9
Loopbackverarbeitung nicht für alle User
Hallo wie der Titel schon sagt habe ich ein Problem mit der Loopbackverabeitung. Hier meine
Problembeschreibung:
in einer gemischten Client Server / Terminalserver Umgebung habe ich für das Arbeiten
am Terminalserver (2008 Std. Server SP2) die Loopback Verarbeitung aktiviert (OE mit dem
Terminalserver drin erstellt und dort die Usereinstellungen vorgenommen und im Computerteil
Loopback aktiviert und auf ersetzen gestellt).
Das klappt auch wunderbar, User die sich Remote am Terminalserver anmelden bekommen "strenge"
Einstellungen was Desktop, System etc angeht. Wenn sich der gleiche User an einem lokalen PC
anmeldet sind die Rechte weniger stark eingeschränkt. Genau wie geplant halt.
Allerdings habe ich noch das Problem, dass der Loopback Modus nun für alle User gilt die sich am
Terminal Server anmelden. Auch der Administrator bekommt logischweise das strenge Profil per Richtlinie.
Meine Frage: Wie kann ich bestimmte Usergruppen von der Loopbackverabeitung ausschließen?
Wenn ich es über die Filtereinstellungen in der Richtlinie selber versuche und dort z.B. nur User
oder eine Sicherheitsgruppe mit zugehörigen Usern angebe, hat keiner mehr das Strenge Profil.
Der einzige Eintrag im Filter, der nicht dafür sorgt dass die Richtlinie für alle ignoriert wird,
ist der Eintrag der auch immer beim Erstellen einer Richtlinie drin ist, die Gruppe
"authentifizierte Benutzer". Das führt dazu das die Richtlinie für alle genutzt wird, jeder
spezifischere Eintrag sorgt dafür das die Richtlinie für keinen verarbeitet wird.
Das muss ja irgendwie klappen, vielleicht weiss ja wer die Lösung.
mfg
Problembeschreibung:
in einer gemischten Client Server / Terminalserver Umgebung habe ich für das Arbeiten
am Terminalserver (2008 Std. Server SP2) die Loopback Verarbeitung aktiviert (OE mit dem
Terminalserver drin erstellt und dort die Usereinstellungen vorgenommen und im Computerteil
Loopback aktiviert und auf ersetzen gestellt).
Das klappt auch wunderbar, User die sich Remote am Terminalserver anmelden bekommen "strenge"
Einstellungen was Desktop, System etc angeht. Wenn sich der gleiche User an einem lokalen PC
anmeldet sind die Rechte weniger stark eingeschränkt. Genau wie geplant halt.
Allerdings habe ich noch das Problem, dass der Loopback Modus nun für alle User gilt die sich am
Terminal Server anmelden. Auch der Administrator bekommt logischweise das strenge Profil per Richtlinie.
Meine Frage: Wie kann ich bestimmte Usergruppen von der Loopbackverabeitung ausschließen?
Wenn ich es über die Filtereinstellungen in der Richtlinie selber versuche und dort z.B. nur User
oder eine Sicherheitsgruppe mit zugehörigen Usern angebe, hat keiner mehr das Strenge Profil.
Der einzige Eintrag im Filter, der nicht dafür sorgt dass die Richtlinie für alle ignoriert wird,
ist der Eintrag der auch immer beim Erstellen einer Richtlinie drin ist, die Gruppe
"authentifizierte Benutzer". Das führt dazu das die Richtlinie für alle genutzt wird, jeder
spezifischere Eintrag sorgt dafür das die Richtlinie für keinen verarbeitet wird.
Das muss ja irgendwie klappen, vielleicht weiss ja wer die Lösung.
mfg
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 123635
Url: https://administrator.de/contentid/123635
Printed on: April 25, 2024 at 07:04 o'clock
9 Comments
Latest comment
Moin Moin
Weil bei "nur User" der Terminal server selbst fehlt.
Wende diese Richtlinie auf eine Gruppe an, in der sich der Terminalserver und alle TSUser befinden. Dann sollte es funktionieren.
Und wenn du dann den Admin aus dieser Gruppe entfernst bist du am Ziel.
