Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

2003 DC, Terminalserver, GPO

Frage Microsoft Windows Server

Mitglied: easydonald

easydonald (Level 1) - Jetzt verbinden

21.11.2006, aktualisiert 05.12.2006, 5746 Aufrufe, 8 Kommentare

Hallo,

ich hoffe jemand kann mir bei einem Problem helfen:

ich habe einen windows 2003 dc und auf diesem auch die terminaldienste installiert (ich weiss das sollte man nicht, aber es geht um lediglich 5 workstations)

für die verwaltbarkeit arbeite ich mit gruppenrichtlinien, habe also diverse container innerhalb der ads und diese an gruppenrichtlinien festgemacht. innerhalb dieser container sind die benutzer verteilt. einige benutzer arbeiten lokal an der workstation und von zuhause per terminalzugriff auf dem server. das arbeiten von der lokalen ws soll mit allen berechtigungen und einstellungen weiterhin so funktionieren.
wenn sich die benutzer (mit ihrem auch lokalem anmeldenamen) per terminal auf dem server anmelden soll fast alles gesperrt werden. lediglich der zugriff auf 2 programme (welche auch den usernamen auslesen) soll möglich sein.

folgendermaßen bin ich bisher vorgegangen:

ein benutzer TerminalTemplate angelegt, dieser hat als terminaldiensteprofil das verzeichnis: \\server\terminalprofile$\template

diesen benutzer habe ich per gruppenrichtlinie alles verweigert was gewünscht war. wenn ich mich mit dem namen TerminalTemplate angemeldet habe, hat das auch wunderbar funktioniert.

nun habe ich bei benutzer1 den terminaldiensteprofilpfad angegeben:
\\server\terminalprofile$\TerminalUser

und auf dem Server per benutzerprofile das templateprofil in das TerminalUserprofil kopiert. Die Sicherheitseinstellungen des ordners habe ich auf alle Ternialbenutzer ollzugriff gesetzt.

wenn ich mich jetzt mit benutzer1 anmelde wird das voreingestellte profil auch genommen (also desktop, verknüpfungen etc..) allerdings die einschränkungen die vorher per gruppenrichtlineie auf das Template gegeben wurden ziehen nicht.

Nun eine Verständnisfrage. Wenn ich per Gruppenrichtline Benutzereinstellungen einschränke werden diese doch bei aktualisierung in dem Registryprofil des Benutzers eingestellt. Diese einstellungen liegen doch in der NTUser.dat, oder?

warum ziehen die nicht, wenn ich das profil also auch die ntuser dat kopiere ??

die umbennenung von ntuser.dat in ntuser.man habe ich auch vorgenommen, allerdings ohne erfolg, lediglich vorgenommene einstellungen des user werden nicht behalten.

hoffe jemand weiss rat, danke im voraus

erweitert:
jatzt habe ich das mit dem loopbackmodus gelesen und getestet aber die benutzereinstellungen werden nicht genommen. liegts an dem dc ?

Jetzt hab ichs doch noch hinbekommen......

Ersteinmal Danke an alle die meinen Beitrag beantwortet haben.
Ich habe das Problem nun doch mittels Loopbackverarbeitungsmodus realisiert.
Dann einzige was dabei zu beachten ist:
der Domänencontroller muss auf die Richtlinie leserechte besitzen (es gibt in der Gruppenrichtlinienverwaltung das Sicherheitsobjekt Domänencontroller)
anschliessend funktionierte es einwandfrei.
Mitglied: alpha-centauri
21.11.2006 um 14:50 Uhr
überprüfe die rechte auf deinen profiles-ordner. da mal nur mit lese/ausführen experimentieren.

ich denk mal, du hast auch nen konflikt, da du auf nem DC keine "lokalen" user hast.
Bitte warten ..
Mitglied: 33425
21.11.2006 um 22:33 Uhr
Hi,

hast du deinen TemplateUser und den Benutzer in der gleichen OU?

TIP: Du kannst sonst auch über die GPMC eine Verknüpfung bei Domänen-Controller auf das GPO machen und in den Sicherheitseinstellungen für Administratoren die Gruppenrichtlinie auf Verweigern stellen. So kannst du verhindern, das auch die Admin Accounts das GPO übernehmen. Und stellst sicher, das die Einschränkungen nur für User auf dem TS gelten. Der "Loopback Verarbeitungsmodus" sollte imho ebenfalls aktiviert werden..

