42111
May 24, 2007, updated at May 26, 2007 (UTC)
4744
6
0
win2003 Terminalserver Probleme
Hi,
ich bräuchte bei mehreren punkten hilfe.
System:
win2003 Terminalserver ist Domänencontroller, fileserver und terminalserver (ich weis das soll man alles nicht zusammen packen...aber die geldnot treibt einen zu so schlimmen dingen)
Folgende Probleme:
1. irgendwo ist verboten das die User den Windows explorer aufrufen. Wo erlaube ich ihnen das wieder? sind verschieden gpos aktiv müsste zumindestmal wissen bei welchem unterpunkt.
2. Von verschiedenen excel files können die makros nicht automatisch ausgeführt werden da die makrosicherheit auf hoch steht. läst sich dies domänenweit ändern?
3. Manche Clients haben einen IP Drucker angeschlosen. Dieser wird nicht auf den Terminalserver übernommen. Gibt es eventuel auch hier eine richtlinie die dies verbietet? (lokale usb oder lpt drucker werden durchgeschleift)
4. Danke euch!
mfg
flo
ich bräuchte bei mehreren punkten hilfe.
System:
win2003 Terminalserver ist Domänencontroller, fileserver und terminalserver (ich weis das soll man alles nicht zusammen packen...aber die geldnot treibt einen zu so schlimmen dingen)
Folgende Probleme:
1. irgendwo ist verboten das die User den Windows explorer aufrufen. Wo erlaube ich ihnen das wieder? sind verschieden gpos aktiv müsste zumindestmal wissen bei welchem unterpunkt.
2. Von verschiedenen excel files können die makros nicht automatisch ausgeführt werden da die makrosicherheit auf hoch steht. läst sich dies domänenweit ändern?
3. Manche Clients haben einen IP Drucker angeschlosen. Dieser wird nicht auf den Terminalserver übernommen. Gibt es eventuel auch hier eine richtlinie die dies verbietet? (lokale usb oder lpt drucker werden durchgeschleift)
4. Danke euch!
mfg
flo
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 59712
Url: https://administrator.de/contentid/59712
Printed on: April 19, 2024 at 12:04 o'clock
6 Comments
Latest comment
Hallo flo,
ich habe leider keine Universal-Lösung für Dich, aber schau Dich doch mal hier um: http://www.gruppenrichtlinien.de/
Gruß
Martin
ich habe leider keine Universal-Lösung für Dich, aber schau Dich doch mal hier um: http://www.gruppenrichtlinien.de/
Gruß
Martin
Hier ein Link zu Problem Nr.3:
http://support.microsoft.com/kb/302361/de
Einfach den Registrierungseintrag setzen wie im MS Artikel beschrieben und schon werden auch IP Drucker verbunden...
Gruß Christoph
http://support.microsoft.com/kb/302361/de
Einfach den Registrierungseintrag setzen wie im MS Artikel beschrieben und schon werden auch IP Drucker verbunden...
Gruß Christoph
Zu Punkt 1:
Verwende das MMC-SnapIn Richtlinienergebnissatz, um herauszufinden, welche Policy die Einschränkung erzeugt.
geTuemII
Verwende das MMC-SnapIn Richtlinienergebnissatz, um herauszufinden, welche Policy die Einschränkung erzeugt.
geTuemII
Hallo zusammen,
bei mir werden die Drucker auch nach dem ändern der Registry nicht einfach durchgeschleift. Erst wenn ich den Drucker einen LPF Anschluß (bei mir den freien Anschluß LPT2) zugewiesen habe, wird dieser in der Remotesession angezeigt. Da der Drucker mit den LPT Druckeranschluss aber überhaupt nicht druckt, muss ich diesen lokal während der Session wieder auf den IP Anschluß umstellen. Danach kann ich dann während dieser Session drucken. Wenn ich mich wieder neu anmelden will, beginnt die ganze Prozedur von vorne ...
Habt Ihr dafür eine Idee? Kann ich nicht irgendwie den LPT2 Anschluss einfach auf den IP Anschluss umleiten? Wenn ja, wo genau muss ich den Befehl eingeben? Habe in diesem Zusammenhang was von netuse gelesen? Hilft das weiter?
Vielen Dank im voraus, weiß echt nicht mehr weiter.
Viele Grüße Olaf
bei mir werden die Drucker auch nach dem ändern der Registry nicht einfach durchgeschleift. Erst wenn ich den Drucker einen LPF Anschluß (bei mir den freien Anschluß LPT2) zugewiesen habe, wird dieser in der Remotesession angezeigt. Da der Drucker mit den LPT Druckeranschluss aber überhaupt nicht druckt, muss ich diesen lokal während der Session wieder auf den IP Anschluß umstellen. Danach kann ich dann während dieser Session drucken. Wenn ich mich wieder neu anmelden will, beginnt die ganze Prozedur von vorne ...
Habt Ihr dafür eine Idee? Kann ich nicht irgendwie den LPT2 Anschluss einfach auf den IP Anschluss umleiten? Wenn ja, wo genau muss ich den Befehl eingeben? Habe in diesem Zusammenhang was von netuse gelesen? Hilft das weiter?
Vielen Dank im voraus, weiß echt nicht mehr weiter.
Viele Grüße Olaf
Hmm ok hab jetzt die Richlinie nochmal neu erstellt... und siehe da. Es geht wieder. Woran es nun lag kann ich leider nicht Sagen.
Dafür tut sich nun ein anderes Problem auf.
Ich schildere euch erstmal wie das ganze aufgebaut ist.
