8
2003 DC, Terminalserver, GPO
Hallo,
ich hoffe jemand kann mir bei einem Problem helfen:
ich habe einen windows 2003 dc und auf diesem auch die terminaldienste installiert (ich weiss das sollte man nicht, aber es geht um lediglich 5 workstations)
für die verwaltbarkeit arbeite ich mit gruppenrichtlinien, habe also diverse container innerhalb der ads und diese an gruppenrichtlinien festgemacht. innerhalb dieser container sind die benutzer verteilt. einige benutzer arbeiten lokal an der workstation und von zuhause per terminalzugriff auf dem server. das arbeiten von der lokalen ws soll mit allen berechtigungen und einstellungen weiterhin so funktionieren.
wenn sich die benutzer (mit ihrem auch lokalem anmeldenamen) per terminal auf dem server anmelden soll fast alles gesperrt werden. lediglich der zugriff auf 2 programme (welche auch den usernamen auslesen) soll möglich sein.
folgendermaßen bin ich bisher vorgegangen:
ein benutzer TerminalTemplate angelegt, dieser hat als terminaldiensteprofil das verzeichnis: \\server\terminalprofile$\template
diesen benutzer habe ich per gruppenrichtlinie alles verweigert was gewünscht war. wenn ich mich mit dem namen TerminalTemplate angemeldet habe, hat das auch wunderbar funktioniert.
nun habe ich bei benutzer1 den terminaldiensteprofilpfad angegeben:
\\server\terminalprofile$\TerminalUser
und auf dem Server per benutzerprofile das templateprofil in das TerminalUserprofil kopiert. Die Sicherheitseinstellungen des ordners habe ich auf alle Ternialbenutzer ollzugriff gesetzt.
wenn ich mich jetzt mit benutzer1 anmelde wird das voreingestellte profil auch genommen (also desktop, verknüpfungen etc..) allerdings die einschränkungen die vorher per gruppenrichtlineie auf das Template gegeben wurden ziehen nicht.
Nun eine Verständnisfrage. Wenn ich per Gruppenrichtline Benutzereinstellungen einschränke werden diese doch bei aktualisierung in dem Registryprofil des Benutzers eingestellt. Diese einstellungen liegen doch in der NTUser.dat, oder?
warum ziehen die nicht, wenn ich das profil also auch die ntuser dat kopiere ??
die umbennenung von ntuser.dat in ntuser.man habe ich auch vorgenommen, allerdings ohne erfolg, lediglich vorgenommene einstellungen des user werden nicht behalten.
hoffe jemand weiss rat, danke im voraus
Jetzt hab ichs doch noch hinbekommen......
Ersteinmal Danke an alle die meinen Beitrag beantwortet haben.
Ich habe das Problem nun doch mittels Loopbackverarbeitungsmodus realisiert.
Dann einzige was dabei zu beachten ist:
der Domänencontroller muss auf die Richtlinie leserechte besitzen (es gibt in der Gruppenrichtlinienverwaltung das Sicherheitsobjekt Domänencontroller)
anschliessend funktionierte es einwandfrei.
ich hoffe jemand kann mir bei einem Problem helfen:
ich habe einen windows 2003 dc und auf diesem auch die terminaldienste installiert (ich weiss das sollte man nicht, aber es geht um lediglich 5 workstations)
für die verwaltbarkeit arbeite ich mit gruppenrichtlinien, habe also diverse container innerhalb der ads und diese an gruppenrichtlinien festgemacht. innerhalb dieser container sind die benutzer verteilt. einige benutzer arbeiten lokal an der workstation und von zuhause per terminalzugriff auf dem server. das arbeiten von der lokalen ws soll mit allen berechtigungen und einstellungen weiterhin so funktionieren.
wenn sich die benutzer (mit ihrem auch lokalem anmeldenamen) per terminal auf dem server anmelden soll fast alles gesperrt werden. lediglich der zugriff auf 2 programme (welche auch den usernamen auslesen) soll möglich sein.
folgendermaßen bin ich bisher vorgegangen:
ein benutzer TerminalTemplate angelegt, dieser hat als terminaldiensteprofil das verzeichnis: \\server\terminalprofile$\template
diesen benutzer habe ich per gruppenrichtlinie alles verweigert was gewünscht war. wenn ich mich mit dem namen TerminalTemplate angemeldet habe, hat das auch wunderbar funktioniert.
nun habe ich bei benutzer1 den terminaldiensteprofilpfad angegeben:
\\server\terminalprofile$\TerminalUser
und auf dem Server per benutzerprofile das templateprofil in das TerminalUserprofil kopiert. Die Sicherheitseinstellungen des ordners habe ich auf alle Ternialbenutzer ollzugriff gesetzt.
wenn ich mich jetzt mit benutzer1 anmelde wird das voreingestellte profil auch genommen (also desktop, verknüpfungen etc..) allerdings die einschränkungen die vorher per gruppenrichtlineie auf das Template gegeben wurden ziehen nicht.
