Terminalserver durch GP einschränken

viper077 · 29. März 2007

Hi, hab das grad gemacht und es hat nichts gebracht. Danach habe ich die Verknüpfung gelöscht und wieder in der OU angelegt. Und auf einmal funktioniert es.

Ich hab getestet wie die sau und die Richtlinie scheint genau so zu funktionieren wie ich es will. Also hab ich mich gefreut und hab gleich alle anderen Einstellungen eingegeben die ich gerne hätte. überwiegend verweigerungen in Systemsteuerung und Startmenü.

Dann teste ich nochmal und siehe da die Richtlinie greift nicht mehr. Ich weiss echt nicht mehr weiter. Wie kann das sein dass sie für kurze Zeit greift und dann nach Erweiterung nicht mehr? Ich hab wieder Verknüpfung gelöscht und wieder erstellt, bringt alles nicht jetzt greift sie nicht mehr.

Hat da vielleicht die AD oder die Domäne irgendeinen Schuss?

Danke

NobbyausHB · 29. März 2007

Hallo,

da kommt wieder das beliebte Spiel mit DNS und WINS zum tragen.

Ist das alles super sauber?

Es könnte noch am Cache-Verhalten bei der Anmeldung liegen,
daran kann man ein bisschen tunen.

backdoor · 29. März 2007

Hallo,

ja ja, die Tücken der EDV > neee, spass bei seite.

Hast Du irgendwelche Einträge im Event-Log bezüglich der Replikation der DC's
Evtl (nur eine Idee) wird die Grppenrichtlinie nicht repliziert. Du hast Dich auf dem einen DC angemeldet, bei dem es funktioniert hat; danach, wie auch immer; wurdest Du auf dem anderen DC angemeldet

Wenn Dueine GPO bearbeitest, wird immer erst der PDC kontaktiert und die Änderung dort vorgenommen. Schau doch mal in der GPMC ob Du den DC ändern kannst auf dem Du die GPO bearbeitest. > Ganz obern auf RMT auf den Server und dann "mit Server verbinden
(bin nicht sicher ob es geht, im AD geht es )

DIe GPO's líegen im %Systempfad% Sysvol > dieser muss freigegeben sein > ist das so???

viper077 · 30. März 2007

Hi,

also funktioniert hat es nicht auf dem DC sondern auf dem Terminalserver. Die Idee ist nicht schlecht mit den DC's denn ich hab ganz vergessen dass wir einen zweiten DC im Einsatz haben. Der ist aber mehr oder weniger im Todesstadium (PIII 500 MHz muss ich noch was sagen) der wird von mir morgen eutanasiert :-D).

Aber ich weiss net was du mit RMT meinst. Ist es eigentlich richtig dass ich das Gruppenrichtlinien Snap-In auf dem Terminalserver eingebunden habe? oder sollte es auf dem DC sein? Habe ich schon erwähnt dass der DC ein SBS 2003 ist?

Ich danke euch

backdoor · 2. April 2007

Hallo,

sorry für die Späte Antwort, habe das schöne WE Wetter genossen

RMT > Rechte Maus Taste

Wo Du das Snap-In einbindest, ist eigentlich egal; habe es hier auch auf meiner Workstation.
Beim Starten der Console wird versucht der PDC zu erreichen um dort die Änderungen vorzunehmen.

Wenn Du die Console geöffnet hast und im linken Fenster auf "Domänen" klickst, siehst Du im rechten Fenster mit welchen DC du verbunden bist.

Wenn Du dann mit der RMT auf den DC klickst, kannst Du sagen "Domäincintroller ändern"
Schau mal nach, ob bei beiden die GPO eingetragen ist

viper077 · 10. April 2007

Hi, bis jetzt hat leider alles keinen Erfolg gehabt.

Der Stand soweit: Der zweite DC ist jetzt abgeschaltet also kann der nicht mehr dazwischenfunken (das Konto wird aber noch im AD geführt, soll ich das löschen?)

Ich liste jetzt einfach mal die Schritte auf, die ich gemacht hab. Vielleicht fällt euch da was auf was nicht richtig ist.

1. Erweiterte Verwaltung > bla bla > Gruppenrichtlinienobjekte
2. Neu > Gruppenrichtlinienobjekt > Name
3. Ein paar Einstellungen
4. Sicherheitsfilterung > Testgruppe
5. Status der Richtlinie > aktiv
6. Auf die OU wo der Terminalserver steckt RMT und "vorhandenes GPO verknüpfen" wählen
7. die gerade eben erstellte GP wählen und bestätigen

Danach gehe ich doch davon aus, dass die Einstellungen der Richtlinie auf allen Computern, die sich in der OU befinden, angewendet werden. Ist aber nicht so! :cry:

Ich bin jetzt echt am verzweifeln!

viper077 · 24. April 2007

Hi und sorry wenn ich nerve

aber ich habe noch immer das Problem nicht gelöst? Könnte mir jemand sagen ob die Schritte richtig sind?

Danke

backdoor · 24. April 2007

Hallo,

eigentlich hört sich das ganz gut an.

Geh doch mal in der GPMC ganz unten auf "Gruppenrichtlinienergebnisse" Dort kannst Du einen Assistenten ausführen und die Richtlinien prüfen

Führe den mal aus mit den Angaben des TS und dem User der sich am TS anmeldet.

backdoor · 24. April 2007

Mir ist da gerade noch was eingefallen.

Normalerweise müssen die User die die GPO bekommen sollen sich in der jeweiligen OU befinden.
Ich denke das ist bei Dir nicht so, da die User in Ihrer eigenen OU sind und nicht alle in der vom TS

Da Du den Loopback Modus aktiviert hast, denke ich das da der Hund begraben liegt.

Verknüpfe das GPO mit der Domäne und lass mal die Sicherheitsfilterung drinne (damit bekommen auch nur die User die Richtlinie)

Ich denke das sollte dann klappen

viper077 · 30. April 2007

Hi backdoor,

du hast recht die user sind nicht in der gleichen OU wie der Terminalserver. Es würde zwar funktionieren aber das Problem ist ja das ich gerade das verhindern will. Das heisst wenn sich User 1 auf den Rechner xy anmeldet darf er runterfahren usw. Aber wenn er sich auf dem Terminalserver anmeldet dann eben nicht.

Theoretisch ist ja mein Konzept soweit richtig aber es funktioniert einfach nicht. Ich hab schon mit mehreren Leuten darüber gesprochen und niemand hat eine Idee wo der Haken liegen könnte.

Deshalb nochmal der Appell an alle: hat vielleicht jemand oder kennt jemand ein guten how-to zu dem Thema Richtilinien und Terminalserver?

Danke Ciao

Teilen