Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Eigene GPO am Terminalserver für bestimmte User (Loopback)

Frage Microsoft Windows Server

Mitglied: Semasoft

Semasoft (Level 1) - Jetzt verbinden

18.03.2011 um 09:09 Uhr, 11964 Aufrufe, 10 Kommentare

Hallo zusammen,

ich habe endlos viele Threads zu diesem Thema in den unterschiedlichsten Foren gelesen aber ich bekomme es nicht hin.

Szenario:
Windows 2008 Domäne mit 2 DCs (2008 R2). Ein Mitgliedsserver mit Terminalserveraufsatz (Windows 2008).
Auf diesen Terminalserver sollen jetzt hin und wieder "Fremde" via VPN zugreifen. Die sollen natürlich extrem eingeschränkt werden.
Ich habe in der Domäne im Container "Users" eine neue Benutzergruppe "RDP-extern" angelegt und diese externen User dort hinein gepackt.
Diese Gruppe ist Mitglied der lokalen Gruppe "Remotedesktopbenutzer" am Terminalserver.
Die technischen Voraussetzungen (VPN, Anmeldung via RDP am Terminalserver) funktionieren.

Ich habe daher eine neue GPO auf einem der DCs erstellt (Loopback aktiviert).
Ich habe den Terminalserver in eine eigene OU verschoben und mit der neuen GPO verknüpft.

Ich schaffe es jetzt aber nicht, dass diese GPO auf die User angewendet wird.

Wenn ich die GPO am Server simuliere zeigt sich, dass sie auf den Terminalserver angewendet wird.
Die Benutzer der Gruppe "RDP-extern" nutzen jedoch nach wie vor die allgemeine GPO.

Wo habe ich etwas vergessen?
Ich steh auf dem Schlauch ...


Besten Dank für jeden Hinweis

Joachim
Mitglied: Kubelkubel
18.03.2011 um 09:31 Uhr
Hi,

RDP-extern ist Mitglied er Gruppe Domain-User und Domain-user ist Mitglied der lokalen User-Gruppe auf dem Terminal?

Gruß
Bitte warten ..
Mitglied: Semasoft
18.03.2011 um 09:54 Uhr
"RDP-extern" befindet sich im Container "Users" in der Domäne.
Unter den Eigenschaften dieser Gruppe => "Mitglied von" steht dann nichts drin.

"RDP-extern" ist Mitglied der lokalen User-Gruppe auf dem TS.

Habe ich hier irgendwas übersehen?
Bitte warten ..
Mitglied: Kubelkubel
19.03.2011 um 12:57 Uhr
Was loopback ist weißt du aber?
Hast du merge oder replace eingestellt?

Gruß

Rolf
Bitte warten ..
Mitglied: Semasoft
21.03.2011 um 11:59 Uhr
Hallo Rolf,

"loopback" ist so weit ich das jetzt glaube verstanden zu haben dazu da, um eben genau solche Computer wie einen Terminalserver abzusperren.
Ich habe "replace" eingestellt.

Viele Grüße
Joachim
Bitte warten ..
Mitglied: Kubelkubel
23.03.2011 um 15:47 Uhr
Ja,

Du hast also nur loopback eingestellt - sonst nichts oder wie?
Bitte warten ..
Mitglied: Semasoft
23.03.2011 um 16:06 Uhr
Hallo Rolf,

ich habe in der neuen GPO neben "loopback" so ziemlich alles was die Benutzer- und Computereinstellungen angeht restriktiv eingestellt.
Im Prinzp darf der angemeldete Benutzer nichts mehr ausser sich anmelden, die Verknüpfungen auf dem Desktop nutzen und sich wieder abmelden.

Ohne eine weitere Einstellung neben "loopback" würde die GPO ja gar nicht angewendet werden.
Die Simulation zeigt ja auch, dass die GPO eigentlich funktionieren würde.
Nur angewendet wird sie nicht.


Viele Grüße
Joachim
Bitte warten ..
Mitglied: Kubelkubel
28.03.2011 um 13:26 Uhr
..kann eigentlich nur ein Berechtigungsproblem sein.....

mach mal ein test:

Deaktiviere die GPO.
Aktiviere LOKAL am TS die Loopback unter Computereinstellungen der LocalPolicy.
Blende z.b. die Desktopicons aus.
Login mit irgend einem User.

Funktioniert das?


schau mal hier:
http://www.virtualizationadmin.com/articles-tutorials/terminal-services ...
Bitte warten ..
Mitglied: Semasoft
15.04.2011 um 08:06 Uhr
Hallo und sorry dass ich so lange nicht geantwortet habe.
Ich kam erst jetzt dazu das zu testen.

Wenn ich in der lokalen GPO des Terminalservers den Loopback aktiviere und etwas umstelle funktioniert es.
Über die Domänen GPO funktioniert es nach wie vor nicht.

Ich habe keine Ahnung mehr was ich noch alles versuchen könnte.


