Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

GPOs für Remote Desktop Service Windows Server 2012 R2

Frage Microsoft Windows Server

Mitglied: Tommy1983

Tommy1983 (Level 2) - Jetzt verbinden

18.11.2014, aktualisiert 10:15 Uhr, 9757 Aufrufe, 21 Kommentare, 1 Danke

Guten Morgen zusammen,
wir möchten in unserem Unternehmen von Windows Server 2008 R2 (Terminalserver) auf Windows Server 2012 R2 (Remote Desktop Services) umstellen.

Habe eine Startlayout.xml erstellt, damit jeder User die gleiche Kacheloberfläche erhält. Das Funktioniert auch soweit alles super.
Allerdings habe ich das Problem das solche Funktionen wie (Verwaltung,Eingabeaufforderung usw.) noch angezeigt und wenn man in der Kacheloberfläche auf den Pfeil drückt und sogar ausgeführt werden können. Irgendwie bekomme ich das nicht ausgeblendet.
I

Nun hatte ich gelesen das es Administrative Templates (.admx) for Windows 8.1 und Windows Server 2012 R2 - Deutsch von der Microsoft Seite zum Download bereitgestellt werden.
http://www.microsoft.com/de-de/download/details.aspx?id=41193

Meine Frage ist nun wie spiele ich die admx. Files richtig ein?

Wenn ich über den Domaincontroller den Remote Desktop Services Server über eine GPO Verwalten möchte muss ich doch den Explorer öffnen und aus %systemroot% (idR C:\Windows\) den kompletten Ordner PolicyDefinitions nach \\meine.dom\SYSVOL\meine.dom\policies kopieren oder?

Alternativ halt local auf dem Remote Desktop Services Server?


Gruß Thomas
Mitglied: Chibisuke
18.11.2014 um 10:31 Uhr
Moin Thomas,

die ADMX-Templates brauchst du nur auf dem Server mit dem du die GPOs anlegst/bearbeitest, nicht auf den Maschinen auf die sie wirken sollen.

Die .admx gehört nach C:\Windows\PolicyDefinitions, die zugehörige .adml in den jeweiligen Sprach-Unterordner. Das war's, GPMC neu öffnen und du solltest in deinen GPOs die neuen Vorlagen-Blöcke sehen.

~chibi
Bitte warten ..
Mitglied: Tommy1983
18.11.2014 um 10:40 Uhr
Moin Chibi,
danke für deine Hilfe.

Ich habe folgendes gemacht.

Schritt 1. Windows8.1-Server2012R2ADMX-RTM.msi installiert

Schritt 2. Auf dem Domaincontroller (Windows Server 2003) unter C:\WINDOWS\ den Ordner PolicyDefinitions angelegt und dann die Dateien die entpackt wurde hinein kopiert.
Also C:\WINDOWS\PolicyDefinitions\de-de

Schritt 3. Gruppenrichtlinen geöffnet leider nix zu sehen.

Schritt 4. Auf dem DC unter C:\WINDOWS\SYSVOL\sysvol\meine.domain\Policies den Ordner de-de kopiert. Ebenfalls kein erfolg.
Bitte warten ..
Mitglied: DerWoWusste
18.11.2014 um 10:41 Uhr
Hi.

Das Verhalten hat mit der Kacheloberfläche nichts zu tun. Da es keine Gefahr birgt, schaltet Microsoft es nicht ab. Willst Du den Zugang zur cmd verbieten, setze passende Rechte auf cmd.exe. Selbiges gilt für die administrativen Tools.
Bitte warten ..
Mitglied: Tommy1983
18.11.2014 um 10:45 Uhr
Hmm.
Ich habe eine TSServer GPO. Wo ich die Richtlinie "Prevent access to the command prompt" aktiviert habe. Sollte das nicht funktionieren?
Bitte warten ..
Mitglied: DerWoWusste
18.11.2014, aktualisiert um 10:52 Uhr
Ich vermute, Du hast die genannte Richtlinie - eine Userrichtlinie - fälschlicherweise nicht auf die Benutzer, sondern auf die OU mit dem TS angewendet (wo ein Computerobjekt drin ist, welches sich nicht für Userrichtlinien interessiert). Du müsstest sie in der lokalen Richtlinie des TS setzen, also über gpedit am Server, oder, falls Du das wünscht, einen WMI-Filter domänenweit nur am TS anwenden.
Bitte warten ..
Mitglied: Chibisuke
18.11.2014 um 10:52 Uhr
Oh, dass ihr noch einen 2003er-DC habt hast du leider bisher nicht erwähnt. Soweit ich das im Kopf habe funktionieren ADMx-Templates erst seit Vista/Server 2008 da sie damit erst eingeführt wurden, davor gab es nur ADM-Templates.

