SabSchSch 0 Geschrieben 9. August 2022 Autor Melden Teilen Geschrieben 9. August 2022 Wenn ich auf den Termial gehe als Benutzer gehe, der in der Testgruppe, als auch in der RDS-Benutzer gehe und rsop.msc aufrufe, werden nur GPO's angewandt, die an die generellen Benutzer/Clients ausgespielt werden, keine der RDS zugeordneten. Zitieren Link zu diesem Kommentar
teletubbieland 169 Geschrieben 9. August 2022 Melden Teilen Geschrieben 9. August 2022 vor 17 Minuten schrieb SabSchSch: Wenn ich auf den Termial gehe als Benutzer gehe, der in der Testgruppe, als auch in der RDS-Benutzer gehe und rsop.msc aufrufe, werden nur GPO's angewandt, die an die generellen Benutzer/Clients ausgespielt werden, keine der RDS zugeordneten. probierst Du nur aus oder hast Du Dir die Links von Sunny auch mal durchgelesen ? Zitieren Link zu diesem Kommentar
SabSchSch 0 Geschrieben 9. August 2022 Autor Melden Teilen Geschrieben 9. August 2022 Folgendes erhalte ich, wenn ich auf dem Terminal Server gpresult /r aufrufe: Zitieren Link zu diesem Kommentar
NorbertFe 2.050 Geschrieben 9. August 2022 Melden Teilen Geschrieben 9. August 2022 vor einer Stunde schrieb teletubbieland: probierst Du nur aus oder hast Du Dir die Links von Sunny auch mal durchgelesen ? Ich vermute ersteres. ;) Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 9. August 2022 Melden Teilen Geschrieben 9. August 2022 vor 5 Stunden schrieb SabSchSch: Folgendes erhalte ich, wenn ich auf dem Terminal Server gpresult /r aufrufe Möchtest Du etwas lernen oder nur die Arbeit gemacht bekommen? Wenn letzteres, dann such dir einen Dienstleister vor Ort der das für dich macht. Für alles andere fang mit dem Lesen der Artikel an und erstell dir eine testOU mit dem Test-RDS und einem TestUser. Zitieren Link zu diesem Kommentar
daabm 1.357 Geschrieben 9. August 2022 Melden Teilen Geschrieben 9. August 2022 Loopback: https://evilgpo.blogspot.com/2012/02/loopback-demystified.html https://evilgpo.blogspot.com/2014/01/loopback-was-ist-das-und-warum-ist-es.html Und MS16-072 - Computer brauchen Leserechte auf User-GPOs. Zitieren Link zu diesem Kommentar
SabSchSch 0 Geschrieben 10. August 2022 Autor Melden Teilen Geschrieben 10. August 2022 Ich habe die Artikel/Links gelesen und habe eine Testgruppe und TestGPO angelegt. Terminalserver hat Lese-Rechte, die Authentifizierten Benutzer auch, die Testgruppe hat Lese-Rechte durch Sicherheitsfilterung, die Domänencomputer habe ich mit Lese-Rechten hinzugefügt. gpupdate/force lasse ich auf dem Server mit AD sowie auf dem Terminalserver laufen. Beide sind neu gestartet. Zitieren Link zu diesem Kommentar
NorbertFe 2.050 Geschrieben 10. August 2022 Melden Teilen Geschrieben 10. August 2022 vor 19 Minuten schrieb SabSchSch: Authentifizierten Benutzer auch, die Testgruppe hat Lese-Rechte durch Sicherheitsfilterung, die Domänencomputer Sowohl deine Testgruppe als auch die Domänencomputer sind in den "Authentifizierten Benutzern" enthalten. Zitieren Link zu diesem Kommentar
SabSchSch 0 Geschrieben 10. August 2022 Autor Melden Teilen Geschrieben 10. August 2022 Es wird aber doch überall geschrieben, dass man die Testgruppe und die Domänencomputer mit entsprechenden Rechten ausstatten soll. Genau wie die Authentifizierten Nutzer. Zitieren Link zu diesem Kommentar
NorbertFe 2.050 Geschrieben 10. August 2022 Melden Teilen Geschrieben 10. August 2022 Ja, wenn man filtern will/muss. Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 10. August 2022 Melden Teilen Geschrieben 10. August 2022 OK, lesen ist ja schon mal hilfreich. Welche Gruppe darf denn auch die GPOs nach dem Lesen auch Übernehmen? Zitieren Link zu diesem Kommentar
