Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Loopbackverarbeitung nicht für alle User

Frage Microsoft Windows Server

Mitglied: Michael132

Michael132 (Level 1) - Jetzt verbinden

27.08.2009, aktualisiert 14:12 Uhr, 5707 Aufrufe, 9 Kommentare

Hallo wie der Titel schon sagt habe ich ein Problem mit der Loopbackverabeitung. Hier meine
Problembeschreibung:

in einer gemischten Client Server / Terminalserver Umgebung habe ich für das Arbeiten
am Terminalserver (2008 Std. Server SP2) die Loopback Verarbeitung aktiviert (OE mit dem
Terminalserver drin erstellt und dort die Usereinstellungen vorgenommen und im Computerteil
Loopback aktiviert und auf ersetzen gestellt).

Das klappt auch wunderbar, User die sich Remote am Terminalserver anmelden bekommen "strenge"
Einstellungen was Desktop, System etc angeht. Wenn sich der gleiche User an einem lokalen PC
anmeldet sind die Rechte weniger stark eingeschränkt. Genau wie geplant halt.


Allerdings habe ich noch das Problem, dass der Loopback Modus nun für alle User gilt die sich am
Terminal Server anmelden. Auch der Administrator bekommt logischweise das strenge Profil per Richtlinie.

Meine Frage: Wie kann ich bestimmte Usergruppen von der Loopbackverabeitung ausschließen?


Wenn ich es über die Filtereinstellungen in der Richtlinie selber versuche und dort z.B. nur User
oder eine Sicherheitsgruppe mit zugehörigen Usern angebe, hat keiner mehr das Strenge Profil.

Der einzige Eintrag im Filter, der nicht dafür sorgt dass die Richtlinie für alle ignoriert wird,
ist der Eintrag der auch immer beim Erstellen einer Richtlinie drin ist, die Gruppe
"authentifizierte Benutzer". Das führt dazu das die Richtlinie für alle genutzt wird, jeder
spezifischere Eintrag sorgt dafür das die Richtlinie für keinen verarbeitet wird.

Das muss ja irgendwie klappen, vielleicht weiss ja wer die Lösung.

mfg
Mitglied: Logan000
27.08.2009 um 14:22 Uhr
Moin Moin

Wenn ich es über die Filtereinstellungen in der Richtlinie selber versuche und dort z.B. nur User oder eine Sicherheitsgruppe mit zugehörigen Usern angebe, hat keiner mehr das Strenge Profil.

Weil bei "nur User" der Terminal server selbst fehlt.
Wende diese Richtlinie auf eine Gruppe an, in der sich der Terminalserver und alle TSUser befinden. Dann sollte es funktionieren.

Und wenn du dann den Admin aus dieser Gruppe entfernst bist du am Ziel.

Gruß L.
Bitte warten ..
Mitglied: St-Andreas
27.08.2009 um 15:42 Uhr
Es geht ja auch kompliziert.....

Aber einfacher wäre es doch wenn man einfach den entsprechenden Benutzer in der Sicherheitskonfiguration der Gruppenrichtlinie auf "verweigern" stellt, oder?
Bitte warten ..
Mitglied: Logan000
27.08.2009 um 16:51 Uhr
Moin

Es geht ja auch kompliziert.....
Aber einfacher wäre es doch wenn man einfach den entsprechenden Benutzer in der Sicherheitskonfiguration der Gruppenrichtlinie auf "verweigern" stellt, oder?
Ich persönlich finde es aus Gründen der Übersichtlichkeit eher kompliziert solche Einstellungen für einzelne Benutzer vorzunehmen und Verweigern kommt nur in extremen Ausnahmen zum Einsatz.
Aber Du hast natürlich Recht. Es würden funktionieren und wäre auch (etwas) schneller umgesetzt.

