Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Eigene GPO am Terminalserver für bestimmte User (Loopback)

Frage Microsoft Windows Server

Mitglied: Semasoft

Semasoft (Level 1) - Jetzt verbinden

18.03.2011 um 09:09 Uhr, 11318 Aufrufe, 10 Kommentare

Hallo zusammen,

ich habe endlos viele Threads zu diesem Thema in den unterschiedlichsten Foren gelesen aber ich bekomme es nicht hin.

Szenario:
Windows 2008 Domäne mit 2 DCs (2008 R2). Ein Mitgliedsserver mit Terminalserveraufsatz (Windows 2008).
Auf diesen Terminalserver sollen jetzt hin und wieder "Fremde" via VPN zugreifen. Die sollen natürlich extrem eingeschränkt werden.
Ich habe in der Domäne im Container "Users" eine neue Benutzergruppe "RDP-extern" angelegt und diese externen User dort hinein gepackt.
Diese Gruppe ist Mitglied der lokalen Gruppe "Remotedesktopbenutzer" am Terminalserver.
Die technischen Voraussetzungen (VPN, Anmeldung via RDP am Terminalserver) funktionieren.

Ich habe daher eine neue GPO auf einem der DCs erstellt (Loopback aktiviert).
Ich habe den Terminalserver in eine eigene OU verschoben und mit der neuen GPO verknüpft.

Ich schaffe es jetzt aber nicht, dass diese GPO auf die User angewendet wird.

Wenn ich die GPO am Server simuliere zeigt sich, dass sie auf den Terminalserver angewendet wird.
Die Benutzer der Gruppe "RDP-extern" nutzen jedoch nach wie vor die allgemeine GPO.

Wo habe ich etwas vergessen?
Ich steh auf dem Schlauch ...


Besten Dank für jeden Hinweis

Joachim
Mitglied: Kubelkubel
18.03.2011 um 09:31 Uhr
Hi,

RDP-extern ist Mitglied er Gruppe Domain-User und Domain-user ist Mitglied der lokalen User-Gruppe auf dem Terminal?

Gruß
Bitte warten ..
Mitglied: Semasoft
18.03.2011 um 09:54 Uhr
"RDP-extern" befindet sich im Container "Users" in der Domäne.
Unter den Eigenschaften dieser Gruppe => "Mitglied von" steht dann nichts drin.

"RDP-extern" ist Mitglied der lokalen User-Gruppe auf dem TS.

Habe ich hier irgendwas übersehen?
Bitte warten ..
Mitglied: Kubelkubel
19.03.2011 um 12:57 Uhr
Was loopback ist weißt du aber?
Hast du merge oder replace eingestellt?

Gruß

Rolf
Bitte warten ..
Mitglied: Semasoft
21.03.2011 um 11:59 Uhr
Hallo Rolf,

"loopback" ist so weit ich das jetzt glaube verstanden zu haben dazu da, um eben genau solche Computer wie einen Terminalserver abzusperren.
Ich habe "replace" eingestellt.

Viele Grüße
Joachim
Bitte warten ..
Mitglied: Kubelkubel
23.03.2011 um 15:47 Uhr
Ja,

Du hast also nur loopback eingestellt - sonst nichts oder wie?
Bitte warten ..
Mitglied: Semasoft
23.03.2011 um 16:06 Uhr
Hallo Rolf,

ich habe in der neuen GPO neben "loopback" so ziemlich alles was die Benutzer- und Computereinstellungen angeht restriktiv eingestellt.
Im Prinzp darf der angemeldete Benutzer nichts mehr ausser sich anmelden, die Verknüpfungen auf dem Desktop nutzen und sich wieder abmelden.

Ohne eine weitere Einstellung neben "loopback" würde die GPO ja gar nicht angewendet werden.
Die Simulation zeigt ja auch, dass die GPO eigentlich funktionieren würde.
Nur angewendet wird sie nicht.


Viele Grüße
Joachim
Bitte warten ..
Mitglied: Kubelkubel
28.03.2011 um 13:26 Uhr
..kann eigentlich nur ein Berechtigungsproblem sein.....

mach mal ein test:

Deaktiviere die GPO.
Aktiviere LOKAL am TS die Loopback unter Computereinstellungen der LocalPolicy.
Blende z.b. die Desktopicons aus.
Login mit irgend einem User.

Funktioniert das?


schau mal hier:
http://www.virtualizationadmin.com/articles-tutorials/terminal-services ...
Bitte warten ..
Mitglied: Semasoft
15.04.2011 um 08:06 Uhr
Hallo und sorry dass ich so lange nicht geantwortet habe.
Ich kam erst jetzt dazu das zu testen.

Wenn ich in der lokalen GPO des Terminalservers den Loopback aktiviere und etwas umstelle funktioniert es.
Über die Domänen GPO funktioniert es nach wie vor nicht.

Ich habe keine Ahnung mehr was ich noch alles versuchen könnte.


Besten Dank

Joachim
Bitte warten ..
Mitglied: Kubelkubel
12.05.2011 um 08:24 Uhr
Hi,

das ganze kann durch verschiedenste Dinge verursachen werden.

Versuch mal Folgendes:

Erstelle ein OU!! Terminalserver und verschiebe den TS in diese OU.
Erstelle eine GPO: Loopback, aktiviere Loopback und ein zwei weitere offensichtliche Einstellungen in der Richtlinie und verknüpfe diese GPO mit der OU Terminalserver.


Erstelle eine OU!! EXTERNE.
Mache deine RDP-extern Gruppe zu Domain-Usern (Mitglied)
Verschiebe deine RDP-extern-gruppe in die OU EXTERNE

Sollte eigentlich gehen.
Bitte warten ..
Mitglied: Semasoft
01.06.2011 um 11:29 Uhr
Hallo Rolf,

ich habe das (meiner Meinung nach) bereits vorher schon so gemacht und da hat es nicht funktioniert.
Ich habe jetzt alles nochmals von vorn Schritt für Schritt eingerichtet und jetzt funktioniert es.


Besten Dank und viele Grüße

Joachim
Bitte warten ..
Neuester Wissensbeitrag
Festplatten, SSD, Raid

12TB written pro SSD in 2 Jahren mit RAID5 auf Hyper-VServer

Erfahrungsbericht von Lochkartenstanzer zum Thema Festplatten, SSD, Raid ...

Ähnliche Inhalte
Windows Netzwerk
Einzelne Drucker per GPO an bestimmte User freigeben? (8)

Frage von Stefan007 zum Thema Windows Netzwerk ...

Microsoft
Domain-Client: lokaler User soll ebenfalls domain gpo nutzen (1)

Frage von thomasreischer zum Thema Microsoft ...

Windows Server
GPO fuer domainjoin in bestimmte OU (17)

Frage von winlin zum Thema Windows Server ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (34)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...