butsch
Goto Top

Windows 2008R2 Remote Desktop - Erstellung des Profils - Bei Erster Anmeldung mit Roaming Profiles Sicherheitswarnungen und Berechtigungen?

Hallo an alle!

Erstmal Gratulation an das beste deutschsprachige Forum im Internet! Dass ich noch nicht viel Beiträge gepostet habe, liegt daran, dass Lösung für die meisten Probleme, mit denen ich zu kämpfen hatte, bereits in div. Threads zu finden war face-smile


Infos zu unserer Konfiguration:
- Wir haben bei unseren beiden Windows 2008R2 Remote Desktop Servern Roaming Profiles inkl. Folder Redirection implementiert.
- Die beiden RDS Server sind mit Sitzungsbroker und NL Balancing laut Microsoft und Best Practices Anleitungen konfiguriert worden.
Die Profile werden in einen DFS Share gespeichert und von dort auf einem der beiden RDS Server je nach Auslastung geladen, sobald sich ein Benutzer am Sitzungsbroker anmeldet. Bei Abmeldung werden die Profile lokal gelöscht, laut Group Policy.
Auf die Profile selbst haben wir Berechtigungen für den Benutzer selbst, (Domain)admins und System rekursiv laut GP Einstellungen für Roaming Profiles und Folder Redirection implementiert. Es werden nachträglich keine Berechtigungen geändert bzw. hinzugefügt oder entfernt.
Der DFS Share, wo die Profile gespeichert werden, ist laut Group Policy in den Computereinstellungen in der Liste der Site zu Zonenzuweisungen zugewiesen und mit der OU der RDS Server verknüpft.
- Default Profile für die Benutzer ist laut diversen Best Practices erstellt und konfigiert worden und mit sysprep zurückgesetzt worden.
- Loopback Modus ersetzen in der RDS OU (Benutzerrichtlinien ziehen die Benutzer dann von dieser OU explizit)
- Internet Explorer 11 ist auf den RD Servern installiert
- Intranetseiten wurden in der entsprechenden Computer-GPO als solche ausgewiesen
- Einige Anwendungen werden von einem DFS Share gespeichert und benutzern so zu Verfügung gestellt (DFS Share ist wie gesagt in der Site zu Zonenzuweisungen zugewiesen)

Funktioniert alles, soweit so gut.


Ich komme allerdings bei folgendem Problem nicht weiter:

- Beim ersten Anmelden eines neuen Benutzers, d.h. wenn das Profil noch nicht vorhanden ist/war, wird das Profil angelegt. ok passt.
- Richtlinien werden angewendet, dh Folder Redirection, user Skripts, etc. werden angewendet.
- sobald das Profil geladen ist, erscheint beim "neuen" Benutzer allerdings diverse Sicherheitswarnungen:
Intranetseite liegt nicht im Intranetbereich - Sicherheitsmeldung
- Beim Zugriff auf eine Software, welche im besagten DFS Share liegt erscheinet die Sicherheitswarnung "Datei öffnen - Sicheitswarnung"

Meldet sich dieser Benutzer nun ab (Profil wird lokal auf dem RDS Server gelöscht) und erneut an (Profil wird vom DFS Share auf den zugewiesenen RDS Server geladen), erscheinen diese Meldungen nicht mehr und alles funktioniert einwandfrei...

Es sieht so aus, als ob ein gerade erstelltes Profil die Site zu Zonenzuweisungen und die Intraneteinstellungen der betreffenden GPO's nicht "sieht", obwohl dies Computer- und keine Benutzer GPO's sind...

gpresult und rsop alles schun durchforstet... kein Ergebnis

Ist das jemandem von Euch schon passiert bzw. hat jemand von Euch vielleicht eine Idee?

BTW: ist auch schon mit dem IE9 und dem IE10 passiert, also daran kanns glaube ich nicht liegen


Danke im Voraus und sorry für den ewig langen Text...

Content-Key: 260067

Url: https://administrator.de/contentid/260067

Ausgedruckt am: 28.03.2024 um 10:03 Uhr

Mitglied: Dani
Dani 16.01.2015 um 17:44:40 Uhr
Goto Top
Moin,
sobald das Profil geladen ist, erscheint beim "neuen" Benutzer allerdings diverse Sicherheitswarnungen: Intranetseite liegt nicht im Intranetbereich - Sicherheitsmeldung
Hast du gleich im Anschluss bei dem Benutzer kontrolliert, ob die Site im Internet Explorer unter Intranet aufgelistet wird?
Wird die gewünschte Internetseite manuell aufgerufen oder wird diese durch den Autostart geöffnet?


Gruß,
Dani
Mitglied: Butsch
Butsch 19.01.2015 aktualisiert um 08:34:34 Uhr
Goto Top
Guten Morgen Dani,

Konnte aufgrund deiner Frage und anschliessenden Tests mit Intranetseiten im Autostart nachvollziehen, dass der Internet Explorer bei servergespeicherten Profilen eine gewisse Zeit braucht, biss er die als Computerrichtlinien eingetragenen Zonenzuweisungen sieht. Gleich nach Anlegen/Laden des Profils erscheint die Sicherheitsmeldungen. Nach ca. 1 Minute (vielleicht auch vorher) erscheinen die Sicherheitsmeldungen des IE beim Aufruf einer Intranetseite nicht mehr.

Was die DFS Share Sicherheit (also das Öffnen von Dateien / Anwendungen, etc.) betrifft, dort erscheint die Sicherheitsmeldung trotzdem, auch nach längerer Wartezeit

Zur Info hier mein Eintrag der Sites zu Zonenzuweisungen: (Computerrichtlinien):
(domänennamen geändert)

domain.local - Wert 1
*.domain.local - Wert 1
file://domain.local - Wert 1

Zusätzlich noch folgende Einstellung (Computerrichtlinien):

Administrative Vorlagen - Windows-Komponenten - Internet Explorer - Internetsystemsteuerung - Sicherheitsseite - Intranetzone
Sicherheitswarnung bei potenziell unsicheren Dateien anzeigen -> aktiviert, Programme und unsichere Dateien starten auf Aktivieren gesetzt

Danke,
Butsch