Falls du keinen DC mit 2008 oder höher zur Verfügung hast sollte es auch gehen die entsprechenden Gruppenrichtlinien-Verwaltungswerkzeuge auf einem PC mit Vista oder höher zu installieren und dich mit dem Domänen-Admin anzumelden. Dann wie beschrieben die ADMx und adml-Dateien kopieren.

Und unter Sysvol (und seinen Unterordnern) haben die Templates nichts zu suchen! Die gehören nur in den (lokalen) PolicyDefinitions-Ordner.
Bitte warten ..
Mitglied: Tommy1983
18.11.2014, aktualisiert um 10:58 Uhr
hmm ich habe es Anhand diesen Artikels gemacht:
Quelle: http://www.gruppenrichtlinien.de/artikel/central-store-fuer-administrat ...


Wie erzeuge ich den Central Store oder wie kann er automatisiert erstellt werden?

Der einfache Weg:
Explorer öffnen und aus %systemroot% (idR C:\Windows\) den kompletten Ordner PolicyDefinitions nach \\meine.dom\SYSVOL\meine.dom\policies kopieren
Bitte warten ..
Mitglied: Tommy1983
18.11.2014 um 10:58 Uhr
Zitat von DerWoWusste:

Ich vermute, Du hast die genannte Richtlinie - eine Userrichtlinie - fälschlicherweise nicht auf die Benutzer, sondern auf
die OU mit dem TS angewendet (wo ein Computerobjekt drin ist, welches sich nicht für Userrichtlinien interessiert). Du
müsstest sie in der lokalen Richtlinie des TS setzen, also über gpedit am Server, oder, falls Du das wünscht, einen
WMI-Filter domänenweit nur am TS anwenden.

jap so ist es face-smile
Also versuche ich es direkt am RDS 2012 R2 richtig?
Allerdings verstehe ich noch nicht wie ich die administrativen Tools unterbinden kann?
Bitte warten ..
Mitglied: Chibisuke
18.11.2014 um 11:06 Uhr
Ok, man lernt nie aus. Ich revidiere meine Aussage bezüglich ADMx nur lokal. Ändert aber nichts daran dass du trotzdem eine Maschine mit Vista/Server 2008 oder höher brauchst um mit dem ADMx-Templates auch arbeiten zu können.
Bitte warten ..
Mitglied: Tommy1983
18.11.2014 um 11:14 Uhr
Ich versuche nun folgendes. Ich installiere auf dem Win2012R2 Server die Gruppenrichtlinienverwaltung und versuche darüber dann die benötigten Richtlinen zu definieren. Insgesamt aber eher eine Notlösung. Denn schöner wäre es natürlich alle Gruppenrichtlinien weiterhin über den DC zu konfigurieren. Das bedeutet wohl ich muss meinen DC mal Migrieren!

Zitat von Chibisuke:

Ok, man lernt nie aus. Ich revidiere meine Aussage bezüglich ADMx nur lokal. Ändert aber nichts daran dass du trotzdem
eine Maschine mit Vista/Server 2008 oder höher brauchst um mit dem ADMx-Templates auch arbeiten zu können.
Bitte warten ..
Mitglied: Tommy1983
18.11.2014 um 11:25 Uhr
Wenn ich über gpedit am WIN2012 aber die Benuter Richtlinen ändere beziehen die sich doch auch auf die Administratoren Accounts. Oder habe ich da einen Denkfehler?


