Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

2003 DC, Terminalserver, GPO

Frage Microsoft Windows Server

Mitglied: easydonald

easydonald (Level 1) - Jetzt verbinden

21.11.2006, aktualisiert 05.12.2006, 5781 Aufrufe, 8 Kommentare

Hallo,

ich hoffe jemand kann mir bei einem Problem helfen:

ich habe einen windows 2003 dc und auf diesem auch die terminaldienste installiert (ich weiss das sollte man nicht, aber es geht um lediglich 5 workstations)

für die verwaltbarkeit arbeite ich mit gruppenrichtlinien, habe also diverse container innerhalb der ads und diese an gruppenrichtlinien festgemacht. innerhalb dieser container sind die benutzer verteilt. einige benutzer arbeiten lokal an der workstation und von zuhause per terminalzugriff auf dem server. das arbeiten von der lokalen ws soll mit allen berechtigungen und einstellungen weiterhin so funktionieren.
wenn sich die benutzer (mit ihrem auch lokalem anmeldenamen) per terminal auf dem server anmelden soll fast alles gesperrt werden. lediglich der zugriff auf 2 programme (welche auch den usernamen auslesen) soll möglich sein.

folgendermaßen bin ich bisher vorgegangen:

ein benutzer TerminalTemplate angelegt, dieser hat als terminaldiensteprofil das verzeichnis: \\server\terminalprofile$\template

diesen benutzer habe ich per gruppenrichtlinie alles verweigert was gewünscht war. wenn ich mich mit dem namen TerminalTemplate angemeldet habe, hat das auch wunderbar funktioniert.

nun habe ich bei benutzer1 den terminaldiensteprofilpfad angegeben:
\\server\terminalprofile$\TerminalUser

und auf dem Server per benutzerprofile das templateprofil in das TerminalUserprofil kopiert. Die Sicherheitseinstellungen des ordners habe ich auf alle Ternialbenutzer ollzugriff gesetzt.

wenn ich mich jetzt mit benutzer1 anmelde wird das voreingestellte profil auch genommen (also desktop, verknüpfungen etc..) allerdings die einschränkungen die vorher per gruppenrichtlineie auf das Template gegeben wurden ziehen nicht.

Nun eine Verständnisfrage. Wenn ich per Gruppenrichtline Benutzereinstellungen einschränke werden diese doch bei aktualisierung in dem Registryprofil des Benutzers eingestellt. Diese einstellungen liegen doch in der NTUser.dat, oder?

warum ziehen die nicht, wenn ich das profil also auch die ntuser dat kopiere ??

die umbennenung von ntuser.dat in ntuser.man habe ich auch vorgenommen, allerdings ohne erfolg, lediglich vorgenommene einstellungen des user werden nicht behalten.

hoffe jemand weiss rat, danke im voraus

erweitert:
jatzt habe ich das mit dem loopbackmodus gelesen und getestet aber die benutzereinstellungen werden nicht genommen. liegts an dem dc ?

Jetzt hab ichs doch noch hinbekommen......

Ersteinmal Danke an alle die meinen Beitrag beantwortet haben.
Ich habe das Problem nun doch mittels Loopbackverarbeitungsmodus realisiert.
Dann einzige was dabei zu beachten ist:
der Domänencontroller muss auf die Richtlinie leserechte besitzen (es gibt in der Gruppenrichtlinienverwaltung das Sicherheitsobjekt Domänencontroller)
anschliessend funktionierte es einwandfrei.
Mitglied: alpha-centauri
21.11.2006 um 14:50 Uhr
überprüfe die rechte auf deinen profiles-ordner. da mal nur mit lese/ausführen experimentieren.

ich denk mal, du hast auch nen konflikt, da du auf nem DC keine "lokalen" user hast.
Bitte warten ..
Mitglied: 33425
21.11.2006 um 22:33 Uhr
Hi,

hast du deinen TemplateUser und den Benutzer in der gleichen OU?

