Gruppenrichtlinien unter W2k3 Server

[Stoned Spooky 10]

hi,

 

habe hier einen windows 2003 server auf dem ein terminalserver im anwendungsmodus läuft. ich würde jetzt gern den normalen usern soviel wie möglich sperren (desktop verändern systemsteuerung ausblenden, windows update, etc.). dieses geht doch über die gruppenrichtlinien. nur wenn ich die suche hier vom forum benutze komme ich nur auf themen wie man sie unter einem AD erstellt und nutzt.

 

mein problem ist dieser server ist standalone ohne AD und DC. ist es möglich diese richtlinien auch lokal zu erstellen?

 

habe zwar den gruppenrichtlinien-editor schon gefunden nur die änderungen die ich dort mache gelten für alle user, also auch für den administrator. das ist nicht wirklich zielführend :)

 

meine frage:

 

wie kann man richtlinien bilden, die nur für bestimmte user bzw. gruppen gelten. so in der art wie ich für bestimmte usergruppen zugriffsrechte setzen kann?

 

greets und danke für eure hilfe

[brwic 10]

jaja das geht schon die richtlinien die du auf den standalone server einrichtest sind dann aber fuer alle benutzer, was du machen kannst, den admin aus der benutzergruppe benutzer rausnehmen und sagen das die gruppenrichtlinien nicht vom admin uebernommen werden sollen. aber das is alles nichts halbes und ganzes ohne ad.

 

http://www.gruppenrichtlinien.de da werden ihnen geholfen

[mullfreak 10]

Servus Stoned,

 

wie gehts wie stehts.

 

Zu dem Thema gibts eine interessante Dokumentation von Microsoft.

 

Dieses ist als Whitepaper veröffentlicht und hängt diesem Post an.

 

Grüsse

Mullfreak

terminal_beschraenkt.zip

[Stoned Spooky 10]

vielen dank dieses whitepaper ist wirklich toll einfach und verständlich ich glaub das werde ich schaffen :)

 

da es ohne AD anscheinend wirklich nicht gscheit geht hier meine frage:

 

kann ich am terminalserver auch den DC mit AD laufen lassen oder würde das nicht gscheit funktionieren bzw. hätte es nachteile?!?

 

danke nochmals

[GuentherH 61]

Hallo zusammen.

 

Kommt natürlich darauf an, wie stark der Terminalserver bereits ausgelastet ist. Es gibt eine aber eine Empfehlung von MS (noch für W2K Server), dass man auf einem TS kein AD installieren soll. Dürfte nicht umsonst sein diese Empfehlung, da ja besonders bei WIN 2003 darauf hingewiesen wird, dass der Lizenzserver für die TS kein DC mehr sein muss.

 

Liebe Grüße

 

Günther

[mullfreak 10]

Hi Stoned,

 

theoretisch ist es möglich. Praktisch würde ich sagen auf keinen Fall. Unser Terminalserver ist rein für den Zugriff per Web mit SSL oder per Remotedesktopverbindung erreichbar. Es ist ein ganz schlanker Server, wo nur Anwendungen wie Office, Warenwirtschaftssystem (für Echtzeitbuchungen) oder etc. laufen.

 

Ich würde es nicht wollen das Terminaluser auf dem DC "sitzen". Du kannst zwar das Terminalserverprofil runterschrauben aber trotzdem wäre es nicht ideal.

 

Grüsse

Mullfreak

[Stoned Spooky 10]

hmm hmm ja hab ich mir irgendwie gedacht...ja eben aus sicherheitsgründen wollte ich den terminalserver stand alone machen weil dann hat er eine eigene ip im internet und braucht somit keine verbindung zum lan

 

ich hätte ja einen DC mit AD im lan hängen (war schon vorhanden) sprich ich könnte den TS einfach in die domaine hängen...dazu bräuchte er aber wieder eine verbindung mim LAN...

 

hmm aber anscheinend gehts ned anders ohne einen pfusch zu machen... :(

 

danke an alle die hier gepostet haben :)

 

PS: wenn euch was komplett anderes einfällt, dann immer her damit, da derzeit nur der TS aufgesetzt ist und die anwendungen installiert worden sind, bin ich bzw. der server :) recht anpassungsfähig

[mullfreak 10]

Hi Stoned,

 

jetzt versteh ich die Welt nicht mehr. Was heisst Stand-Alone? Wie willst Du dann den Terminal administrieren wenn er ohne AD Anschluss ist? Wieso soll er eine öffentliche IP bekommen? Glaubst Du wirklich den Server gibts dann lang?

 

Also ich kann Dir jetzt mal erzählen wie es bei mir aussieht. Bei mir funktioniert folgendes:

 

Ich hab einen Terminalserver, der als Memberserver in der Domäne läuft. Dieser ist natürlich in der Domäne. Dann ist auf dem Memberserver der Terminal installiert. Die Terminaluser befinden sich in einer eigenen OU in die Vererbung von der Default Domain Policy ist abgeschaltet. Die OU wird für die Terminaluser eingeschränkt. Es existieren nur noch die Anwendungs-Icons auf dem Bildschirm und sonst nix. Auf diesem ist auch Office oder so installiert um das Outlook nutzen zu können.

 

Dann hab ich eine Back-to-Back Firewallkonfiguration aus einem Netgear Hardware Router und einen ISA-Server. Auf dem Netgear ist der Port 3389 offen der auf den ISA zeigt. Dieser wiederrum besitzt eine Protokolldefinition für TerminalServer und einen Paketfilter und ein Serververöffentlichung. Ausserdem gibts eine Webveröffentlichung für /TSWEB.

 

Nun kann ich von extern mit der Remotedesktopverbindung eine Terminalsitzung aufbauen oder mit https://mydomain.homedns.org/tsweb. Letzteres ermöglicht mir eine 128bit verschlüsselte SSL Verbindung zum Terminalserver. Das Zertifikat stammt von meiner eigenen Stammzertifizierungsstelle. Sicherheit ist halt das höchste.

 

So, so gestalte ich Terminalserver. Ein Mass an Sicherheit und Komfort für die User.

 

So long ...

[Stoned Spooky 10]

öffentlich kommen is ned das problem hab 8 fixe ips von meinem ISP bekommen und ich dachte ja ok bekommt der server eine eigene öffentliche ip eine zywall (mit vpn)davor die nur port 3389 durchlässt und passt...

 

administrieren kann ich vor ort lokal über konsole und die mitarbeiter nutzen den server eh nur übers inet (software vpn)

 

aber anscheinend ist das ned alles so einfach wie man denkt :(