Zitat von DerWoWusste:

Ich vermute, Du hast die genannte Richtlinie - eine Userrichtlinie - fälschlicherweise nicht auf die Benutzer, sondern auf
die OU mit dem TS angewendet (wo ein Computerobjekt drin ist, welches sich nicht für Userrichtlinien interessiert). Du
müsstest sie in der lokalen Richtlinie des TS setzen, also über gpedit am Server, oder, falls Du das wünscht, einen
WMI-Filter domänenweit nur am TS anwenden.
Bitte warten ..
Mitglied: DerWoWusste
18.11.2014 um 11:30 Uhr
zu den administrativen Tools: das ist ein Ordner, vergib passende NTFS_Rechte darauf.
Central Store: nimm lieber RSAT, als den Central Store, das macht am wenigsten Arbeit. RSAT enthält die GPMC, und, wie Chibisuke auch schon sagte, Du musst RSAT auf einem neuen OS ausführen, am besten auf Windows 8.1, dann hast Du auch alle GPOs für 2012 R2 zur Verfügung.
Bitte warten ..
Mitglied: Tommy1983
18.11.2014 um 13:41 Uhr
Hat einer von euch so ne Art Sicherheitsrichtlinen die ihr auf Terminalserver/RemotedesktopServices einrichtet?
Bitte warten ..
Mitglied: DerWoWusste
18.11.2014, aktualisiert um 13:48 Uhr
Was Du sichern willst, musst Du zunächst darlegen. Bei uns ist ein Terminalserver nicht anders gehärtet als Desktops und das sind meistens eh defaults, außer vielleicht applocker.
Bitte warten ..
Mitglied: Tommy1983
18.11.2014 um 14:10 Uhr
Naja grundsätzlich hast du schon recht.Eigentlich funktioniert auch alles.
Das einzige was mich gerade extrem aufregt ist dass komischerweise nur noch der Internetexplorer in der Kacheloberfläche erscheint alles andere ist nicht auswählbar und das vorher erstellte Startlayout zieht auch nicht mehr...

Zitat von DerWoWusste:

Was Du sichern willst, musst Du zunächst darlegen. Bei uns ist ein Terminalserver nicht anders gehärtet als Desktops und
das sind meistens eh defaults, außer vielleicht applocker.
Bitte warten ..
Mitglied: DerWoWusste
18.11.2014 um 14:15 Uhr
Dein Startlayout kann nur anzeigen, was noch installiert ist - hast Du zufällig anderweitig bei den Metroapps "die Axt kreisen lassen" und ein paar zuviel erwischt?
Bitte warten ..
Mitglied: Tommy1983
18.11.2014 um 14:17 Uhr
Nein habe ich nicht. Die Administratoren Accounts ziehen auch das Layout, nur die User nicht.
Das komische ist das mir die Andwendungen auch garnicht mehr angezeigt werden. Ich setze mal bei einem User Administrator Rechte und schau nochmal ob es dann gehen würde...



Zitat von DerWoWusste:

Dein Startlayout kann nur anzeigen, was noch installiert ist - hast Du zufällig anderweitig bei den Metroapps "die Axt
kreisen lassen" und ein paar zuviel erwischt?
Bitte warten ..
Mitglied: Tommy1983
18.11.2014, aktualisiert um 14:36 Uhr
Ja super sobald ich einem User Admin Rechte gebe wird das Layout gezogen?!?! Sobald ich die Rechte wieder wegnehme verschwieden die Icons nach einer Zeit...

Das sind meine Einstellungen für die Terminalservervon Windows Server 2008R2 bei Windowsserver 2012R2 läuft das anscheind noch nicht so super.

[Computerkonfiguration\Administrative Vorlagen\System\Gruppenrichtlinien]
- Loopbackverarbeitungsmodus für Benutzergruppenrichtlinie

[Computerkonfiguration\WindowsEinstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen]
- Geräte: Zugriff auf CD-ROM Laufwerke auf lokale angemeldete Benutzer beschränken
- Geräte: Zugriff auf Diskettenlaufwerke auf lokale angemeldete Benutzer beschränken
- Interaktive Anmeldung: Letzten Benutzernamen nicht anzeigen

[Computerkonfiguration\Administrative Vorlagen\Windowskomponenten\Windows Installer]
- Deaktiviere Windows Installer

[Benutzerkonfiguration\Windowseinstellungen\Ordnerumleitung]
- Anwendungsdaten
- Desktop
- Eigene Dateien
- Startmenü