TIP: Du kannst sonst auch über die GPMC eine Verknüpfung bei Domänen-Controller auf das GPO machen und in den Sicherheitseinstellungen für Administratoren die Gruppenrichtlinie auf Verweigern stellen. So kannst du verhindern, das auch die Admin Accounts das GPO übernehmen. Und stellst sicher, das die Einschränkungen nur für User auf dem TS gelten. Der "Loopback Verarbeitungsmodus" sollte imho ebenfalls aktiviert werden..

mfg
Schnitzelchen
Bitte warten ..
Mitglied: easydonald
22.11.2006 um 12:44 Uhr
danke für die antwort,

gruppenrichtlinien verknüpfe ich immer an der obersten ou und arbeite dann mit sicherheitsgruppen mit denen ich die abarbeitung bzw. zugriff regel.

diese gruppenrichtlinie für terminal gilt nur für den template user. wenn ich sie für alle terminalbenutzer festlege könnte keiner mehr an den normalen workstation vernünftig arbeiten.

wie gesagt ich habe das jetzt mit dem loopbackverarbeitungsmodus eingestellt. und gem. beschreibung gilt doch dann für jeden benutzer der sich an dem DC/Terminalserver anmeldet die Benutzereinstellung in der Richtlinie in der auch der loopbak... modus geschaltet wurde, oder ?

auf diese richtlinie habe ich nur der gruppe GL_Terminaluser zugriff gegeben.

aber eider ziehen die einstellungen nicht.
Bitte warten ..
Mitglied: 33425
23.11.2006 um 22:33 Uhr
Du solltest die Richtlinie auf die OU anwenden, in der der TS liegt
Bitte warten ..
Mitglied: easydonald
01.12.2006 um 08:20 Uhr
das habe ich getan, aber ich denke es kommt in konflikt mit der domain gpo, da der ts auch dc ist
Bitte warten ..
Mitglied: 33425
03.12.2006 um 13:11 Uhr
diese gruppenrichtlinie für terminal
gilt nur für den template user. wenn ich
sie für alle terminalbenutzer festlege
könnte keiner mehr an den normalen
workstation vernünftig arbeiten.

Das stimmt so nicht, da die Gruppenrichtlinie nur für die gilt, die sich in der OU befinden (der DC/WTS) und auf alle anderen nicht! Die Ausnahme ist die Definition des Loopbackmodus, der sich dann auf alle Benutzer bezieht, die sich an auf PC/WTS in dieser OU anmelden.

Also: Gruppenrichtlinie mittels GPMC erstellen, mit der Ou Domänencontroller verknüpfen, am besten bei den Domänen-Admins die Gruppenrichtlinie auf verweigern stellen (damit du als Administrator den Einschränkungen nicht unterliegst) und nochmal kontrollieren ob der Loopback Verarbeitungmodus aktiviert ist.

Nicht vergessen ein gpupdate /force durchzuführen und ein klein bischen zu warten

Das hat auch nichts damit zu tun ob du mit oder ohne mandatory profiles arbeitest.

mfg
Schnitzelchen
Bitte warten ..
Mitglied: easydonald
05.12.2006 um 13:06 Uhr
Hallo Schnitzelchen,

ersteinmal herzlichen danf für deinen beitrag. ich habe die konfiguration genauso durchgeführt. also eine gpo erstellt unter system den loopbackverwaltungsmodus aktiviert und auf ersetzen gestellt. dann unter benutzereinstelllungen dementsprechende einstellungen vorgenommen. die gpo am domain-controller container verknüpft und nur einem einzigen benutzer rechte darauf gegeben.

aber leider tut sich nix wenn sich der benutzer am ts anmeldet, keine einschränkungen.
Bitte warten ..
Mitglied: easydonald
05.12.2006 um 13:06 Uhr
Hallo Schnitzelchen,

ersteinmal herzlichen danf für deinen beitrag. ich habe die konfiguration genauso durchgeführt. also eine gpo erstellt unter system den loopbackverwaltungsmodus aktiviert und auf ersetzen gestellt. dann unter benutzereinstelllungen dementsprechende einstellungen vorgenommen. die gpo am domain-controller container verknüpft und nur einem einzigen benutzer rechte darauf gegeben.

aber leider tut sich nix wenn sich der benutzer am ts anmeldet, keine einschränkungen.
Bitte warten ..
Ähnliche Inhalte
Microsoft
Start Skript GPO - AD - DC
gelöst Frage von SyncedMicrosoft2 Kommentare

Hallo, ich hab ein Skript erstellt das sieht so aus : echo off ::Erstellt eine OfficeKey.txt wo der Befehlt ...

