5
Rechte auf Terminalserver
Hallo zusammen,
ich will mit Hilfe des Admin-Kits (IEAK 8) einen vorkonfigurierten Internet Explorer auf den Terminalservern installieren.
Die Anwender haben auf ihren Clients jedoch schon Richtlinien für den IE. Was passiert, wenn sich ein Anwender auf den Terminalserver anmeldet? Überschreiben die Benutzerrichtlinien des IE's die Einstellungen des IEAK? Wenn ja wie kann ich das verhindern? Es geht im Speziellen um die Proxyeinstellungen.
Danke im Voraus!
Chris
ich will mit Hilfe des Admin-Kits (IEAK 8) einen vorkonfigurierten Internet Explorer auf den Terminalservern installieren.
Die Anwender haben auf ihren Clients jedoch schon Richtlinien für den IE. Was passiert, wenn sich ein Anwender auf den Terminalserver anmeldet? Überschreiben die Benutzerrichtlinien des IE's die Einstellungen des IEAK? Wenn ja wie kann ich das verhindern? Es geht im Speziellen um die Proxyeinstellungen.
Danke im Voraus!
Chris
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 181712
Url: https://administrator.de/contentid/181712
Printed on: April 20, 2024 at 01:04 o'clock
5 Comments
Latest comment
Laut diesem Beitrag hier nicht.
Internet Explorer 8 verteilen - IEAK fixiert Proxy Einstellungen
Internet Explorer 8 verteilen - IEAK fixiert Proxy Einstellungen
IEAK - Einstellungen werden meines Wissens nur einmal angewendet - bei erster Anmeldung, genauer gesagt, beit erster Profilerstellung. Wenn man also das Benutzerprofil löscht, dann wird das bei nächster Anmeldung wieder angewendet.
GPO's werden immer wieder angewendet, bei jedem Login und im Laufe der Sitzung immer wieder. (standard alle 60-90 min.)
Also Frage beantwortet: GPO gewinnt.
Allgemein:
Es ist generell anzuraten, GPO's für TS und PC zu trennen, weil man auf TS i.A. viel restriktivere Vorgaben macht als auf PC. Also extra GPO's für Anmeldung am TS. Das setzt natürlich voraus, dass dann auch extra Roamingprofilpfade für TS gelten.
GPO's werden immer wieder angewendet, bei jedem Login und im Laufe der Sitzung immer wieder. (standard alle 60-90 min.)
Also Frage beantwortet: GPO gewinnt.
Allgemein:
Es ist generell anzuraten, GPO's für TS und PC zu trennen, weil man auf TS i.A. viel restriktivere Vorgaben macht als auf PC. Also extra GPO's für Anmeldung am TS. Das setzt natürlich voraus, dass dann auch extra Roamingprofilpfade für TS gelten.
Danke für deine Antwort! Frage ist damit schon einmal beantwortet.
Wie verhält es sich denn in diesem Kontext mit der Lookback Einstellung? Also verstehe ich das richtig, dass dabei die Benutzerrichtlinien des Anwenders von den Richtlinien der Terminalserver ersetzt werden?
Wie verhält es sich denn in diesem Kontext mit der Lookback Einstellung? Also verstehe ich das richtig, dass dabei die Benutzerrichtlinien des Anwenders von den Richtlinien der Terminalserver ersetzt werden?
Wenn Du den TS per GPo anweist, den Loopback Mode "ersetzen" zu verwenden, ja. Diese Einstellung muss nicht in jede GPO sondern nur einmal in einer GPO für den TS.
Dazu wie foilgt:
Den/die TS in eine extra OU legen, parallel zur OU der Benutzer, nicht unterhalb davon. Dann auf diese OU die GPO für den Loopback Modus "ersetzen" legen. Weiterhin an diese OU (!) die GPO's hängen, welche dann für die Benutzer gelten sollen, wenn sie sich am TS anmelden, also Benutzereinstellungen verteilen. Wichtig: Die TS müssen die GPO lesen können. Wenn Du es aber so machst, wie ich hier skizziert habe, dann reichen die Standardberechtigungen. Nur falls Du mal einige GPO's auf einige Benutzer oder Gruppen beschränken willst, dann nicht vergessen, auch den Computerpbjekten der TS auf diese GPO Leserechte zu erteilen.
Bitte beachte auch folgendes:
Der User "erbt" in diesem Szenario die GPO's über den "Erbpfad" des TS. D.h., dass GPO's, welche sonst nur bei Anmeldung am PC gelten sollen, nicht oberhalb der OU mit den TS angehängt werden dürfen. Am besten solche GPO's direkt an die oberste OU mit den Benutzern anhängen. Du könntest zwar an der OU mit den TS auch die Vererbung deaktivieren, doch dann musst Du ggf. deachten, dass dann auch die Default Policy nicht angewendet wird, es sei denn, Du hängst sie explizit nochmal an die OU mit den TS.
Dazu wie foilgt:
Den/die TS in eine extra OU legen, parallel zur OU der Benutzer, nicht unterhalb davon. Dann auf diese OU die GPO für den Loopback Modus "ersetzen" legen. Weiterhin an diese OU (!) die GPO's hängen, welche dann für die Benutzer gelten sollen, wenn sie sich am TS anmelden, also Benutzereinstellungen verteilen. Wichtig: Die TS müssen die GPO lesen können. Wenn Du es aber so machst, wie ich hier skizziert habe, dann reichen die Standardberechtigungen. Nur falls Du mal einige GPO's auf einige Benutzer oder Gruppen beschränken willst, dann nicht vergessen, auch den Computerpbjekten der TS auf diese GPO Leserechte zu erteilen.
Bitte beachte auch folgendes:
Der User "erbt" in diesem Szenario die GPO's über den "Erbpfad" des TS. D.h., dass GPO's, welche sonst nur bei Anmeldung am PC gelten sollen, nicht oberhalb der OU mit den TS angehängt werden dürfen. Am besten solche GPO's direkt an die oberste OU mit den Benutzern anhängen. Du könntest zwar an der OU mit den TS auch die Vererbung deaktivieren, doch dann musst Du ggf. deachten, dass dann auch die Default Policy nicht angewendet wird, es sei denn, Du hängst sie explizit nochmal an die OU mit den TS.
Ich wollte nun die bestehenden Gruppenrichtlinien für den IE auflösen und den vom IEAK bereitstellten Internet Explorer nur auf den Terminalservern bereitsstellen. Wenn ein User in seiner Session den IE öffnet, bekommt er einen leeren bzw unkonfigurierten Internet Explorer und nicht den vom IEAK.
Wenn sich ein User einmal direkt am TS angemeldet hat, bekommt er auch die Einstellungen. Weiß jemand Rat?
Wenn sich ein User einmal direkt am TS angemeldet hat, bekommt er auch die Einstellungen. Weiß jemand Rat?
