14
User können Terminalserver trotz GPO herunterfahren
Guten Morgen,
ich habe bei uns im Betrieb ein eigenartiges Problem. Umgebung ist die folgende: Wir haben einen Domaincontroller (Server 2016) und einen Terminalserver (ebenfalls 2016).
Damit die User letzteren nicht herunterfahren können, habe ich ein GPO erstellt. In diesem Objekt habe ich unter Computerkonfiguration > Richtlinien > Sicherheitseinstellungen > Lokale Richtlinien / Zuweisen von Benutzerrechten die Richtlinie "Herunterfahren des Systems" so eingestellt, dass nur Administratoren hierfür berechtigt sind. Bei der Sicherheitsfilterung habe ich den Terminalserver eingetragen, denn nur für diesen soll das GPO ja gelten.
Das funktioniert aber leider nicht. Der Server wurde zwar neu gestartet und zieht sich die Richtlinie, aber die angemeldeten User könnten das Gerät weiterhin herunterfahren. Ich habe mir überlegt, ob ich evtl. noch die User bei der Sicherheitsfilterung eintragen muss, aber ich vermute mal, dann könnten sie ihre lokalen Clients auch nicht mehr herunterfahren, oder?
Bin für jeden Tip dankbar. ;)
Beste Grüße, freenode.
ich habe bei uns im Betrieb ein eigenartiges Problem. Umgebung ist die folgende: Wir haben einen Domaincontroller (Server 2016) und einen Terminalserver (ebenfalls 2016).
Damit die User letzteren nicht herunterfahren können, habe ich ein GPO erstellt. In diesem Objekt habe ich unter Computerkonfiguration > Richtlinien > Sicherheitseinstellungen > Lokale Richtlinien / Zuweisen von Benutzerrechten die Richtlinie "Herunterfahren des Systems" so eingestellt, dass nur Administratoren hierfür berechtigt sind. Bei der Sicherheitsfilterung habe ich den Terminalserver eingetragen, denn nur für diesen soll das GPO ja gelten.
Das funktioniert aber leider nicht. Der Server wurde zwar neu gestartet und zieht sich die Richtlinie, aber die angemeldeten User könnten das Gerät weiterhin herunterfahren. Ich habe mir überlegt, ob ich evtl. noch die User bei der Sicherheitsfilterung eintragen muss, aber ich vermute mal, dann könnten sie ihre lokalen Clients auch nicht mehr herunterfahren, oder?
Bin für jeden Tip dankbar. ;)
Beste Grüße, freenode.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 592030
Url: https://administrator.de/contentid/592030
Printed on: April 18, 2024 at 00:04 o'clock
14 Comments
Latest comment
Moin,
was steht denn derzeit bei der Sicherheitsfilterung?
Die User müssen zumindest lese berechtigt sein.
Gruß
Spirit
was steht denn derzeit bei der Sicherheitsfilterung?
Die User müssen zumindest lese berechtigt sein.
Gruß
Spirit
Moin.
Deine User scheinen lokale Admins zu sein. Schon per Default können normale User keine Server runterfahren - für die Einschränkung braucht es keine Richtlinie! Siehe https://docs.microsoft.com/en-us/windows/security/threat-protection/secu ...
@soe
Deine User scheinen lokale Admins zu sein. Schon per Default können normale User keine Server runterfahren - für die Einschränkung braucht es keine Richtlinie! Siehe https://docs.microsoft.com/en-us/windows/security/threat-protection/secu ...
@soe
was steht denn derzeit bei der Sicherheitsfilterung?
Die User müssen zumindest lese berechtigt sein.
Nee, das verwechselst Du. Dies ist eine Computer-GPO, keine User-GPO - hier brauchen User keine Leserechte.Die User müssen zumindest lese berechtigt sein.
... jeder sollte hier entweder Authentifizierte Benutzer, bzw. Domain-Computers mit Lese- und Richtlinie anwenden konfiguriert sein.
Zitat von @DerWoWusste:
Moin.
Deine User scheinen lokale Admins zu sein. Schon per Default können normale User keine Server runterfahren - für die Einschränkung braucht es keine Richtlinie! Siehe https://docs.microsoft.com/en-us/windows/security/threat-protection/secu ...
@soe
Moin.
Deine User scheinen lokale Admins zu sein. Schon per Default können normale User keine Server runterfahren - für die Einschränkung braucht es keine Richtlinie! Siehe https://docs.microsoft.com/en-us/windows/security/threat-protection/secu ...
@soe
was steht denn derzeit bei der Sicherheitsfilterung?
Die User müssen zumindest lese berechtigt sein.
Nee, das verwechselst Du. Dies ist eine Computer-GPO, keine User-GPO - hier brauchen User keine Leserechte.Die User müssen zumindest lese berechtigt sein.
Ja stimmt, das war noch vor dem ersten Kaffee.
Moin,
wie DWW schon sagte: offensichtlich hast Du den Server oder die User-Einstellungen vermurkst. Per default darf kein normaler User Server herunterfahren. Das dürfen nur Admins.
Also erstmal allen Usern die Berechtigung als Admin auf dem Terminalserver wegnehmen.
lks
wie DWW schon sagte: offensichtlich hast Du den Server oder die User-Einstellungen vermurkst. Per default darf kein normaler User Server herunterfahren. Das dürfen nur Admins.
