Andreas00023 10 Geschrieben 14. September 2005 Melden Geschrieben 14. September 2005 Kennt einer von euch die beste und einfachste Möglichkeit verschiendene Usergruppen die auf einen Windows 2003 Terminal Server zugreifen sollen zu erstellen? Ich hab jetzt im AD 2 Gruppen angelegt. Eine soll kein Office Produkt öffnen können und die andere schon. Wie löse ich das am besten? Zitieren
micha42 29 Geschrieben 14. September 2005 Melden Geschrieben 14. September 2005 Ich denke am Besten die User in eine OU legen und ein GPO bauen mit einer Software-einschränkung. Benutzer/ Windows-Einstellungen / Sicherheitseinstellungen / Richtlinien für Softwarebeschränkung Michael Zitieren
Andreas00023 10 Geschrieben 15. September 2005 Autor Melden Geschrieben 15. September 2005 das wäre ansich das einfachste wenn nicht eine dieser Usergruppen auch "normal" arbeitet. Wenn die diese Gruppe in eine OU lege und die Group Policy drüberlege hätte ich das Problem das diese Group Policy auch auf deren normalen PC greifen würde. Diese darf aber nur am Terminal Server funktionieren. Zitieren
micha42 29 Geschrieben 16. September 2005 Melden Geschrieben 16. September 2005 Du kannst eine Softwareeinschränkung auch auf einem Benutzer laufen lassen. Wenn die User allerdings auf Ihren "normalen WS" Office nutzen sollen und auf den TS-Sitzungen hier ein Verbot haben sollen, würde mir nur noch ein zweiter Account zum Anmelden am TS einfallen. Zitieren
IThome 10 Geschrieben 16. September 2005 Melden Geschrieben 16. September 2005 Man kann doch, wenn der TS alleine in einer OU ist, eine Richtlinie mit mehreren GPOs auf der OU anwenden, auf allen GPOs die Loopbackverarbeitung auf ersetzen konfigurieren, die Softwareeinschränkungen konfigurieren und die GPOs via Objektsecurity gezielt gruppenbasiert verweigern bzw. erlauben. In dieser Konfiguration stecken die Benutzer in einer anderen OU als der TS und bekommen die Einschränkungen ausschliesslich, wenn sie sich am TS anmelden. Zitieren
micha42 29 Geschrieben 16. September 2005 Melden Geschrieben 16. September 2005 @ITHome Ich hab ca. 5-7 mal Lesen gebraucht, bis ich das verstanden hatte... eine kleine Anmerkung: Man kann meines Wissens mehrere Richtlinien in ein GPO stecken aber nicht anderesherum... Ok hast Du bestimmt auch so gemeint. Aaber: Was meinst Du mit "Loopbackverarbeitung auf ersetzen konfigurieren"? Das versteh ich nicht. Michael Zitieren
IThome 10 Geschrieben 16. September 2005 Melden Geschrieben 16. September 2005 Es existiert eine OU, in dieser OU befindet sich nur das Computerobjekt des TS. Du erstellst ein GPO , innerhalb des GPO konfigurierst Du die Einstellung Loopbackverarbeitungsmodus..., was bewirkt, dass die Benutzereinstellungen innerhalb dieses GPOs wirksam sind, obwohl kein einziger Benutzer in dieser OU vorhanden ist (die Wirkung dieser Einstellung ist gut beschrieben, wenn Du die Gruppenrichtlinienobjekt-Editor-MMC aufrufst und dort unter Computerkonfiguration - Administrative Vorlagen - System - Gruppenrichtlinien - Loopback... die Erklärung ansiehst) . In dem einen GPO konfiguriere ich sämtliche Einstellungen, die ich machen möchte plus die Softwarerichtlinie, um der einen Gruppe die Ausführung irgendeiner Software zu verbieten. In dem anderen GPO konfiguriere ich auch sämtliche Einstellungen, die ich machen möchte ohne die Softwarerichtlinie. Der Gruppe, der ich Softwareeinschränkungen auferlegen möchte, verweigere ich den Zugriff auf das GPO ohne Softwareeinschränkung, der Gruppe, die ohne Softwareeinschränkung arbeiten soll, verweigere ich den Zugriff auf das GPO mit der Softwareeinschränkung. Dem Admin verweigere ich den Zugrif auf beide GPOs, sofern ich möchte, dass er uneingeschränkt verwalten kann. Ich hoffe, ich konnte diesmal deutlicher klar machen, was ich eigentlich meine ... :) Hast aber recht, das war ganz schön quer :suspect: Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.