chb1982
Goto Top

Loopback Verarbeitung - Unstimmigkeit

Hallo zusammen,

ich habe versucht mich intensiv einzulesen, allerdings verinnerliche ich den Loopback-Verarbeitungsmodus trotzdem nicht.
Ich erzähle einfach mal was mein Ziel ist, was ich gebaut habe und was nicht funktioniert face-smile

Aller Server sind 2012R2
Ich habe eine Domäne firma.local, direkt darunter eine OU firma, ebenfalls direkt unterhalb von firma.local eine OU Terminalserver.
Alle Clients und Benutzer sind in Unter-OU von firma.
In der OU Terminalserver ist nur der Terminalserver

Nun habe ich eine GPO, die unterhalb von firma hängt und benutzergesteuert beim Login ein script ausführt, das eine Datei auf den Desktop kopiert.
Außerdem eine GPO, die ein Hintergrundbild auf dem Desktop setzt.

Weder das Script noch das Hintergrundbild sollen auf dem TS ausgeführt werden.

Nun habe ich unterhalb von der OU Terminalserver eine GPO erstellt "TS Basis". In dieser ist nur die Loopback-Verarbeitung mit ersetzen gesetzt. Weiter nichts. Sicherheitsfilterung steht nur der Terminalserver.
Wenn ich die Loopbackverarbeitung richtig vertanden haben sollte das nun dazu führen, dass weder das Hintergrundbild gesetzt wird, noch das Script ausgeführt wird. Leider passiert noch beides.
Wo ist mein Denkfehler, bzw. der Fehler in der Konfigurtion.


Wenn ich eine weitere GPO unterhalb der OU Terminalserver erstelle und in der z.B. ein anderes Hintergrundbild einstelle wird auch das Hintergrundbild der GPO unterhalb der OU Terminalserver gezogen.

Was mache ich falsch??


Mir ist klar, dass es viel verlangt ist, aber ich habe wirklich alles gelesen was ich im Netz zu der Verarbeitung gefunden habe, aber offensichtlich verstehe ich es nicht face-smile

VG
Christoph

Content-Key: 262418

Url: https://administrator.de/contentid/262418

Ausgedruckt am: 28.03.2024 um 11:03 Uhr

Mitglied: emeriks
emeriks 05.02.2015 um 14:52:15 Uhr
Goto Top
Hi,
schau mal mein Kommentar hier

Entweder Du deaktivierst die GPO-Vererbung an OU "Terminalserver". Dann gelten bei Anmeldung an einem Computer unterhalb dieser OU nur jene Richtlinien, welche ab OU "Terminalserver" vergeben werden.

Oder Du verlinkst die genannten OU nicht mit der Domäne sondern mit der OU "Firma". Dann gelten diese nur bei Anmeldung eines Benuzers an einem Computer, für welchen nicht der Loopbackmodus "ersetzen" aktiviert ist. bei Anmeldung an einem Computer unterhalb von OU "Terminalserver" gelten dann alle GPO, welche an der Domäne und unterhalb der TS-OU.

Und natürlich noch die Standort-GPO's, sofern vorhanden.

E.
Mitglied: chb1982
chb1982 10.02.2015 aktualisiert um 16:08:59 Uhr
Goto Top
Hi emeriks,

erstmal vielen Dank für deine Antwort. Den Beitrag von dir im verlinkten Post habe ich gelesen.
Ich hoffe ich habe die grundsätzliche Funktion nun verstanden.
Mit meinen Worten würde ich sagen: Wenn die Loopbackverarveitung auf ersetzen gestellt ist werden alle Einstellungen, die auf Computerebene angewendet werden übertragen auf die Benutzerebene. Benutzereinstellungen werden ignoriert, es sei denn sie werden in einer GPO innerhalb der OU Terminalserver gesetzt. Ist das so richtig?

Da es bei mir nicht funktioniert habe ich ein paar Screenshots gemacht in der Hoffnung du, oder jemand anderes findet den Fehler face-smile

Auf den Bildern ist zu sehen, dass ich einen Terminalserver habe, der unter firma.local -> firma -> Terminalserver hängt.
Als Beispiel habe ich mal die GPO "Desktopverknüpfungen" gewählt, die für Benutzer ein paar Verknüpfungen setzt und einen bat ausführt.
Eine zweites Beispiel ist die GPO Netzlaufwerke, die.. naja das sagt der Name ja schon... Netzlaufwerke mappt.
Dann sieht man noch die GPO "TS Basis" die den Loopbackmodus als Ersetzen aktiviert.

Nach meinem Verständnis dürften doch weder die Verknüpfungen, noch die Netzlaufwerke bei Anmeldung auf dem TS ausgeführt werden, oder? Werden sie aber face-smile

Ich hoffe du kannst dafür sorgen, dass bei mir endlich mal der Groschen fällt was das angeht. Eigentlich ja keine große Nummer, aber ich erfasse es irgendwie nicht.