Also erstmal allen Usern die Berechtigung als Admin auf dem Terminalserver wegnehmen.
lks
Hi,
danke schon mal für eure Antworten. Ich habs eben mal geprüft, die User haben keine Adminrechte auf dem Server. Mir ist eben noch eingefallen, dass evtl. eine andere GPO dafür verantwortlich sein könnte. Hierzu muss ich aber ein bisschen weiter ausholen:
Wir sind am Wochenende mit allen Geräten auf eine neue Domain umgezogen. Am Montag habe ich dann bemerkt, dass die User mit lokalen Clients (sind die wenigsten, die allermeisten arbeiten mit Thinclients auf dem Terminalserver) ihre Geräte nicht mehr herunterfahren können. Daraufhin habe ich folgendes GPO erstellt:
Computerkonfiguration > Richtlinien > Windows-Einstellungen > Lokale Richtlinien / Zuweisen von Benutzerrechten > Herunterfahren des Systems aktiviert für alle Domänenbenutzer.
Könnte es sein, dass diese GPO das Standardsetting auf dem Terminalserver von dem ihr erzählt habt überschreibt? Und wenn ja, wie kann ich den TS von der GPO ausschließen?
Danke vorab!
danke schon mal für eure Antworten. Ich habs eben mal geprüft, die User haben keine Adminrechte auf dem Server. Mir ist eben noch eingefallen, dass evtl. eine andere GPO dafür verantwortlich sein könnte. Hierzu muss ich aber ein bisschen weiter ausholen:
Wir sind am Wochenende mit allen Geräten auf eine neue Domain umgezogen. Am Montag habe ich dann bemerkt, dass die User mit lokalen Clients (sind die wenigsten, die allermeisten arbeiten mit Thinclients auf dem Terminalserver) ihre Geräte nicht mehr herunterfahren können. Daraufhin habe ich folgendes GPO erstellt:
Computerkonfiguration > Richtlinien > Windows-Einstellungen > Lokale Richtlinien / Zuweisen von Benutzerrechten > Herunterfahren des Systems aktiviert für alle Domänenbenutzer.
Könnte es sein, dass diese GPO das Standardsetting auf dem Terminalserver von dem ihr erzählt habt überschreibt? Und wenn ja, wie kann ich den TS von der GPO ausschließen?
Danke vorab!
Du scheinst unsicher, wie Du das prüfen kannst.
Öffne eine Kommandozeile (elevated) am TS und starte dort
In der erscheinenden Website kannst Du ablesen, welche Policy da was gesetzt hat.
Öffne eine Kommandozeile (elevated) am TS und starte dort
gpresult /h %temp%\result.html /f & %temp%\result.html
Danke, das hat mir schon mal weiter geholfen. Ich sehe hier, dass die Richtlinie "Herunterfahren des Systems" für Domänenbenutzer auch auf dem Terminalserver greift.
Jetzt die Frage: Wie kann ich diesen von einer GP ausschließen? Das GPO an sich hat in der Sicherheitsfilterung nur Athentifizierte Benutzer eingetragen.
Jetzt die Frage: Wie kann ich diesen von einer GP ausschließen? Das GPO an sich hat in der Sicherheitsfilterung nur Athentifizierte Benutzer eingetragen.
Wenn Du die GPO, welche es für den TS unpassend einstellt, nimmst, und in der Sicherheitsfilterung der GPO dem Computerkonto des TS das "apply GPO" (GPO anwenden) verweigerst, bist Du am Ziel (danach auf dem TS ein gpupdate machen und dann erneut mit dem letzten Kommando prüfen).
Es ist jedoch besser, gar nicht mit denials zu arbeiten und schon von jeher zu überlegen, ob nicht Server andere GPOs bekommen sollten als Clients. Daraus entsteht dann meist der Ansatz, (mindestens) 2 OUs mit Rechnern zu haben ("Server", "Clients"), auf die dann verschiedene Sets von GPOs verlinkt werden.
Es ist jedoch besser, gar nicht mit denials zu arbeiten und schon von jeher zu überlegen, ob nicht Server andere GPOs bekommen sollten als Clients. Daraus entsteht dann meist der Ansatz, (mindestens) 2 OUs mit Rechnern zu haben ("Server", "Clients"), auf die dann verschiedene Sets von GPOs verlinkt werden.
1
Hat alles geklappt, vielen Danl für die Hilfe!
Und du hast Recht, das mit den verschiedenen GPOs macht schon Sinn. Habe direkt angefangen, eine eigene für Server zu bauen.
Und du hast Recht, das mit den verschiedenen GPOs macht schon Sinn. Habe direkt angefangen, eine eigene für Server zu bauen.
Für Terminalserver (Benutzerrichtlinien) gibt es den Loopback-Verarbeitungsmodus: https://www.gruppenrichtlinien.de/artikel/remote-desktop-server-terminal ...
Ist mir mittlerweile aber zu umständlich. Ich missbrauche dafür GPPs mit Zielgruppenadressierung
Ist mir mittlerweile aber zu umständlich. Ich missbrauche dafür GPPs mit Zielgruppenadressierung
eh nicht anwendbar, da eine Computerrichtlinie.
Warum nicht?
Erstellst eine Computer-GPP mit der Bedingung Computername != Terminalserver
Erstellst eine Computer-GPP mit der Bedingung Computername != Terminalserver
Den Loopbackmodus meine ich. Da schreibst Du "...zu umständlich" und ich dazu "eh nicht anwendbar".
GPP: ja, ist anwendbar.
GPP: ja, ist anwendbar.