Nun eine Verständnisfrage. Wenn ich per Gruppenrichtline Benutzereinstellungen einschränke werden diese doch bei aktualisierung in dem Registryprofil des Benutzers eingestellt. Diese einstellungen liegen doch in der NTUser.dat, oder?
warum ziehen die nicht, wenn ich das profil also auch die ntuser dat kopiere ??
die umbennenung von ntuser.dat in ntuser.man habe ich auch vorgenommen, allerdings ohne erfolg, lediglich vorgenommene einstellungen des user werden nicht behalten.
hoffe jemand weiss rat, danke im voraus
erweitert:
jatzt habe ich das mit dem loopbackmodus gelesen und getestet aber die benutzereinstellungen werden nicht genommen. liegts an dem dc ?Jetzt hab ichs doch noch hinbekommen......
Ersteinmal Danke an alle die meinen Beitrag beantwortet haben.
Ich habe das Problem nun doch mittels Loopbackverarbeitungsmodus realisiert.
Dann einzige was dabei zu beachten ist:
der Domänencontroller muss auf die Richtlinie leserechte besitzen (es gibt in der Gruppenrichtlinienverwaltung das Sicherheitsobjekt Domänencontroller)
anschliessend funktionierte es einwandfrei.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 44974
Url: https://administrator.de/contentid/44974
Printed on: April 26, 2024 at 08:04 o'clock
8 Comments
Latest comment
überprüfe die rechte auf deinen profiles-ordner. da mal nur mit lese/ausführen experimentieren.
ich denk mal, du hast auch nen konflikt, da du auf nem DC keine "lokalen" user hast.
ich denk mal, du hast auch nen konflikt, da du auf nem DC keine "lokalen" user hast.
Hi,
hast du deinen TemplateUser und den Benutzer in der gleichen OU?
TIP: Du kannst sonst auch über die GPMC eine Verknüpfung bei Domänen-Controller auf das GPO machen und in den Sicherheitseinstellungen für Administratoren die Gruppenrichtlinie auf Verweigern stellen. So kannst du verhindern, das auch die Admin Accounts das GPO übernehmen. Und stellst sicher, das die Einschränkungen nur für User auf dem TS gelten. Der "Loopback Verarbeitungsmodus" sollte imho ebenfalls aktiviert werden..
mfg
Schnitzelchen
hast du deinen TemplateUser und den Benutzer in der gleichen OU?
TIP: Du kannst sonst auch über die GPMC eine Verknüpfung bei Domänen-Controller auf das GPO machen und in den Sicherheitseinstellungen für Administratoren die Gruppenrichtlinie auf Verweigern stellen. So kannst du verhindern, das auch die Admin Accounts das GPO übernehmen. Und stellst sicher, das die Einschränkungen nur für User auf dem TS gelten. Der "Loopback Verarbeitungsmodus" sollte imho ebenfalls aktiviert werden..
mfg
Schnitzelchen
danke für die antwort,
gruppenrichtlinien verknüpfe ich immer an der obersten ou und arbeite dann mit sicherheitsgruppen mit denen ich die abarbeitung bzw. zugriff regel.
diese gruppenrichtlinie für terminal gilt nur für den template user. wenn ich sie für alle terminalbenutzer festlege könnte keiner mehr an den normalen workstation vernünftig arbeiten.
wie gesagt ich habe das jetzt mit dem loopbackverarbeitungsmodus eingestellt. und gem. beschreibung gilt doch dann für jeden benutzer der sich an dem DC/Terminalserver anmeldet die Benutzereinstellung in der Richtlinie in der auch der loopbak... modus geschaltet wurde, oder ?
auf diese richtlinie habe ich nur der gruppe GL_Terminaluser zugriff gegeben.
aber eider ziehen die einstellungen nicht.