Windows Server
GPO - Erweiterte Überwachungskonfiguration auf DC wird nicht übernommen
gelöst Frage von scusimarcusWindows Server5 Kommentare

Hallo Leute, Folgender Sachverhalt (Server 2012 R2): OU Domain Controller enthält einmal die Default Domain Controller Policy sowie eine ...

Windows Server
Umstellung von SBS 2003 auf 2012 R2 - Fileserver, DC und Terminalserver auf einer Maschine?
gelöst Frage von Thrillhouse2300Windows Server5 Kommentare

Tach, wir wollen von SBS 2003 auf 2012 R2 umstellen. Kann ich eine Maschine als Fileserver, DC und Terminalserver ...

Windows Server
Drucker per GPO funktioniert auf dem Terminalserver nicht
Frage von KLeinstein.tmWindows Server4 Kommentare

Hallo alle zusammen. Ich habe hier ein Printserver 2012 R2 und ein Terminalserver 2012 R2. Folgendes Problem. Auf dem ...

Neue Wissensbeiträge
Microsoft Office

Deaktivieren von Startbildschirm und Backstage-Ansicht in Office 2016 per Batch-Datei

Anleitung von SarekHL vor 1 StundeMicrosoft Office2 Kommentare

Guten Morgen zusammen! Ich habe mir gestern (auch mit Hilfe dieses Boards) ein Script gebastelt, um in Office 2016 ...

Erkennung und -Abwehr

Sicherheitslücke Spectre und Meltdown: Status prüfen

Anleitung von Frank vor 7 StundenErkennung und -Abwehr2 Kommentare

Nach all den Updates der letzten Woche sollte man unbedingt auch den Status prüfen, ob die Sicherheitslücken Spectre, Meltdown ...

Microsoft Office

Office 2010 Starter erneut auf einer frischen Windows-Version installieren

Tipp von Lochkartenstanzer vor 1 TagMicrosoft Office9 Kommentare

Moin, vor ein paar Tagen schlug bei mir ein Kunde auf, der sein Widnows 7 geschrottet und es inklusive ...

Datenbanken

Upgrade MongoDB 3.4 auf 3.6

Erfahrungsbericht von Frank vor 1 TagDatenbanken

Seit kurzem gibt es das 3.6 Update für die MongoDB: Sicherheit, das Sortieren, Aggregation und auch die Performance wurde ...

Heiß diskutierte Inhalte
Netzwerke
NTFS-Berechtigung
Frage von Daoudi1973Netzwerke23 Kommentare

Hallo zusammen und frohes neues Jahr (Sorry, ich bin spät dran) Meine Frage: 1- Ich habe einen Ordner im ...

Drucker und Scanner
Gesucht DIN A3 Drucker
Frage von NebellichtDrucker und Scanner15 Kommentare

Hallo, ich möchte einen neuen DIN A3 Drucker kaufen. Um ab und zu, ca. 1 mal die Woche Farbausdrucke ...

iOS
Einladung vom iphone kalender
Frage von jensgebkeniOS15 Kommentare

Hallo Gemeinschaft, folgendes Problem - immer wenn ich von meinem Iphone einen Termin einztrage und diesem Termin Teilnehmer zuweise, ...

Batch & Shell
Dateien verschieben mit batch
gelöst Frage von michi-ffmBatch & Shell13 Kommentare

Hallo Zusammen hat jemand evtl eine Idee? Zunächst hier das Skript: Leider werden keine UNC-Pfade unterstüzt, kann mir jemand ...