Terminalserver durch GP einschränken

1. offizieller Beitrag

    Hallo Forum,


    ich weiss es wurde schon oft darüber diskutiert und ich habe mich schon durch sämtliche Foren, How To's und Dokumentationen durchgearbeitet. Glaubt mir ich würde sonst diesen Beitrag nicht schreiben.


    Ich möchte, wie jeder anständige Admin es tun würde, für User die sich in verschiedenen OU's befinden, den Terminalserver beschränken. In unserer Firma sieht es so aus: wir haben zum einen externe Mitarbeiter mit eigenen PC's. Für die gibt es eine Richtlinie die in der ganzen Domäne auf jedem Gerät gelten soll. Das funktioniert auch.


    Jetzt haben wir aber natürlich auch interne Mitarbeiter, jeweils als lokale Admins auf dem "eigenen" Gerät (ich weiss dass das nicht elegant ist). Diese sollen keine Einschränkung auf ihre eigenen PC's haben jedoch sehr wohl auf dem TS der für alle, sowohl externe und interne, zur Verfügung steht.


    Ich habe eine GP definiert als Test, die alle Symbole vom Desktop ausblendet, um zu prüfen wie und wo überall diese greift. Im Screenshot könnt ihr sehen wie ich sie verknüpft habe. Der Loopbackverarbeitungsmodus ist im ersetzen Modus aktiviert und eigentlich sieht es so aus als würde die GP "RLAG-TS-Richtlinie-interne-Mitarbeiter" nur in der OU Terminalservers, wo sich nur der TS befindet, und nur für den Benutzer tsadmin, mein kleines Versuchskaninchen, greifen. So funktioniert es aber nicht.


    Verknüpfe ich die GP mit der Domäne selbst, gilt die GP auf jedem Gerät. Es soll aber wie gesagt nur auf dem TS eine Einschränkung geben.



    Könntet ihr mir vielleicht kurz helfen, bin euch sehr dankbar.


    Ciao Stefano

    Stefano

    • Offizieller Beitrag

    etwas gutes hat die Gruppenrichtlinie ja: sie funktioniert inhaltlich schon mal so wie du es dir wünscht.


    Jetzt brauchen wir nur noch die richtigen Server zu definieren.


    zum einen solltest du noch mal prüfen, ob die GPO auch auf dem TS angewendet wird. Dazu bitte mal die drei folgenden Befehle auf dem TS aufrufen und prüfen, ob die von dir erstellte GPO auch zugewiesen wird.


    GPOTOOL zeigt an ob die GPO´s noch korrekt im AD eingebunden sind. REsultat sollte sein "Policies OK".


    GPUPDATE /FORCE (wendet die im AD definierten GPO's erneut an)


    GPRESULT (zeigt welche GPO effektiv angewendet wurde)


    Wenn du des weiteren in der MMC die "Gruppenrichtlinienverwaltung" einbindest, dann kannst du unter dem Punkt "Gruppenrichtlinienergebnisse" dir anzeigen lassen, welche Einstellungen im Dateil angewendet werden.


    Mit diesen 4 Tools solltest du in der Lage sein, den Fehler zu finden.

    hi und danke,


    backdoor hab einmal den computer hinzugefügt und den user gelassen -> keine änderung


    nur den computer gelassen und den user raus --> auch keine Änderung :cry:


    jhick also das gpotool finde ich nicht auf dem ts die anderen zwei schon


    gpudate /force läuft durch ohne Fehler Ereignisanzeige sagt "Gruppenrichtlinie erfolgreich übernommen"


    gpresult sagt aber, dass die einzig angewendete Richtlinie die "Default Domain Policy" ist. alle anderen die ihr im Screenshot unter der domäne direkt verknüpft sieht, sind unter "herausgefilterte, nicht angewendete" aufgelistet.


    Die die ich eigentlich haben will, nämlich die für interne mitarbeiter, wird hier gar nicht aufgelistet. :-?


    Hat leider alles nichts gebracht. Was meinst du eigentlich mit "in der MMC die Gruppenrichtlinienverwaltung einbinden"?


    ciao :roll:

    Stefano

    • Offizieller Beitrag

    Hy


    gpotoo ist ein Tool aus dem Windows Server 2003 REsource Kit. Das Tool als auch eine Anleitung zu Problembehebung von Gruppenrichtlinien kannst du hier finden.


    Bzgl. "MMC und die Gruppenrichtlinienverwaltung ": wenn du einen Windows 2003 Server mit SP1 hast, dann ist automatisch ein MMC-Snap-in für die Gruppenrichtlinienverwaltung dabei.
    Das in die MMC einbinden und du kannst wunderbar Gruppenrichtlinien einbinden bzw. simulieren, welche Gruppenrichtlinien auf welches Benutzer- oder Computerobject welche tatsächlichen Auswirkungen hat.

    • Offizieller Beitrag

    hallo Backdoor


    es ist ausreichend, wenn der TErminal server in der OU liegt. Durch die Loopback-Einstellungen werden die Benutzereingestellungen eh durch die Terminal Server GPO's überschrieben.


    Wenn du eine GPO auf eine OU verlinkst, diese dann aber trotzdem nicht angewendet wird (laut gpupdate scheint das so zu sein), denn sehe ich zwei Möglichkeiten:


    1) du hast die GPO evtl auf einer darüber liegenden OU angewendet und erwarstest, dass durch die VErerbung die GPO auch auf die Terminalserver-OU angewendet wird. Diese Vererbung könnte unterbrochen sein.


    2) gemäss deinem Screenshot ist die GPO-Verknüpfung aktiviert. Wenn du jetzt die Eigentschaften der GPO aufrufst, ist diese GPO selber denn auck aktiv geschaltet? (GPO - rechte Maustaste - Status der Gruppenrichtlinie)

    • Offizieller Beitrag

    Hi Jean-Claude,


    Du hast natürlich recht, ist evtl falsch rüber gekommen. habe den Server ja auch fett geschrieben.
    Ich solchen Fällen versuche ich es halt erst einmal so ;)


    In der GPMC findest Du unter "Details" den Punkt "Objektstatus" (das ist auch das was Jean-Claude) meint.
    Dort gibt es verschiedene Möglichkeiten die GPO zu Aktivieren.
    Was steht da bei Dir???

    Hi Leute,


    also hab das gpotool installiert, ergebnis "found 14 policies, alle policies OK"


    der Benutzer ist nicht in der eingeschränkten OU, nur der TS. Das hat den Hintergrund dass ja später Benutzer die nicht eingeschränkt sind wie z.B. der Vorstand etc. hier trotzdem den Server nicht herunterfahren sollen usw.


    ich hab auf dem TS das snap-in für GPs in die MMC eingebunden. Ich sehe hier auch nur das die GP aktiv ist und dass sie mit ...\...\...\Terminalservers verknüpft ist. Übrigens ist sie mir keine andere OU verknüpft also kann man glaub ich ein Vererbungsproblem ausschliessen. Ich tuh nochmal ein Screenshot von den Ergebnissen der GP.


    Jetzt bin ich ganz durcheinander sollte in der Sicherheitsfilterung der Benutzer oder der TS stehen (hab beides versucht geht eh nicht)?


    Zusammenfassend:


    Status ist aktiv --> OK
    Richtlinienergebnis --> OK
    bei Verknüpfung auf die gesamte Domäne greift sie wie ich will --> OK



    ich glaube wir können das Problem nur auf die Verknüpfung eingrenzen. Kann es sein dass es Probleme mit der Struktur OU\unterOU\unterOU gibt. Also dass es zu tief ist und deshalb nicht greift?


    Danke euch

    Stefano