Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Loopbackverarbeitung nicht für alle User

Frage Microsoft Windows Server

Mitglied: Michael132

Michael132 (Level 1) - Jetzt verbinden

27.08.2009, aktualisiert 14:12 Uhr, 5647 Aufrufe, 9 Kommentare

Hallo wie der Titel schon sagt habe ich ein Problem mit der Loopbackverabeitung. Hier meine
Problembeschreibung:

in einer gemischten Client Server / Terminalserver Umgebung habe ich für das Arbeiten
am Terminalserver (2008 Std. Server SP2) die Loopback Verarbeitung aktiviert (OE mit dem
Terminalserver drin erstellt und dort die Usereinstellungen vorgenommen und im Computerteil
Loopback aktiviert und auf ersetzen gestellt).

Das klappt auch wunderbar, User die sich Remote am Terminalserver anmelden bekommen "strenge"
Einstellungen was Desktop, System etc angeht. Wenn sich der gleiche User an einem lokalen PC
anmeldet sind die Rechte weniger stark eingeschränkt. Genau wie geplant halt.


Allerdings habe ich noch das Problem, dass der Loopback Modus nun für alle User gilt die sich am
Terminal Server anmelden. Auch der Administrator bekommt logischweise das strenge Profil per Richtlinie.

Meine Frage: Wie kann ich bestimmte Usergruppen von der Loopbackverabeitung ausschließen?


Wenn ich es über die Filtereinstellungen in der Richtlinie selber versuche und dort z.B. nur User
oder eine Sicherheitsgruppe mit zugehörigen Usern angebe, hat keiner mehr das Strenge Profil.

Der einzige Eintrag im Filter, der nicht dafür sorgt dass die Richtlinie für alle ignoriert wird,
ist der Eintrag der auch immer beim Erstellen einer Richtlinie drin ist, die Gruppe
"authentifizierte Benutzer". Das führt dazu das die Richtlinie für alle genutzt wird, jeder
spezifischere Eintrag sorgt dafür das die Richtlinie für keinen verarbeitet wird.

Das muss ja irgendwie klappen, vielleicht weiss ja wer die Lösung.

Mit freundlichen Grüßen
Mitglied: Logan000
27.08.2009 um 14:22 Uhr
Moin Moin

Wenn ich es über die Filtereinstellungen in der Richtlinie selber versuche und dort z.B. nur User oder eine Sicherheitsgruppe mit zugehörigen Usern angebe, hat keiner mehr das Strenge Profil.

Weil bei "nur User" der Terminal server selbst fehlt.
Wende diese Richtlinie auf eine Gruppe an, in der sich der Terminalserver und alle TSUser befinden. Dann sollte es funktionieren.

Und wenn du dann den Admin aus dieser Gruppe entfernst bist du am Ziel.

Gruß L.
Bitte warten ..
Mitglied: St-Andreas
27.08.2009 um 15:42 Uhr
Es geht ja auch kompliziert.....

Aber einfacher wäre es doch wenn man einfach den entsprechenden Benutzer in der Sicherheitskonfiguration der Gruppenrichtlinie auf "verweigern" stellt, oder?
Bitte warten ..
Mitglied: Logan000
27.08.2009 um 16:51 Uhr
Moin

Es geht ja auch kompliziert.....
Aber einfacher wäre es doch wenn man einfach den entsprechenden Benutzer in der Sicherheitskonfiguration der Gruppenrichtlinie auf "verweigern" stellt, oder?
Ich persönlich finde es aus Gründen der Übersichtlichkeit eher kompliziert solche Einstellungen für einzelne Benutzer vorzunehmen und Verweigern kommt nur in extremen Ausnahmen zum Einsatz.
Aber Du hast natürlich Recht. Es würden funktionieren und wäre auch (etwas) schneller umgesetzt.

Gruß L.
Bitte warten ..
Mitglied: St-Andreas
28.08.2009 um 09:15 Uhr
Hi,

also das die Übernahme verweigert wird sollte eigentlich zum normalen Verwaltungswerkzeug gehören. Und man kann sowas ja auch über Benutzergruppen (Administratoren z.B.) vornehmen.
Aber im Endeffekt führen beide Lösungen zum Ziel
Bitte warten ..
Mitglied: Michael132
28.08.2009 um 09:35 Uhr
Hallo danke erst mal für die antworten.