Mit freundlichen Grüßen
Schnitzelchen
Bitte warten ..
Mitglied: easydonald
22.11.2006 um 12:44 Uhr
danke für die antwort,

gruppenrichtlinien verknüpfe ich immer an der obersten ou und arbeite dann mit sicherheitsgruppen mit denen ich die abarbeitung bzw. zugriff regel.

diese gruppenrichtlinie für terminal gilt nur für den template user. wenn ich sie für alle terminalbenutzer festlege könnte keiner mehr an den normalen workstation vernünftig arbeiten.

wie gesagt ich habe das jetzt mit dem loopbackverarbeitungsmodus eingestellt. und gem. beschreibung gilt doch dann für jeden benutzer der sich an dem DC/Terminalserver anmeldet die Benutzereinstellung in der Richtlinie in der auch der loopbak... modus geschaltet wurde, oder ?

auf diese richtlinie habe ich nur der gruppe GL_Terminaluser zugriff gegeben.

aber eider ziehen die einstellungen nicht.
Bitte warten ..
Mitglied: 33425
23.11.2006 um 22:33 Uhr
Du solltest die Richtlinie auf die OU anwenden, in der der TS liegt
Bitte warten ..
Mitglied: easydonald
01.12.2006 um 08:20 Uhr
das habe ich getan, aber ich denke es kommt in konflikt mit der domain gpo, da der ts auch dc ist
Bitte warten ..
Mitglied: 33425
03.12.2006 um 13:11 Uhr
diese gruppenrichtlinie für terminal
gilt nur für den template user. wenn ich
sie für alle terminalbenutzer festlege
könnte keiner mehr an den normalen
workstation vernünftig arbeiten.

Das stimmt so nicht, da die Gruppenrichtlinie nur für die gilt, die sich in der OU befinden (der DC/WTS) und auf alle anderen nicht! Die Ausnahme ist die Definition des Loopbackmodus, der sich dann auf alle Benutzer bezieht, die sich an auf PC/WTS in dieser OU anmelden.

Also: Gruppenrichtlinie mittels GPMC erstellen, mit der Ou Domänencontroller verknüpfen, am besten bei den Domänen-Admins die Gruppenrichtlinie auf verweigern stellen (damit du als Administrator den Einschränkungen nicht unterliegst) und nochmal kontrollieren ob der Loopback Verarbeitungmodus aktiviert ist.

Nicht vergessen ein gpupdate /force durchzuführen und ein klein bischen zu warten

Das hat auch nichts damit zu tun ob du mit oder ohne mandatory profiles arbeitest.

Mit freundlichen Grüßen
Schnitzelchen
Bitte warten ..
Mitglied: easydonald
05.12.2006 um 13:06 Uhr
Hallo Schnitzelchen,

ersteinmal herzlichen danf für deinen beitrag. ich habe die konfiguration genauso durchgeführt. also eine gpo erstellt unter system den loopbackverwaltungsmodus aktiviert und auf ersetzen gestellt. dann unter benutzereinstelllungen dementsprechende einstellungen vorgenommen. die gpo am domain-controller container verknüpft und nur einem einzigen benutzer rechte darauf gegeben.

aber leider tut sich nix wenn sich der benutzer am ts anmeldet, keine einschränkungen.
Bitte warten ..
Mitglied: easydonald
05.12.2006 um 13:06 Uhr
Hallo Schnitzelchen,

ersteinmal herzlichen danf für deinen beitrag. ich habe die konfiguration genauso durchgeführt. also eine gpo erstellt unter system den loopbackverwaltungsmodus aktiviert und auf ersetzen gestellt. dann unter benutzereinstelllungen dementsprechende einstellungen vorgenommen. die gpo am domain-controller container verknüpft und nur einem einzigen benutzer rechte darauf gegeben.

aber leider tut sich nix wenn sich der benutzer am ts anmeldet, keine einschränkungen.
Bitte warten ..
Neuester Wissensbeitrag
Microsoft

Lizenzwiederverkauf und seine Tücken

(5)

Erfahrungsbericht von DerWoWusste zum Thema Microsoft ...

Ähnliche Inhalte
Windows Server
gelöst Gruppenrichtlinien-Vorlage Office 2013 auf einem DC 2003 (5)

Frage von bluepython zum Thema Windows Server ...

Windows Server
Startmenü über GPO Windows 10 - DC 2008 R2 (1)

Frage von dekztar zum Thema Windows Server ...

Windows Server
Windows 2003 Terminalserver - ausführbare Dateien einschränken (6)

Frage von Excaliburx zum Thema Windows Server ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (18)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Windows Netzwerk
Windows 10 RDP geht nicht (16)

Frage von Fiasko zum Thema Windows Netzwerk ...

Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...