Besten Dank

Joachim
Bitte warten ..
Mitglied: Kubelkubel
12.05.2011 um 08:24 Uhr
Hi,

das ganze kann durch verschiedenste Dinge verursachen werden.

Versuch mal Folgendes:

Erstelle ein OU!! Terminalserver und verschiebe den TS in diese OU.
Erstelle eine GPO: Loopback, aktiviere Loopback und ein zwei weitere offensichtliche Einstellungen in der Richtlinie und verknüpfe diese GPO mit der OU Terminalserver.


Erstelle eine OU!! EXTERNE.
Mache deine RDP-extern Gruppe zu Domain-Usern (Mitglied)
Verschiebe deine RDP-extern-gruppe in die OU EXTERNE

Sollte eigentlich gehen.
Bitte warten ..
Mitglied: Semasoft
01.06.2011 um 11:29 Uhr
Hallo Rolf,

ich habe das (meiner Meinung nach) bereits vorher schon so gemacht und da hat es nicht funktioniert.
Ich habe jetzt alles nochmals von vorn Schritt für Schritt eingerichtet und jetzt funktioniert es.


Besten Dank und viele Grüße

Joachim
Bitte warten ..
Ähnliche Inhalte
Windows Server
Terminalserver 2012 und Loopback
gelöst Frage von SylviaWindows Server3 Kommentare

Hallo zusammen, wir haben bei uns servergespeicherte Profile mit Ordnerumleitung. Das funktioniert an den Arbeitsplätzen auch soweit. Nun müssen ...

Windows Server
User GPO soll auf bestimmten Rechner nicht ziehen
Frage von teardropWindows Server2 Kommentare

Hallo Liebe Mitglieder, ich brauche mal wieder euren Denkanstoß. Wir haben alle User in einer OU, diese ist mit ...

Windows Server
User bestimmte Uhrzeit abmelden Terminalserver
Frage von konstantin90Windows Server3 Kommentare

Moin zusammen, ich habe mir verschiedene Beiträge hier angesehen doch nicht den passenden zu mir gefunden, falls doch entschuldige ...

Windows Server
Terminalserver Sitzungs-Zeitlimit nur für bestimmte User festlegen?
Frage von sven784230Windows Server1 Kommentar

Hallo zusammen, wir haben bei uns einen Windows Server 2012 stehen, dieser fungiert als Terminalserver. Er ist so eingerichtet, ...

Neue Wissensbeiträge
Windows 10

Windows 10 Fall Creators Update - Neue Funktion Hyper-V Standardswitch kann ggf. Fehler bei Proxy Configs verursachen

Erfahrungsbericht von rzlbrnft vor 10 StundenWindows 102 Kommentare

Hallo Kollegen, Da wir die Gefahr lieben, haben wir bei einigen Usern nun mittlerweile das Creators Update drauf. Einige ...

Sicherheit

TLS-Zertifikat und privater Schlüssel von Microsofts Dynamics 365 geleakt

Information von Penny.Cilin vor 12 StundenSicherheit

Microsoft hat versehentlich das TLS-Zertifikat inklusive dem privaten Schlüssel seiner Business-Anwendung Dynamics 365 geleakt. TLS-Zertifikat und privater Schlüssel von ...

Viren und Trojaner

Deaktivierter Keylogger in HP Notebooks entdeckt

Information von bitcoin vor 1 TagViren und Trojaner3 Kommentare

Ein Grund mehr warum man Vorinstallationen der Hersteller immer blank bügeln sollte Der deaktivierte Keylogger findet sich im vorinstallierten ...

Router & Routing

Lets Encrypt kommt auf die FritzBox

Information von bitcoin vor 1 TagRouter & Routing

In der neuesten Labor-Version der FB7490 integriert AVM unter anderem einen Let's Encrypt Client für Zugriffe auf das Webinterface ...

Heiß diskutierte Inhalte
Netzwerkmanagement
Firefox Profieles im Roaming
gelöst Frage von Hendrik2586Netzwerkmanagement17 Kommentare

Hallo liebe Leute. :) Ich hab da ein kleines Problem, welches anscheinend nicht unbekannt ist. Wir nutzen hier in ...

Netzwerkmanagement
NAS über zwei weitere Ethernet Anschlüsse verbinden
gelöst Frage von Sibelius001Netzwerkmanagement16 Kommentare

Sorry - ich bin hier wahrscheinlich als kompetter IT Trottel unterwegs. Aber eventuell kann mir jemand ganz einfach helfen: ...

LAN, WAN, Wireless
Häufig Probleme beim Anmelden in WLAN
Frage von mabue88LAN, WAN, Wireless15 Kommentare

Hallo zusammen, in einem Netzwerk gibt es relativ häufig (1-2 mal pro Woche) Probleme mit der WLAN-Verbindung. Zunächst mal ...

Netzwerkgrundlagen
Hi eine blöde frage. xD
Frage von 132954Netzwerkgrundlagen13 Kommentare

Also: Habe 2012 r2 essentials neuinstalliert, allerdings installiert diese version ja gleich diesen gangen AD kram mit, den hab ...