Schluml 10 Geschrieben 9. Dezember 2005 Melden Teilen Geschrieben 9. Dezember 2005 Morsche :D Ich hab mit VM-Ware ein Win2k DC aufgesetzt worauf zusätzlich ein Terminalserver läuft. (Bitte jetzt keine antworten, dass man sowas nich unbedingt machen sollte ;) ) ist halt notwendig. Zu meinem Problem: Ich habe für den Terminalserver eine OU mit einer Richtlinie erstellt welche natürlich sehr restriktiv eingestellt ist. Dazu eine Sicherheitsgruppe TerminalUser erstellt auf welche diese Richtlinie zutrifft. Mein Testuser ist Mitglied von DomainBenutzer und gleichzeitig auch Mitglied von TerminalUser... In der lokalen Sicherheitsrichtlinien des Domaincontrollers hab ich für lokal anmelden die Gruppe TerminalUser hinzugefügt. Wenn ich mich mit dem Testuser am Terminalserver remote anmelde wirkt meine Richtlinie mit dem restriktiven Einstellungen wunderbar. Aber wenn ich mich mit dem Testuser über ein Client an der Domäne anmelde, wirkt genau die gleiche Richtlinie, und an der Stelle will ich nicht dass sie wirkt. Das Problem liegt sicher darin, dass der User in beiden Gruppen eingetragen ist. Wie kann ich das differenzieren welche Richtlinie wirkt wenn man sich an der domäne anmelde und welche wirkt wenn ich mich am terminalserver anmelde. hoffe habe mich verständlich ausgedrückt. ;) Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 9. Dezember 2005 Melden Teilen Geschrieben 9. Dezember 2005 Suche im Board mal nach dem Stichwort Loopbackverarbeitungsmodus ... :) Zitieren Link zu diesem Kommentar
Schluml 10 Geschrieben 9. Dezember 2005 Autor Melden Teilen Geschrieben 9. Dezember 2005 den hab ich bereits in meiner Richtlinie aktiviert. Das Prob ist ja auch nicht dass es nicht funktioniert, sondern dass die terminalserverrichtlinie auch bei der normalen anmeldung des gleichen users an der domäne greift Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 9. Dezember 2005 Melden Teilen Geschrieben 9. Dezember 2005 Wo hast Du denn das GPO gelinkt ? Zitieren Link zu diesem Kommentar
Schluml 10 Geschrieben 9. Dezember 2005 Autor Melden Teilen Geschrieben 9. Dezember 2005 mit der domäne ... hatte die richtlinie erst nur mit der OU verlinkt aber da hat sie nicht gewirkt Zitieren Link zu diesem Kommentar
Schluml 10 Geschrieben 9. Dezember 2005 Autor Melden Teilen Geschrieben 9. Dezember 2005 Vielleicht sollte ich die Situation nochmal anders beschreiben ;) Ich hab: - 1 Useraccount - 2 GPO's (einmal GPO für Terminalserver und einmal StandardGPO des DC) und möchte: dass die GPO des TS auf den User angewand wird, wenn er sich am TS anmeldet und die StandardGPO greift, wenn der User sich über ein Client normal an der Domäne anmeldet. Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 9. Dezember 2005 Melden Teilen Geschrieben 9. Dezember 2005 Du linkst ein GPO, in dem Du die Loopbackverarbeitung und die Einstellungen, die die User einschränken, einstellst, in die OU, in der sich der Terminalserver befindet (das Computerkonto). Dieses GPO wird nicht in die OU gelinkt, in der sich die Benutzerkonten befinden. Da Dein Terminalserver der DC ist, musst Du das GPO in die Domänencontroller-OU linken (zusätzlich zur Default Domain-Controllers Policy). Über die Sicherheitsfilterung kannst Du gewisse Benutzer oder Gruppen von der Anwendung der Restriktionen ausschliessen. Beschreibe doch bitte mal, welche Objekte sich wo befinden und welches GPO mit welchen Einstellungen Du wo anwendest ... Zitieren Link zu diesem Kommentar
Schluml 10 Geschrieben 9. Dezember 2005 Autor Melden Teilen Geschrieben 9. Dezember 2005 Hmm bin anscheinend zu **** für :D klappt immernoch nicht. So hab ich das jetzt verstanden was du mir gesagt hast, Habs jetzt folgendermaßen: domain.local | + > domain Controllers | | | + > Default Domain-Controllers Policy | + > Terminalserver GPO | | | + > GPO für "Terminalserver User" übernehmen | + > Users | + > Sicherheitsgruppe "Terminalserver User" + > Testuser | + > Mitglied von "Domain-Benutzern" + > Mitglied von "Terminalserver User" Wenn ich das so lasse, wird die Terminalserver GPO überhaupt nicht angewannt, weder wenn ich mit mit dem Testuser am Terminalserver anmelde noch wenn ich mich normal über Client anmelde Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 9. Dezember 2005 Melden Teilen Geschrieben 9. Dezember 2005 Schieb das Terminalserver-GPO mal an die erste Stelle ... Zitieren Link zu diesem Kommentar