Weil bei "nur User" der Terminal server selbst fehlt.
Wende diese Richtlinie auf eine Gruppe an, in der sich der
Terminalserver und alle TSUser befinden. Dann sollte es
funktionieren.

Und wenn du dann den Admin aus dieser Gruppe entfernst bist du am
Ziel.


Meinst du damit eine Organisationseinheit der beide angehören oder eine Sicherheitsgruppe der die User UND der Terminalserver angehören und diese dann bei Filtereinstellungen eintragen?
Das mit der Übernahme verweigern würde ich auch eher als letzte Lösung benutzen.

Mit freundlichen Grüßen
Bitte warten ..
Mitglied: Logan000
28.08.2009 um 11:19 Uhr
Moin Moin

Meinst du damit eine Organisationseinheit der beide angehören oder eine Sicherheitsgruppe der die User UND der Terminalserver angehören und diese dann bei Filtereinstellungen eintragen?
Ich meinte eigentlich das 2., aber es funktioniert beides.

Gruß L.
Bitte warten ..
Mitglied: Michael132
28.08.2009 um 16:52 Uhr
Hallo ich habe nochmal diverses probiert und sehr wirre Ergebnisse bekommen.
Anstatt nur 2 Test User im Sicherheitsfilter einzutragen habe ich den Terminalserver dazugenommen. Ergebniss klappt alles wie gewünscht, Problem gelöst.

Da ich keine Einzeluser oder PCs drin haben will, habe ich mal wie du sagtest eine Sicherheitsgruppe, der sowohl die 2 User als auch der Terminalserver angehören erstellt und diese als einziges in den Sicherheitsfilter getan. Ergebniss es klappt nichts, die Testuser ziehen sich NICHT die strenge Berechtigung.

Ok Kommando zurück und wieder 2 User und TermServer einzeln in den Sicherheitsfilter getan mit dem Ergebniss das es plötzlich so auch nicht mehr klappt. Obwohl das vorher funktioniert hat.

Nach jeder Änderung habe ich gpupdate force gemacht, daran kann es also nicht liegen. Spannend spannend

Aber erst mal Wochenende.

Danke für die Antworten
Bitte warten ..
Mitglied: Logan000
01.09.2009 um 08:09 Uhr
Moin moin

Du solltest mal die Gruppenrichtlinienergebnisse in der Gruppenrichtliienverwaltung ermitteln. Da erhältst du sehr detailerte informationen ob und warum, welche GPO (nicht) angewendet wird.

Weiterhin möchte ich dir noch 2 HowTo's mit an die Hand geben:
Ein mal zum Loopbackverarbeitungsmodus und Richtlinien für Sicherheitsgruppen einrichten.
Ich hoffen du kannst damit feststellen wo bei dir der Wurm drin ist.

Gruß L.
Bitte warten ..
Mitglied: Michael132
09.09.2009 um 09:42 Uhr
Hallo,

Ok ich kann leider erst heute weiter testen. Insbesondere die Auswertung sollte da ja interessant sein.
Mittlerweile klappt die Beschränkung mit einzelnem Eintragen der User und Server in den Filter wieder, aber erst nachdem ich die Sicherheitsgruppe (bestand aus 2 Testusern +Server), die ich zu Testzwecken angelegt hatte (die aber im Filter nicht funktionierte und auch nicht mehr drin stand), komplett aus dem AD gelöscht habe.....


Danke für die Antworten, die Links werder ich mir dann auch mal zu Gemüte führen.

Mit freundlichen Grüßen

Michael
Bitte warten ..
Neuester Wissensbeitrag
Microsoft

Lizenzwiederverkauf und seine Tücken

(5)

Erfahrungsbericht von DerWoWusste zum Thema Microsoft ...

Ähnliche Inhalte
Windows Systemdateien
Keine Berechtigung trotz Domänen-Admin User (10)

Frage von M.Marz zum Thema Windows Systemdateien ...

Windows Server
User-ID zu Application Crash

Frage von pablovic zum Thema Windows Server ...

Router & Routing
Radius für 15 User direkt über Mikrotik- oder Ubiquiti-Router (4)

Frage von Muesliriegel zum Thema Router & Routing ...

Windows 8
gelöst Active Directory Default User.v2 Profile - Windows 8.1 Apps Error (4)

Frage von adm2015 zum Thema Windows 8 ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (18)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Windows Netzwerk
Windows 10 RDP geht nicht (16)

Frage von Fiasko zum Thema Windows Netzwerk ...

Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...