kann."

Hi djmaker danke für den. Den habe ich auch umgesetzt und es hat auch geholfen. Auch der Tipp von testperson war sehr hilfreich, danke dafür.

 

Ich habe eine verständnis Frage.

 

Gibt es eine Möglichkeit die Freigaben eines DFS Stammes der Remote Domäne B an einem client det Domäne A durch einen Benutzer der Remote Domäne B zu mounten. In der Remote Domäne B existiert ein DFS Stamm und die Shares werden über den DFS Stamm Namen per GPO verteilt. Wenn ich aus der Domäne A versuche per net use an diesen Namen ran zu kommen bekomme ich die Meldung "Netzwerkname nicht gefunden" angezeigt. 

 

Danke euch

Link zu diesem Kommentar
  • Beste Lösung
vor 2 Stunden schrieb jets187:

Gibt es eine Möglichkeit die Freigaben eines DFS Stammes der Remote Domäne B an einem client det Domäne A durch einen Benutzer der Remote Domäne B zu mounten. In der Remote Domäne B existiert ein DFS Stamm und die Shares werden über den DFS Stamm Namen per GPO verteilt. Wenn ich aus der Domäne A versuche per net use an diesen Namen ran zu kommen bekomme ich die Meldung "Netzwerkname nicht gefunden" angezeigt. 

Ja, das sollte machbar sein. "Netzwerkname nicht gefunden" deutet erstmal auf Probleme mit der Namensauflösung hin. Wie versuchst du denn zuzugreifen?

Die neue bzw. weitere Frage packst du am besten in einen eigenen Thread mit passendem Titel, dann schauen sich das sicherlich auch User mit DFS Know-How an.

Link zu diesem Kommentar
vor 19 Stunden schrieb jets187:
 

Ich habe noch eine weitere GPO für den RDS in Dom A mit folgender Einstellung konfiguriert -> Gesamtstrukturübergreifende Benutzerrichtlinien und Servergespeicherte Profile zulassen

Mehr braucht's eigentlich nicht - wendet der RDS die GPO auch an?

Und wegen DFS: Gehst Du auf den FQDN oder nur Netbios als "Server"-Name?

Link zu diesem Kommentar
vor 1 Stunde schrieb testperson:

Ja, das sollte machbar sein. "Netzwerkname nicht gefunden" deutet erstmal auf Probleme mit der Namensauflösung hin. Wie versuchst du denn zuzugreifen?

Die neue bzw. weitere Frage packst du am besten in einen eigenen Thread mit passendem Titel, dann schauen sich das sicherlich auch User mit DFS Know-How an.

Hi testperson 

 

net use H: \\domname.local\dfsstam\share. Also FQDN des DFS Stamm / AD Servers.

Ich werde jetzt einen neuen Thread im entsprechenden Forum aufmachen.

 

Danke

vor 51 Minuten schrieb daabm:

Mehr braucht's eigentlich nicht - wendet der RDS die GPO auch an?

Und wegen DFS: Gehst Du auf den FQDN oder nur Netbios als "Server"-Name?

Hi daabm,

 

die GPO wird problemlos angewendet. 

 

WG DFS: Ich gehe per FQDN an DFS ran.

 

net use H: \\domname.local\dfsstam\share. Also FQDN des DFS Stamm / AD Servers.

Ich werde jetzt einen neuen Thread im entsprechenden Forum aufmachen.

 

Danke auch dir für deine hilfe.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...