Loopbackverarbeitung von Gruppenrichtlinien - Verständnis

[tsaenger 12]

Hallo,

Ich habe eine Verständinsfrage zum Thema "Loopbackverarbeitung von Gruppenrichtlinien"

 

Ich habe eine Win2k3 Domainencontroller und einnen W2k3-Terminalserver.

 

Ich habe eine Thread gefunden der mir die vorgehensweise etwas klarer macht:

Du hast eine OU mit Computerkonten:

OUTerminalserver

Compi1

Compi2

Und Du hast eine OU mit Usern:

OUBenutzer

Benutzer1

Benutzer2

Du implementierst eine Policy für die User an der "OUBenutzer".

Problem: Diese Policy wirkt immer auf den User, egal an welchem

Computer im Netz er sich auch anmeldet.

Jetzt willst Du an Kiosksystemen oder Terminalservern stärkere

Einschränkungen für die User realisieren. Das geht aber mit

den Standardmöglichkeiten nicht.

Und genau dies wird mit dem Loopbackmodus möglich:

An der "OUTerminalserver" wird eine Policy definiert in welcher

der Loopbackmodus aktiviert ist. Außerdem werden in dieser Policy

die Benutzereinstellungen sehr restriktiv eingestellt - obwohl sich in

der OUTerminalserver gar kein Userkonto befindet.

Meldet sich jetzt ein User "Benutzer1" irgendwo an, wirkt die Policy

die an der OUBenutzer für ihn gemacht ist. Meldet er sich aber an einem

der beiden Computer "CompiX" an, wirken wegen des Loopbackmodus

auf ihn die Einstellungen, die an der OUTerminalserver unter den

Benutzereinstellungen definiert sind.

--

Viele Grüße

Robert Pieroth

Google Groups: microsoft.public.de.german.win2000.gruppen_richtlinien

 

Nun habe ich die 2 OU's erstellt und meinen Terminalserver in die neu angelegte OU verschoben. Dort habe ich dann auch ein Richtlinienobjekt angelegt bei dem ich die Loopbackverarbeitung aktiviert habe. Weiterhin habe ich mir zu Testzwecken in der selben OU einfach den Abmeldenbutton entfernen lassen. Leider habe ich aber damit noch nicht wirklich erfolg gehabt.

 

Solange ich dem Benutzer nicht die Dom-Admin Rechte gebe, kann er sich an dem TS nicht anmelden. Wenn er Dom-Admin ist sehe ich aber keine Einschränkungen an derm Konto.

 

Ich habe bis jetzt auch noch nicht richtig verstanden wozu ich die BenutzerOU brauche.

 

Kann mir jemand bitte erklären was ich da wie einstellen muss, sodass sich die Benutzer wenn sie sich lokal an ihrem DOM-Computer anmelden ihr nicht so restriktives Profil erhalten und sobald sie an dem TS arbeiten stark eingeschränkt werden.

 

Gruß

 

Tobias

[pampersrocker 10]

Hallo,

 

hab nicht viel Zeit für eine genaue Erklärung, aber dieser Link könnte dir eventuell für den Loopback Processing Mode helfen.

 

MSXFAQ.DE - Gruppenrichtlinien

 

Mir jedenfalls hat er geholfen.

[IThome 10]

Die Loopbackverarbeitung verändert die Anwendungsweise von Gruppenrichtlinien. Normalerweise wirkt eine Gruppenrichtlinie nur auf die Objekte, die sich in der Reichweite dieser Gruppenrichtlinie befinden. Stelle ich also etwas in der Benutzerkonfiguration ein und linke dieses GPO in eine OU, müssen sich in dieser OU auch Benutzerkonten befinden. Der Nachteil hierbei ist jetzt, dass diese Richtlinie auf ein erreichbares Benutzerobjekt wirkt, egal wo man sich anmeldet. Willst Du, dass diese Einschränkungen nur gültig sind, wenn man sich an bestimmten Rechnern anmeldet (z.B. am Terminalserver), kannst Du die Loopbackverarbeitung benutzen. Die Loopbackverarbeitung wird in der Computerkonfiguration eingestellt, daher muss sich in ihrer Reichweite auch das entsprechende Computerkonto befinden (die OU, in der sich der TS befindet). Im selben GPO stellst Du nun Einschränkungen in der Benutzerkonfiguration ein. Diese Einstellungen wirken, obwohl sich KEINE Benutzerobjekte in der Reichweite der Richtlinie befinden (es befindet sich nur der TS in dieser OU). Die Loopbackberarbeitung kennt zwei Modi, Ersetzen und Zusammenfügen. Wird die Loopbackverarbeitung auf Ersetzen gestellt, werden alle Einschränkungen, die ein betreffendes Benutzerkonto durch irgendein anderes GPO, welches z.B. in einer OU gelinkt ist, in dem sich alle Benutzerkonten befinden, durch die Einstellungen in dem Loopback-GPO überschrieben (es gelten die Einstellungen des Loopback-GPOs, nicht die des GPOs, in dessen Reichweite sich die Benutzerobjekte befinden). Stellt man auf Zusammenführen, werden die Einschränkungen im Loopback-GPO UND die Einschränkungen im Benutzerteil eines eventuell woanders platzierten GPOs, in dessen Reichweite sich das Benutzerobjekt befindet, angewendet. In diesem Fall gilt, dass konkurrierende Einstellungen von dem Loopback-GPO angewendet werden.

[tsaenger 12]

Hallo,

 

vielen Dank für deine Info.

 

Ich habe nun folgendes Situation bei mir.