Gruß L.
Bitte warten ..
Mitglied: St-Andreas
28.08.2009 um 09:15 Uhr
Hi,

also das die Übernahme verweigert wird sollte eigentlich zum normalen Verwaltungswerkzeug gehören. Und man kann sowas ja auch über Benutzergruppen (Administratoren z.B.) vornehmen.
Aber im Endeffekt führen beide Lösungen zum Ziel
Bitte warten ..
Mitglied: Michael132
28.08.2009 um 09:35 Uhr
Hallo danke erst mal für die antworten.


Weil bei "nur User" der Terminal server selbst fehlt.
Wende diese Richtlinie auf eine Gruppe an, in der sich der
Terminalserver und alle TSUser befinden. Dann sollte es
funktionieren.

Und wenn du dann den Admin aus dieser Gruppe entfernst bist du am
Ziel.


Meinst du damit eine Organisationseinheit der beide angehören oder eine Sicherheitsgruppe der die User UND der Terminalserver angehören und diese dann bei Filtereinstellungen eintragen?
Das mit der Übernahme verweigern würde ich auch eher als letzte Lösung benutzen.

mfg
Bitte warten ..
Mitglied: Logan000
28.08.2009 um 11:19 Uhr
Moin Moin

Meinst du damit eine Organisationseinheit der beide angehören oder eine Sicherheitsgruppe der die User UND der Terminalserver angehören und diese dann bei Filtereinstellungen eintragen?
Ich meinte eigentlich das 2., aber es funktioniert beides.

Gruß L.
Bitte warten ..
Mitglied: Michael132
28.08.2009 um 16:52 Uhr
Hallo ich habe nochmal diverses probiert und sehr wirre Ergebnisse bekommen.
Anstatt nur 2 Test User im Sicherheitsfilter einzutragen habe ich den Terminalserver dazugenommen. Ergebniss klappt alles wie gewünscht, Problem gelöst.

Da ich keine Einzeluser oder PCs drin haben will, habe ich mal wie du sagtest eine Sicherheitsgruppe, der sowohl die 2 User als auch der Terminalserver angehören erstellt und diese als einziges in den Sicherheitsfilter getan. Ergebniss es klappt nichts, die Testuser ziehen sich NICHT die strenge Berechtigung.

Ok Kommando zurück und wieder 2 User und TermServer einzeln in den Sicherheitsfilter getan mit dem Ergebniss das es plötzlich so auch nicht mehr klappt. Obwohl das vorher funktioniert hat.

Nach jeder Änderung habe ich gpupdate force gemacht, daran kann es also nicht liegen. Spannend spannend

Aber erst mal Wochenende.

Danke für die Antworten
Bitte warten ..
Mitglied: Logan000
01.09.2009 um 08:09 Uhr
Moin moin

Du solltest mal die Gruppenrichtlinienergebnisse in der Gruppenrichtliienverwaltung ermitteln. Da erhältst du sehr detailerte informationen ob und warum, welche GPO (nicht) angewendet wird.

Weiterhin möchte ich dir noch 2 HowTo's mit an die Hand geben:
Ein mal zum Loopbackverarbeitungsmodus und Richtlinien für Sicherheitsgruppen einrichten.
Ich hoffen du kannst damit feststellen wo bei dir der Wurm drin ist.

Gruß L.
Bitte warten ..
Mitglied: Michael132
09.09.2009 um 09:42 Uhr
Hallo,

Ok ich kann leider erst heute weiter testen. Insbesondere die Auswertung sollte da ja interessant sein.
Mittlerweile klappt die Beschränkung mit einzelnem Eintragen der User und Server in den Filter wieder, aber erst nachdem ich die Sicherheitsgruppe (bestand aus 2 Testusern +Server), die ich zu Testzwecken angelegt hatte (die aber im Filter nicht funktionierte und auch nicht mehr drin stand), komplett aus dem AD gelöscht habe.....