Beste Grüße
Christoph


58aecb0f2ee089e5f717c592f4049183

014bfa7d25936057cfc2e744c48251a9

8a8fe96c93773cdf1de16555b4d70823

db8e9123aec0ff2a2d5013e603f7171c
Mitglied: emeriks
emeriks 10.02.2015 aktualisiert um 16:54:21 Uhr
Goto Top
Mit meinen Worten würde ich sagen: Wenn die Loopbackverarveitung auf ersetzen gestellt ist werden alle Einstellungen, die auf
Computerebene angewendet werden übertragen auf die Benutzerebene. Benutzereinstellungen werden ignoriert, es sei denn sie
werden in einer GPO innerhalb der OU Terminalserver gesetzt. Ist das so richtig?
Ich nehme an, Du meinst das Richtige, aber ....
Computereinstellungen können nicht für Benutzer angewendet werden, sonst würden sie ja nicht Computereinstellungen heißen.
Es geht hier nur um die Bestimmung der anzuwendenden GPO's. Angewendet werden für Benutzer dann immer noch die Benutzereinstellungen der bestimmten GPO's.

Nach meinem Verständnis dürften doch weder die Verknüpfungen, noch die Netzlaufwerke bei Anmeldung auf dem TS ausgeführt werden, oder?
In Deinem Beispiel ist es korrekt, dass sie angewendet werden!
Warum?
Mit aktiviertem Loopback prüft der Computer die für den Benutzer geltenden GPO's aus seiner Sicht. Wenn er also den Baum nach oben wandert, dann kommt er auch an den GPO für die Netzlaufwerke und für die Desktopverknüpfungen vorbei. Stellt fest, dass sie für den Benutzer gelten und meldet sie zurück.
Wenn Du das nicht willst, dann musst Du verhindern, dass der Computer diese GPO "auf dem Weg nach oben" findet. Also entweder, indem Du an der OU "Terminalserver" die GPO-Vererbung deaktivierts, oder indem Du die OU-Struktur entsprechend änderst.

Beachte: Wenn Du die GPO-Vererbung deaktivierst dann musst Du alle GPO, welche für den TS und/oder für die Benutzer (bei Anmeldung an diesem TS) gelten sollen, noch einmal an die OU "Terminalserver" verlinken.

E.
Mitglied: chb1982
chb1982 10.02.2015 um 18:16:50 Uhr
Goto Top
So, ich glaube jetzt habe ich es.
Beim Loopbackmodus werden also Benutzereinstellungen wie gewohnt angewendet, quasi als sei nichts gewesen.
Lediglich die Computereinstellungen werden durch durch Einstellungen ersetzt welche in der gleichen OU gesetzt werden.
Korrekt?

Dann ist das doch eigentlich total einfach face-smile

Ich bin immer davon ausgegangen, dass die Verarbeitung auch Einfluss auf Benutzereinstellungen hätte.
Mitglied: emeriks
Lösung emeriks 10.02.2015, aktualisiert am 11.02.2015 um 12:56:21 Uhr
Goto Top
Beim Loopbackmodus werden also Benutzereinstellungen wie gewohnt angewendet, quasi als sei nichts gewesen.
"wie gewohnt angewendet"? Wessen Gewöhnung? Woran?
In Deiner konkreten Umgebung trifft es zu, dass die GPO's für die Benutzer bei Anmeldung am TS genauso angewendet werden, wie bei Anmeldung an einem anderen Computer, weil der TS im Loopback dieselben GPO für den Benutzer findet, wie andere Computer ohne Loopback.

Lediglich die Computereinstellungen werden durch durch Einstellungen ersetzt welche in der gleichen OU gesetzt werden.
Nee. Die Loopback-Verarbeitung hat Null Auswirkungen auf GPO's, welche für einen Computer gelten. Das trifft - bezogen auf meine Erläuterung - in Deiner konkreten Umgebung nur zu, wenn Du an der OU "Termninalserver" die Vererbung blockierst.

Dann ist das doch eigentlich total einfach
Ja, das ist es!

Ich bin immer davon ausgegangen, dass die Verarbeitung auch Einfluss auf Benutzereinstellungen hätte.
Hat sie! Weil die Loopbackverarbeitung das Verfahren zur Bestimmung der bei Anmeldung am betroffenen Computer geltenden GPO's ändert.

E.
Mitglied: chb1982
chb1982 11.02.2015 um 12:56:17 Uhr
Goto Top
Sooo. Jetzt habe ich es endgültig verstanden. Im "Labor" nochmal eine anderes Setup zusammengebaut, ausprobiert, aufgemalt... Es ist ja soooo einfach.

Vielen vielen Dank für deine geduldige mehrfache Erklärung! Du hast mir wirklich sehr geholfen grundsätzlich etwas zu verstehen. 1000 Dank!!!