 

Ich habe mir eine OU erstellt namens Abteilung1. Dort liegt nun eine Sicherheitsrichtlinie die die Rechte für meine Domain-Users enthält incl. einer Sicherheitsgruppe. Der Sicherheitsgruppe gehören alle User an.

Unterhalb dieser OU habe ich eine weitere OU namens OU-TS-Computer eingerichtet. Hier habe ich den TS hineingezogen.

In dieser OU habe ich wiederum eine Sicherheitsrichtlinie erstellt bei der ich das Loopback aktiviert habe.

 

Nun habe ich aber das Problem, das ich beim Anmelden der User immer die Msg. bekomme "Sie müssen über die Berechtigung "Anmelden über Terminaldienste..." .

Ich habe allerdings in der OU der DomainUsers die Sicherheitsgruppe in der sich meine User befinden dem Punkt "Anmelden über Terminaldienste zulassen" hinzugefügt.

 

Wieso kann das sein?

Was muss ich da noch ändern?

 

Gruß

 

Tobias

[IThome 10]

Okay, das ist Schritt 1 (in meinen Augen aber zu kompliziert). Das Benutzerrecht wird wahrscheinlich auf dem TS angewendet, allerdings haben die Benutzer immer noch nicht die Berechtigung in der Terminaldienstekonfiguration im RDP-TCP Objekt, dass sie sich anmelden dürfen.

Ich würde die OU Abteilung da lassen, wo sie ist. Die untergeordnete OU TS-Computer würde ich direkt unterhalb der Domäne platzieren. In diese OU wird ein GPO gelinkt, in dem Du die Loopbackverarbeitung auf Ersetzen konfigurierst, mit Hilfe von Eingeschränkten Gruppen die Gruppe Deiner User und die Administratoren zur lokalen Gruppe Remotedesktopbenutzer zufügst und im Benutzerteil die Einschränkungen vornimmst. Den Teil mit den Eingeschränkten Gruppen kannst Du auch händisch erledigen, in dem Du Deine Benutzergruppe der lokalen Gruppe Remotedesktopbenutzer zufügst (mit LUSRMGR.MSC auf dem TS), es ist ja nur ein TS (Benutzerrecht auf Nicht definiert im GPO)...

Ist der TS auch ein DC ?

Schau ach mal hier

https://www.mcseboard.de/windows-forum-ms-backoffice-31/ts-user-welche-gruppe-92590.html?highlight=anmelden+%FCber+terminaldienste

[tsaenger 12]

Hallo,

 

vielen Dank! Nun funktioniert es bei mir einwandfrei.

Hatte die User nicht beim TS in die lokale Remotedesktopusergruppe hinzugefügt sondern beim DC. Das war mein Problem.

 

Gruß

Tobias

[IThome 10]

Wenn der TS kein DC ist, brauchst Du das Benutzerrecht nicht anpassen, die Remotedesktopbenutzer haben dieses Recht per Default (auf einem Member-TS) ...

Aber danke für die Rückmeldung ... :thumb1:

[heinzelrumpel 10]

Hallo,

 

gilt der Loopbackverarbeitungsmodus auch, wenn der DC gleichzeitig der TS ist? Kann ich denn DC aus der Stadard GPO "Domänencontroller" verschieben?

 

Gruß

 

Torsten

[IThome 10]

Verschieben kannst Du, solltest aber die Default Domain Controllers Policy dort linken, wo Du ihn reinschiebst. Aber wozu, Du kannst ein weiteres GPO in der Domain Controllers OU erstellen und dort die Einstellungen vornehmen (mal ganz davon ab, dass man auf DCs keine Terminaldienste betreiben sollte). Wenn Du mehrere DCs hast, arbeitest Du mit der Sicherheitsfilterung, dann können die DCs bleiben, wo sie sind ...

[v-rtc 88]

Hallo.

 

Ich habe leider noch eine kleine Frage zu GPOs.

 

Wir haben eine Policy IE8 verteilen für bestimmte Computerkonten OUs + Authentifizierte Benutzer.

Nun habe ich in der GPO bei Benutzerkonfiguration die Autovervollständigung für Formulare deaktiviert.

Zieht nun diese Einstellung bei allen Computern egal wer angemeldet ist?

Oder ist die Idee von mir völlig ***isch?

 

Vielen Dank.

 

Grüße

 

Rolf

[RanCyyD 10]

Wenn es eine Benutzerkonfig ist und für alle authentifizierten Benutzer gilt: Ja.

[v-rtc 88]

Ja ist eine Benutzerkonfig und unten sind Authentifizierte Benutzer eingetragen.

 

Leider zieht diese Einstellung irgendwie nicht so richtig, oder ich bin auf dem falschen Dampfer.

Kenne mich damit aber auch nicht so richtig aus.

 

Danke.

 

Grüße

 

Rolf

[RanCyyD 10]

Du mußt beim IE aufpassen, ob die Einstellungen, die der Admin trifft für alle gelten oder nicht.

 

Das ist aber in der Computerkonfig

[v-rtc 88]

Ah ok.

 

Ist das im Internet Explorer Teil?

Vielleicht hast Du ja den Eintrag kurz parat?

 

Danke.

 

EDIT: Echt witzig. Habe mal Spaßeshalber ein Titel (Benutzerkonfig -> IE Wartung) eingetragen im IE8, der funktioniert 1a, nur die Autovervollst. nicht.

 

Grüße

 

Rolf

[v-rtc 88]

Weißt Du wo die Einstellung sein könnte mit dem Admin?

 

Danke.

 

Grüße

 

Rolf