SabSchSch 0 Geschrieben 10. August 2022 Autor Melden Teilen Geschrieben 10. August 2022 Übernehmen darf die Testgurppe. Testgruppe Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 10. August 2022 Melden Teilen Geschrieben 10. August 2022 (bearbeitet) vor einer Stunde schrieb SabSchSch: gpupdate/force lasse ich auf dem Server mit AD sowie auf dem Terminalserver laufen. Ist flüssiger als Wasser, das /force: https://www.gruppenrichtlinien.de/artikel/gpupdate-vs-gpupdate-force In der Testgruppe ist der RDS-Server und dein Testbenutzer drin? Falls ja, wenn Du dich mit dem Testbenutzer, der ist hoffentlich kein Admin, per RDP am RDS-Server anmeldest passiert was genau? Wird das GPO mit den Einstellungen angewandt? Evtl. probierst Du Benutzereinstellungen die du sofort siehst. BTW: In den Authentifizierten Benutzern sind auch alle Computerkonten enthalten, out of the Box. ;) BTW2: Wenn Du Laufwerke ausblenden und den Zugriff darauf verbieten möchtest, lies auch mal diesen Artikel: https://www.gruppenrichtlinien.de/artikel/laufwerke-im-explorer-ausblenden-und-den-zugriff-darauf-verhindern Meistens ist es nur Augenwischerei, denn wenn man in irgendeinem Programm Datei öffnen aufruft, wird der Explorer aufgerufen und vermutlich kannst Du dort dann auch auf C:\ zugreifen. Was ist dein Ziel? bearbeitet 10. August 2022 von Sunny61 Zitieren Link zu diesem Kommentar
SabSchSch 0 Geschrieben 10. August 2022 Autor Melden Teilen Geschrieben 10. August 2022 Also, in der Testgruppe ist ein Testbenutzer (der kein Admin ist). Der RDS-Server ist hier nicht drin. Sollte er dadrin sein? Ist es ok, wenn die Testgruppe in den Gruppen enthalten ist oder muss die Testgruppe oder muss ich eine neu Gruppe unter RDS anlegen? Melde ich mich derzeit mit Testnutzer am RDS an, dann werden die Einstellungen die außerhalb des TS angelegt sind, angewandt. Den Artikel zum Laufwerke ausblenden lese ich mir gleich durch. Danke. Erreichen möchte ich mit dem Ausblenden von z.B. C:\ oder den Menüpunkt "Datei" im Dateiexplorer, dass die User weniger Schaden anrichten können. Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 10. August 2022 Melden Teilen Geschrieben 10. August 2022 vor 9 Minuten schrieb SabSchSch: Erreichen möchte ich mit dem Ausblenden von z.B. C:\ oder den Menüpunkt "Datei" im Dateiexplorer, dass die User weniger Schaden anrichten können. Das wirst Du nicht erreichen. Es gibt zig Varianten wie man per Programmierung den Explorer aufrufen kann. Alle diese Möglichkeiten kannst Du nicht abschalten. Und wenn ein User in der Adresszeile vom Explorer C:\ eingibt, kommt er vermutlich auch hin. Maximal kann der User out of the Box auf LW C:\ auf dem RDS ein Verzeichnis anlegen, das kann man unterbinden. Gibt es auch einen Artikel auf gruppenrichtlinien.de zu dem Thema. Wo die Gruppen im AD abgelegt sind ist egal. Du musst sie nur im GPO an der richtigen Stelle mit den richtigen Berechtigungen eintragen. Wenn auf dem RDS KEINE anderen GPOs von Usern greifen sollen, dann musst Du in diesen GPOs, die auf dem RDS NICHT greifen sollen, den RDS (oder die Gruppe in dem der RDS enthalten ist) eintragen und ihm das Übernehmen der Einstellungen verweigern. Oder eben beim Loopback Mode Erssetzen wählen. Deshalb testet man das auch intensiv durch. Probier das mal anhand einer einfachen Usereinstellung aus, Hintergrundbild oder ähnliches. Hilfreich ist auch die GPOs passend zu benamsen. _C für Computereinstellungen und/oder _U für Usereinstellungen. Wenn man strikt trennt in den GPOs zwischen C und U tut man sich bei solchen Dingen jetzt leichter. 1 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.