Gruß L.
Wenn ich es über die Filtereinstellungen in der Richtlinie selber versuche und dort z.B. nur User oder eine Sicherheitsgruppe mit zugehörigen Usern angebe, hat keiner mehr das Strenge Profil.
Weil bei "nur User" der Terminal server selbst fehlt.
Wende diese Richtlinie auf eine Gruppe an, in der sich der Terminalserver und alle TSUser befinden. Dann sollte es funktionieren.
Und wenn du dann den Admin aus dieser Gruppe entfernst bist du am Ziel.
Gruß L.
Es geht ja auch kompliziert.....
Aber einfacher wäre es doch wenn man einfach den entsprechenden Benutzer in der Sicherheitskonfiguration der Gruppenrichtlinie auf "verweigern" stellt, oder?
Aber einfacher wäre es doch wenn man einfach den entsprechenden Benutzer in der Sicherheitskonfiguration der Gruppenrichtlinie auf "verweigern" stellt, oder?
Moin
Aber Du hast natürlich Recht. Es würden funktionieren und wäre auch (etwas) schneller umgesetzt.
Gruß L.
Es geht ja auch kompliziert.....
Aber einfacher wäre es doch wenn man einfach den entsprechenden Benutzer in der Sicherheitskonfiguration der Gruppenrichtlinie auf "verweigern" stellt, oder?
Ich persönlich finde es aus Gründen der Übersichtlichkeit eher kompliziert solche Einstellungen für einzelne Benutzer vorzunehmen und Verweigern kommt nur in extremen Ausnahmen zum Einsatz.Aber einfacher wäre es doch wenn man einfach den entsprechenden Benutzer in der Sicherheitskonfiguration der Gruppenrichtlinie auf "verweigern" stellt, oder?
Aber Du hast natürlich Recht. Es würden funktionieren und wäre auch (etwas) schneller umgesetzt.
Gruß L.
Hi,
also das die Übernahme verweigert wird sollte eigentlich zum normalen Verwaltungswerkzeug gehören. Und man kann sowas ja auch über Benutzergruppen (Administratoren z.B.) vornehmen.
Aber im Endeffekt führen beide Lösungen zum Ziel
also das die Übernahme verweigert wird sollte eigentlich zum normalen Verwaltungswerkzeug gehören. Und man kann sowas ja auch über Benutzergruppen (Administratoren z.B.) vornehmen.
Aber im Endeffekt führen beide Lösungen zum Ziel
Hallo danke erst mal für die antworten.
Meinst du damit eine Organisationseinheit der beide angehören oder eine Sicherheitsgruppe der die User UND der Terminalserver angehören und diese dann bei Filtereinstellungen eintragen?
Das mit der Übernahme verweigern würde ich auch eher als letzte Lösung benutzen.
mfg
Weil bei "nur User" der Terminal server selbst fehlt.
Wende diese Richtlinie auf eine Gruppe an, in der sich der
Terminalserver und alle TSUser befinden. Dann sollte es
funktionieren.
Und wenn du dann den Admin aus dieser Gruppe entfernst bist du am
Ziel.
Wende diese Richtlinie auf eine Gruppe an, in der sich der
Terminalserver und alle TSUser befinden. Dann sollte es
funktionieren.
Und wenn du dann den Admin aus dieser Gruppe entfernst bist du am
Ziel.
Meinst du damit eine Organisationseinheit der beide angehören oder eine Sicherheitsgruppe der die User UND der Terminalserver angehören und diese dann bei Filtereinstellungen eintragen?
Das mit der Übernahme verweigern würde ich auch eher als letzte Lösung benutzen.
mfg
Moin Moin
Gruß L.
Meinst du damit eine Organisationseinheit der beide angehören oder eine Sicherheitsgruppe der die User UND der Terminalserver angehören und diese dann bei Filtereinstellungen eintragen?
Ich meinte eigentlich das 2., aber es funktioniert beides.Gruß L.
Hallo ich habe nochmal diverses probiert und sehr wirre Ergebnisse bekommen.