In AD gibt es zwei OU's - Terminalserver und die OU - Terminalserveruser
Ich habe eine GPO erstellt und dort so lustige dinge wie "Klassiche Ansicht, zugriff auf CD-Laufwerk nur für lokal angemeldete benutzer, usw...." festgelegt. Dort habe ich dann auch den Loopbackmodus aktiviert und auf zusammenfürhren gestellt. Die GPO ist mit der OU Terminalserver verknüpft. Der Terminalserver ist eingetragen das er die GPO übernehmen soll und ebenso die Gruppe der Terminalserver User. Die Gruppe der Admins hat zwar alle Rechte auf die GPO aber bei GPO übernehmen sitzt der Hacken bei VERWEIGERN.
soweit so gut.... Es funktioniert eigentlich alles aus der GPO bis auf das sperren des CD-Romlaufwerkes.
Nunja als nächster Schritt soll eine Softwarerichtlinie erstellt werden.
Ich habe nun schon zich sachen ausprobiert. Der standartwert soll sein VERWEIGERT und dann will ich für jede erlaubte Software eine Hash oder Pfadregel erstellen.
Das hatte ich vorher auch schon mal dort hatte ich aber die GPOs für die Softwareinschränkung mit der OU TerminserverUser verknüpft. Das soll laut Chef nun aber nicht mehr so sein da die User eventuell in nächster zeit alle auch lokal an ihrem PC mit dem Domänen Benutzer arbeiten sollen. Also muss ich es jetzt irgendwie schaffen das die Softwarerichtlinien nur dann gelten, wenn sich ein User mit dem Terminalserver verbindet. Die Admins sollen davon allerdings nicht betroffen sein.
Ich habe jetzt einfach eine GPO erstellt. Dort die nötigen einstellungen unter COMPUTERKONFIGURATION gemacht und die GPO mit der OU Terminalserver verknüpft. Die rechte für die GPO sind identisch mit der anderen. Komischerweise kann ich als Admin dann auch keine software mehr ausführen und es lässt sich nichteinmal die eigentlich erlaubte Software ausführen.
Habe dann schon überlegt ob ich bei der GPO auch den loopback modus einschalten muss und es auch veruscht aber alles ohne erfolg.
Was mache ich falsch?? wo ist mein Denkfehler??
Wäre für Hilfe SEHR dankbar. Bin hier nämlich langsam am verzweifeln und die weiteren Probleme häufen sich nur so. Aber bevor die GPOs nicht laufen kann ich mich darum nicht kümmern -.-
Dafür tut sich nun ein anderes Problem auf.
Ich schildere euch erstmal wie das ganze aufgebaut ist.
In AD gibt es zwei OU's - Terminalserver und die OU - Terminalserveruser
Ich habe eine GPO erstellt und dort so lustige dinge wie "Klassiche Ansicht, zugriff auf CD-Laufwerk nur für lokal angemeldete benutzer, usw...." festgelegt. Dort habe ich dann auch den Loopbackmodus aktiviert und auf zusammenfürhren gestellt. Die GPO ist mit der OU Terminalserver verknüpft. Der Terminalserver ist eingetragen das er die GPO übernehmen soll und ebenso die Gruppe der Terminalserver User. Die Gruppe der Admins hat zwar alle Rechte auf die GPO aber bei GPO übernehmen sitzt der Hacken bei VERWEIGERN.
soweit so gut.... Es funktioniert eigentlich alles aus der GPO bis auf das sperren des CD-Romlaufwerkes.
Nunja als nächster Schritt soll eine Softwarerichtlinie erstellt werden.
Ich habe nun schon zich sachen ausprobiert. Der standartwert soll sein VERWEIGERT und dann will ich für jede erlaubte Software eine Hash oder Pfadregel erstellen.
Das hatte ich vorher auch schon mal dort hatte ich aber die GPOs für die Softwareinschränkung mit der OU TerminserverUser verknüpft. Das soll laut Chef nun aber nicht mehr so sein da die User eventuell in nächster zeit alle auch lokal an ihrem PC mit dem Domänen Benutzer arbeiten sollen. Also muss ich es jetzt irgendwie schaffen das die Softwarerichtlinien nur dann gelten, wenn sich ein User mit dem Terminalserver verbindet. Die Admins sollen davon allerdings nicht betroffen sein.
Ich habe jetzt einfach eine GPO erstellt. Dort die nötigen einstellungen unter COMPUTERKONFIGURATION gemacht und die GPO mit der OU Terminalserver verknüpft. Die rechte für die GPO sind identisch mit der anderen. Komischerweise kann ich als Admin dann auch keine software mehr ausführen und es lässt sich nichteinmal die eigentlich erlaubte Software ausführen.
Habe dann schon überlegt ob ich bei der GPO auch den loopback modus einschalten muss und es auch veruscht aber alles ohne erfolg.
Was mache ich falsch?? wo ist mein Denkfehler??
Wäre für Hilfe SEHR dankbar. Bin hier nämlich langsam am verzweifeln und die weiteren Probleme häufen sich nur so. Aber bevor die GPOs nicht laufen kann ich mich darum nicht kümmern -.-
Ok das erste hat sich gelöst. Hatte zwar die Standartstufe bei der Softwareinschränkung auf NICHT ERLAUBT aber dann wird standartmäßig eine Pfadfreigabe auf C:\Programme\ gemacht. Kaum mach ich diese weg läuft es wie es soll ^^
Aber dafür hab ich schon das nächste problem. Beim installieren einer software kommt immer die meldung "Konnte die Microsoft Visual Foxpro Library nicht finden"
wo kann ich diese nachinstallieren?
danke
Aber dafür hab ich schon das nächste problem. Beim installieren einer software kommt immer die meldung "Konnte die Microsoft Visual Foxpro Library nicht finden"
wo kann ich diese nachinstallieren?
danke