gruppenrichtlinien verknüpfe ich immer an der obersten ou und arbeite dann mit sicherheitsgruppen mit denen ich die abarbeitung bzw. zugriff regel.
diese gruppenrichtlinie für terminal gilt nur für den template user. wenn ich sie für alle terminalbenutzer festlege könnte keiner mehr an den normalen workstation vernünftig arbeiten.
wie gesagt ich habe das jetzt mit dem loopbackverarbeitungsmodus eingestellt. und gem. beschreibung gilt doch dann für jeden benutzer der sich an dem DC/Terminalserver anmeldet die Benutzereinstellung in der Richtlinie in der auch der loopbak... modus geschaltet wurde, oder ?
auf diese richtlinie habe ich nur der gruppe GL_Terminaluser zugriff gegeben.
aber eider ziehen die einstellungen nicht.
Du solltest die Richtlinie auf die OU anwenden, in der der TS liegt
das habe ich getan, aber ich denke es kommt in konflikt mit der domain gpo, da der ts auch dc ist
diese gruppenrichtlinie für terminal
gilt nur für den template user. wenn ich
sie für alle terminalbenutzer festlege
könnte keiner mehr an den normalen
workstation vernünftig arbeiten.
gilt nur für den template user. wenn ich
sie für alle terminalbenutzer festlege
könnte keiner mehr an den normalen
workstation vernünftig arbeiten.
Das stimmt so nicht, da die Gruppenrichtlinie nur für die gilt, die sich in der OU befinden (der DC/WTS) und auf alle anderen nicht! Die Ausnahme ist die Definition des Loopbackmodus, der sich dann auf alle Benutzer bezieht, die sich an auf PC/WTS in dieser OU anmelden.
Also: Gruppenrichtlinie mittels GPMC erstellen, mit der Ou Domänencontroller verknüpfen, am besten bei den Domänen-Admins die Gruppenrichtlinie auf verweigern stellen (damit du als Administrator den Einschränkungen nicht unterliegst) und nochmal kontrollieren ob der Loopback Verarbeitungmodus aktiviert ist.
Nicht vergessen ein gpupdate /force durchzuführen und ein klein bischen zu warten
Das hat auch nichts damit zu tun ob du mit oder ohne mandatory profiles arbeitest.
mfg
Schnitzelchen
Hallo Schnitzelchen,
ersteinmal herzlichen danf für deinen beitrag. ich habe die konfiguration genauso durchgeführt. also eine gpo erstellt unter system den loopbackverwaltungsmodus aktiviert und auf ersetzen gestellt. dann unter benutzereinstelllungen dementsprechende einstellungen vorgenommen. die gpo am domain-controller container verknüpft und nur einem einzigen benutzer rechte darauf gegeben.
aber leider tut sich nix wenn sich der benutzer am ts anmeldet, keine einschränkungen.
ersteinmal herzlichen danf für deinen beitrag. ich habe die konfiguration genauso durchgeführt. also eine gpo erstellt unter system den loopbackverwaltungsmodus aktiviert und auf ersetzen gestellt. dann unter benutzereinstelllungen dementsprechende einstellungen vorgenommen. die gpo am domain-controller container verknüpft und nur einem einzigen benutzer rechte darauf gegeben.
aber leider tut sich nix wenn sich der benutzer am ts anmeldet, keine einschränkungen.
Hallo Schnitzelchen,
ersteinmal herzlichen danf für deinen beitrag. ich habe die konfiguration genauso durchgeführt. also eine gpo erstellt unter system den loopbackverwaltungsmodus aktiviert und auf ersetzen gestellt. dann unter benutzereinstelllungen dementsprechende einstellungen vorgenommen. die gpo am domain-controller container verknüpft und nur einem einzigen benutzer rechte darauf gegeben.
aber leider tut sich nix wenn sich der benutzer am ts anmeldet, keine einschränkungen.
ersteinmal herzlichen danf für deinen beitrag. ich habe die konfiguration genauso durchgeführt. also eine gpo erstellt unter system den loopbackverwaltungsmodus aktiviert und auf ersetzen gestellt. dann unter benutzereinstelllungen dementsprechende einstellungen vorgenommen. die gpo am domain-controller container verknüpft und nur einem einzigen benutzer rechte darauf gegeben.
aber leider tut sich nix wenn sich der benutzer am ts anmeldet, keine einschränkungen.