Anstatt nur 2 Test User im Sicherheitsfilter einzutragen habe ich den Terminalserver dazugenommen. Ergebniss klappt alles wie gewünscht, Problem gelöst.
Da ich keine Einzeluser oder PCs drin haben will, habe ich mal wie du sagtest eine Sicherheitsgruppe, der sowohl die 2 User als auch der Terminalserver angehören erstellt und diese als einziges in den Sicherheitsfilter getan. Ergebniss es klappt nichts, die Testuser ziehen sich NICHT die strenge Berechtigung.
Ok Kommando zurück und wieder 2 User und TermServer einzeln in den Sicherheitsfilter getan mit dem Ergebniss das es plötzlich so auch nicht mehr klappt. Obwohl das vorher funktioniert hat.
Nach jeder Änderung habe ich gpupdate force gemacht, daran kann es also nicht liegen. Spannend spannend
Aber erst mal Wochenende.
Danke für die Antworten
Anstatt nur 2 Test User im Sicherheitsfilter einzutragen habe ich den Terminalserver dazugenommen. Ergebniss klappt alles wie gewünscht, Problem gelöst.
Da ich keine Einzeluser oder PCs drin haben will, habe ich mal wie du sagtest eine Sicherheitsgruppe, der sowohl die 2 User als auch der Terminalserver angehören erstellt und diese als einziges in den Sicherheitsfilter getan. Ergebniss es klappt nichts, die Testuser ziehen sich NICHT die strenge Berechtigung.
Ok Kommando zurück und wieder 2 User und TermServer einzeln in den Sicherheitsfilter getan mit dem Ergebniss das es plötzlich so auch nicht mehr klappt. Obwohl das vorher funktioniert hat.
Nach jeder Änderung habe ich gpupdate force gemacht, daran kann es also nicht liegen. Spannend spannend
Aber erst mal Wochenende.
Danke für die Antworten
Moin moin
Du solltest mal die Gruppenrichtlinienergebnisse in der Gruppenrichtliienverwaltung ermitteln. Da erhältst du sehr detailerte informationen ob und warum, welche GPO (nicht) angewendet wird.
Weiterhin möchte ich dir noch 2 HowTo's mit an die Hand geben:
Ein mal zum Loopbackverarbeitungsmodus und Richtlinien für Sicherheitsgruppen einrichten.
Ich hoffen du kannst damit feststellen wo bei dir der Wurm drin ist.
Gruß L.
Du solltest mal die Gruppenrichtlinienergebnisse in der Gruppenrichtliienverwaltung ermitteln. Da erhältst du sehr detailerte informationen ob und warum, welche GPO (nicht) angewendet wird.
Weiterhin möchte ich dir noch 2 HowTo's mit an die Hand geben:
Ein mal zum Loopbackverarbeitungsmodus und Richtlinien für Sicherheitsgruppen einrichten.
Ich hoffen du kannst damit feststellen wo bei dir der Wurm drin ist.
Gruß L.
Hallo,
Ok ich kann leider erst heute weiter testen. Insbesondere die Auswertung sollte da ja interessant sein.
Mittlerweile klappt die Beschränkung mit einzelnem Eintragen der User und Server in den Filter wieder, aber erst nachdem ich die Sicherheitsgruppe (bestand aus 2 Testusern +Server), die ich zu Testzwecken angelegt hatte (die aber im Filter nicht funktionierte und auch nicht mehr drin stand), komplett aus dem AD gelöscht habe.....
Danke für die Antworten, die Links werder ich mir dann auch mal zu Gemüte führen.
mfg
Michael
Ok ich kann leider erst heute weiter testen. Insbesondere die Auswertung sollte da ja interessant sein.
Mittlerweile klappt die Beschränkung mit einzelnem Eintragen der User und Server in den Filter wieder, aber erst nachdem ich die Sicherheitsgruppe (bestand aus 2 Testusern +Server), die ich zu Testzwecken angelegt hatte (die aber im Filter nicht funktionierte und auch nicht mehr drin stand), komplett aus dem AD gelöscht habe.....
Danke für die Antworten, die Links werder ich mir dann auch mal zu Gemüte führen.
mfg
Michael