[Benutzerkonfiguration\Administrative Vorlagen\Windowskomponenten\Windows Explorer]
- Blendet den Menü-Eintrag "Verwalten" im Windows Explorer-Kontextmenü aus
- Diese angegebenen Datenträger im Fenster "Arbeitsplatz" ausblenden
- Optionen "Netzwerklaufwerk verbinden" und "Netzwerklaufwerk trennen" entfernen
- Registerkarte "Hardware" ausbelnden
- Schaltfläche "Suchen" aus Windows Explorer entfernen
- Standardkontextmenü des Windows Explorers entfernen
- Zugriff auf Laufwerke vom Arbeitsplatz nicht zulassen

[Benutzerkonfiguration\Administrative Vorlagen\Windowskomponenten\Taskplaner]
- Ausführen und Beenden von einem Tasks verhindern
- Erstellen von neuen Tasks nicht zulassen

[Benutzerkonfiguration\Administrative Vorlagen\Startmenü und Taskleiste]
- "Netzwerkverbindungen" aus dem Startmenü entfernen
- Ändern der Einstellungen für die Taskleiste und das Startmenü verhindern
- Befehl "Herunterfahren" entfernen und Zugriff darauf verweigern
- Menü "Suchen" aus dem Startmenü entfernen
- Menüeintrag "Hilfe" aus dem Startmenü entfernen
- Menüeintrag "Ausführen" aus dem Startmenü entfernen
- Option "Abmelden" dem Startmenü hinzufügen
- Programme im Menü "Einstellungen" entfernen
- Standardprogrammgruppen aus dem Startmenü entfernen
- Verknüpfung und Zugriff auf Windows-Update entfernen

[Benutzerkonfiguration\Administrative Vorlagen\Desktop]
- Desktopsymbol "Netzwerkumgebung" ausblenden
- Pfadänderung für den Ordner "Meine Dateien" nicht zulassen

[Benutzerkonfiguration\Administrative Vorlagen\Systemsteuerung]
- Zugriff auf Systemsteuerung nicht zulassen

[Benutzerkonfiguration\Administrative Vorlagen\System]
- Zugriff auf Eingabeaufforderung verhindern (Für Scriptverarbeitung: Nein einstellen)
- Zugriff auf Programme zum Bearbeiten der Registrierung verhindern

[Benutzerkonfiguration\Administrative Vorlagen\System\Strg+Alt+Entf-Optionen]
- Sperren des Computers entfernen
- Task-Manager entfernen
Bitte warten ..
Mitglied: Tommy1983
18.11.2014 um 14:46 Uhr
ich habe es rausgefunden woran es lag... oh man!
auf:
c:\ProgramData\Microsoft\Windows\Start Menü\Programme
hatten die TSUSER keine Berechtigung...
Bitte warten ..
Mitglied: DerWoWusste
18.11.2014 um 14:48 Uhr
Tja, wie so oft hausgemacht
Bitte warten ..
Mitglied: Tommy1983
18.11.2014 um 14:51 Uhr
ja weil Verwaltung NTFS Rechte vergaben etc... du hast schuld :D!

Zitat von DerWoWusste:^^

Tja, wie so oft hausgemacht
Bitte warten ..
Neuester Wissensbeitrag
Festplatten, SSD, Raid

12TB written pro SSD in 2 Jahren mit RAID5 auf Hyper-VServer

Erfahrungsbericht von Lochkartenstanzer zum Thema Festplatten, SSD, Raid ...

Ähnliche Inhalte
Windows Server
Windows Server 2012 R2 Benutzerkonto für Zugriff auf AD Benutzer (1)

Frage von JulianOhm zum Thema Windows Server ...

Hyper-V
Windows Server 2012 R2 NIC Teaming mit Lancom Switch (3)

Frage von onkel87 zum Thema Hyper-V ...

Windows Server
gelöst RDS 2016 Cals auf Windows Server 2012 R2 RDS-Lizenzserver unterstützt? (1)

Frage von Excaliburx zum Thema Windows Server ...

Windows Server
Problem mit Windows Server 2012 R2 (MSConfig - Systemstart Modus) (3)

Frage von FloFMS zum Thema Windows Server ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (34)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...