Win2kSrv Prob mit Gruppenrichtlinien

[Schluml 10]

Ok, da haste ja auch Recht :p

 

hilft mir jedoch bei meinem Problem nicht weiter... langsam hab ich das Gefühl dass es einfach nicht umzusetzen geht :(

[IThome 10]

Ähmm, das habe ich doch schon geschrieben, wie es geht. Dein Problem ist, wie in #1 beschrieben, dass Deine User die Richtlinie zugewiesen bekommen, egal ob sie sich lokal an dem Client anmelden oder ob sie sich am Terminalserver via RDP anmelden.

Du erzeugst Dir in der Default Domain Controllers OU (und nirgendwo anders) ein GPO, in dem Du die Loopbackverarbeitung (Ersetzen) konfigurierst. In diesem GPO schränkst Du im Benutzerbereich die User ein. In der Sicherheitsfilterung definierst Du die Gruppe, die dieses GPO lesen und übernehmen darf und ebenso die Gruppe, der die Übernahme und das Lesen verweigert wird (üblicherweise die Domänenadmins).In dieser OU befinden sich nur die Computerobjekte der Domänencontroller, also werden normalerweise nur die Computereinstellungen eines GPOs auf die Computerobjekte angewendet, die sich in dieser OU befinden. Durch die Loopbackeinstellung legst Du fest, dass auch Usereinstellungen des GPOs verarbeitet werden, obwohl sich gar keine User in dieser OU befinden.

Da sich Deine User im Container Users befinden und man dort keine Richtlinien definieren kann, brauchst Du da nichts weiter machen. Auf Domänen- und Standortebene dagegen könnte man eine Richtlinie linken, die auf die User angewendet wird, während sie sich am PC anmelden. Schau noch mal nach, ob Du dort irgendwas gelinkt hast.

Eine weitere Möglichkeit wäre, via GPRESULT (Ressourcekit) zu überprüfen, aus welcher Richtlinie die Einstellungen kommen.

Ich hoffe, wir reden jetzt nicht aneinander vorbei ... ;)

[Schluml 10]

Aaaaalso :D

 

hab das ganze nochmal nach deinem Schema erstellt... Problem besteht allerdings weiterhin. scheinbar wird die Richtlinie nicht angewannt, zumindest laut gpresult:

The computer received "Registry" settings from these GPOs:

       Richtlinien der lokalen Gruppe
       Default Domain Policy


===============================================================
The computer received "Security" settings from these GPOs:

       Richtlinien der lokalen Gruppe
       Default Domain Policy
       Default Domain Controllers Policy


===============================================================
The computer received "EFS recovery" settings from these GPOs:

       Richtlinien der lokalen Gruppe
       Default Domain Policy

 

Meine Einstellungen: siehe Anhang

[Schluml 10]

aller guten dinge sind heut mal 4 ;)

[IThome 10]

Mal ganz davon abgesehen, dass ich die Bilder noch nicht sehen kann ... ;) Ich würde gerne wissen, welche Sicherheitseinstellungen (also welche Gruppen) Du in dem GPO mit welchen Berechtigungen vorgenommen hast .

[Schluml 10]

ja die anhänge warten noch auf ihre Freischaltung, seh ich grad :D

 

ich hab meiner eigenen Sicherheitsgruppe TerminalServer User Lesen + Richtlinie übernehmen gegeben, Domänen Admins und authentifizierte Benutzer hab ich Richtlinie verweigern eingestellt

[IThome 10]

ja die anhänge warten noch auf ihre Freischaltung, seh ich grad :D

 

ich hab meiner eigenen Sicherheitsgruppe TerminalServer User Lesen + Richtlinie übernehmen gegeben, Domänen Admins und authentifizierte Benutzer hab ich Richtlinie verweigern eingestellt

 

Und was ist mit den Domänencontrollern, die den Computerteil der Richtlinie verarbeiten sollen ? In den Authentifizierten Benutzern sind auch die Computer enthalten. Im Übrigen kommt ein Verweigern vor einem Erlauben, da der User Mitglied beider Gruppen ist, wird der Zugriff auf das GPO verweigert, genau wie den DCs.

Mache es erstmal einfach, schmeiss die Authentifizierten Benutzer raus und füge die Domänencontroller zu und gebe ihnen die Berechtigung Lesen und Gruppenrichtlinie übernehmen ...

[Schluml 10]

Morgäään...

 

jo also der DC fehlte wirklich da in der Liste... jetzt funktioniert das wirklich, anscheinend habe ich da ein Verständnisproblem was die Richtlinien angeht. hatte nie in Betracht gezogen, dass der DC noch mit rein muss :rolleyes:

 

Also zu diesem Problem erstmal vielen Dank für die Hilfe :)

 

Allerdings brachte das ganze jetzt ein kleines neues Problem mit sich...

Die Anmeldung an der Domäne (nicht am TS) dauert jetzt ca 5 Minuten, am längsten ist er mit dem Laden der Einstellungen beschäftigt.

 

Gruß Björn

[IThome 10]

Zu Deinem neuen Problem ist jetzt schwer was zu sagen, da ich nicht weiss, was Du alles eingestellt/umgeleitet hast ?!

Aber wenigstens ist Dein Hauptproblem behoben :)

[Schluml 10]

Scheint ein DNS Problem zu sein, das krieg ich aber selbst auf die Reihe ;)

 

In dem Sinne, danke nochmal, bis zum nächsten mal :D

[IThome 10]

Schön, viel Erfolg ;)

[lefg 276]

Scheint ein DNS Problem zu sein, das krieg ich aber selbst auf die Reihe ;)

Falls die Namensauflösung nicht funktioniert, kann es auch die Aktualsierung der Gruppenrichtlinie nicht. Oder?

[IThome 10]

Da bin ich auch mal gespannt ...

[lefg 276]

Ich auch.

[Schluml 10]

hat doch auch nichts mit der Aktualisierung zu tun... Problem war, ich musste mit dem Rechner wo der Server über vmware drauf lief ins internert, somit kurz ins netzwerk und da stimmte dann der primäre dnsserver nicht mehr ganz... habe nun alles wieder getrennt ,die dnseinträge geflusht und aktualisiert und nun geht es wieder ;)