Schluml 10 Geschrieben 9. Dezember 2005 Autor Melden Teilen Geschrieben 9. Dezember 2005 Hat leider auch nicht geholfen Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 9. Dezember 2005 Melden Teilen Geschrieben 9. Dezember 2005 Habs mal eben nachgestellt ... Ein Domänencontroller, auf diesem DC die Terminaldienste installiert. Danach einen User angelegt, der sich in dem Container Users befindet und der Gruppe der Domänen-Benutzer und der Remotedesktop-Benutzer angehört. In den Eigenschaften der Domänencontroller-OU ein neues GPO erzeugt, innerhalb dieses GPOs in der Computerkonfiguration "Loopbackverarbeitungsmodus" auf ersetzen gestellt und in der Benutzerkonfiguration dieses GPOs einen Eintrag definiert (im Startmenü Ausführen ausblenden). Zusätzlich in der Computerkonfiguration das Benutzerrecht "Anmelden am Terminalserver zulassen" der Gruppe Remotedesktopbenutzer gewährt. GPO geschlossen, nach oben geschoben und in den Eigenschaften dieses GPOs den Authentifizierten Benutzern den Zugriff "Gruppenrichtlinie übernehmen" gewährt (Standard) und den Domänenadministratoren diesen Zugriff verweigert (weil sie ja nicht eingeschränkt werden sollen, weder lokal noch während der Verbindung via RDP) That´s it ... Du kannst mit dem Kommando GPRESULT anschauen, welche Richtlinie wirkt ... Zitieren Link zu diesem Kommentar
Schluml 10 Geschrieben 12. Dezember 2005 Autor Melden Teilen Geschrieben 12. Dezember 2005 Habs mal eben nachgestellt ...Ein Domänencontroller, auf diesem DC die Terminaldienste installiert. Danach einen User angelegt, der sich in dem Container Users befindet und der Gruppe der Domänen-Benutzer und der Remotedesktop-Benutzer angehört. Morsche, da gehts schon los, du hast sicher zum Testen Win2003 Server verwendet, ich habe bei Win2k keine vorgefertigte Benutzergruppe "Remotedesktop-Benutzer" ... edit: hmpf und mit der Einstellung für Authentifizierten Benutzern Gruppenrichtlinie übernehmen, hab ich mich jetz erfolgreich ausgesperrt Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 12. Dezember 2005 Melden Teilen Geschrieben 12. Dezember 2005 Das Prinzip ist bei einem 2000er genauso, die Authentifizierten Benutzer habe ich nur der Einfachheit halber genommen. Es sagt ja auch nur aus, dass alle diese Gruppenrichtlinie übernehmen dürfen und nicht, dass alle auf den Terminalserver zugreifen können. Zitieren Link zu diesem Kommentar
Schluml 10 Geschrieben 12. Dezember 2005 Autor Melden Teilen Geschrieben 12. Dezember 2005 Naja wie auch immer ;) dank vmware hab ich den server neu aufgesetzt, dc und ts installiert. und ich bin der meinung dass bei einem 2000er das prinzip ganz und garnicht das gleiche ist. hier gibt es einfach keine Möglichkeit (zumindest für mich) zu unterscheiden ob der user sich über eine domäne anmeldet oder über ein ts-cllient. bei Win2k3 gibts ja nunmal schon die vorgefertigten benutzerkonten sowie die sicherheitseinstellung zum anmelden am tsserver... bei win2k hab ich nur lokal anmelden und keine benutzerkonten für den ts zur verfügung, verstehste mein problem? Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 12. Dezember 2005 Melden Teilen Geschrieben 12. Dezember 2005 Mit dem "Prinzip" meinte ich eigentlich das Prinzip der Gruppenrichtlinien in Verbindung mit einem Terminalserver, der Loopbackverarbeitung und Sicherheitsfilterung. Du hast schon recht damit, dass es bei einem 2003er besser zu sehen ist bzw. schon anders als bei einem 2000er ist. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.