Danke für die Antworten, die Links werder ich mir dann auch mal zu Gemüte führen.

mfg

Michael
Bitte warten ..
Ähnliche Inhalte
Windows Userverwaltung
Projekt: Mehrere User als einen User
Frage von 117455Windows Userverwaltung3 Kommentare

Hallo, ich hab für die nächsts Zeit ein kleiners/größeres Projekt in der nächsten Zeit vor und weiß aber nicht, ...

Windows Userverwaltung
User hat geheiratet. Windows-User ändert sich
gelöst Frage von WinLiCLIWindows Userverwaltung11 Kommentare

Hallo zusammen, kurze Frage wie das erfahrene Admins machen: Wir haben bald ein Userin die heiraten wird. Daraufhin wird ...

Windows Server
User eines Aliasses
gelöst Frage von daphneWindows Server10 Kommentare

Hallo, ich möchte gerne wissen, welche User einen gewissen Alias zugeordnet bekommen haben. Wie finde ich das heraus? Vielen ...

Exchange Server
User versendet Mails, kommen als "Postmaster im Auftrag von User" an
gelöst Frage von ColisspoExchange Server10 Kommentare

Guten Tag liebes Board, stehe hier vor einem merkwürdigen Phänomen. Vorhanden ist ein SBS2011 mit installiertem Exchange Server 2010. ...

Neue Wissensbeiträge
Perl

Perl hat heute Geburtstag: 30 Jahre Perl: Lange Gesichter zum Geburtstag

Information von Penny.Cilin vor 5 StundenPerl2 Kommentare

Hallo, auch wenn es wenige wissen und noch weniger Leute es nutzen. Perl hat heute Geburtstag. 30 Jahre Perl ...

Sicherheit

Blackberry stirbt - Keine Updates für Priv mehr

Tipp von certifiedit.net vor 6 StundenSicherheit

Blackberry wird zu einer 08/15 Firma und geht wohl mehr und mehr den Weg, den HTC schon ging. Von ...

Windows 10

Autsch: Microsoft bündelt Windows 10 mit unsicherer Passwort-Manager-App

Tipp von kgborn vor 2 TagenWindows 1010 Kommentare

Unter Microsofts Windows 10 haben Endbenutzer keine Kontrolle mehr, was Microsoft an Apps auf dem Betriebssystem installiert (die Windows ...

Sicherheits-Tools

Achtung: Sicherheitslücke im FortiClient VPN-Client

Tipp von kgborn vor 2 TagenSicherheits-Tools

Ich weiß nicht, wie häufig die NextGeneration Endpoint Protection-Lösung von Fortinet in deutschen Unternehmen eingesetzt wird. An dieser Stelle ...

Heiß diskutierte Inhalte
Batch & Shell
Kann man mit einer .txt Datei eine .bat Datei öffnen?
gelöst Frage von HelloWorldBatch & Shell22 Kommentare

Wie schon im Titel beschrieben würde ich gerne durch einfaches klicken auf eine Text oder Word Datei eine Batch ...

Netzwerkgrundlagen
Belibiges Teilnetz einer Subnetzmaske rausfinden?
gelöst Frage von CenuzeNetzwerkgrundlagen17 Kommentare

Wundervollen Gutentag, mittlerweile kann ich Subnetting so einigermaßen, aber ein Problem habe ich noch. Netzwerkadresse und Boradcast errechnen ist ...

LAN, WAN, Wireless
WLAN Reichweite erhöhen mit neuer Antenne
gelöst Frage von gdconsultLAN, WAN, Wireless12 Kommentare

Hallo, ich besitze einen TL-WN722N USB-WLAN Dongle mit einer richtigen Antenne. Ich frage mich jetzt ob man die Reichweite ...

Windows Server
Logging von "gesendeten Nachrichten" auf Terminalservern
gelöst Frage von Z3R0C0MM4N0THiN6Windows Server10 Kommentare

Hallo zusammen, kann mir jemand auf kurzem Wege sagen ob 1) die per Task-Manager (oder damals tsadmin) an Benutzer ...