2003 DC, Terminalserver, GPO
Hallo,
ich hoffe jemand kann mir bei einem Problem helfen:
ich habe einen windows 2003 dc und auf diesem auch die terminaldienste installiert (ich weiss das sollte man nicht, aber es geht um lediglich 5 workstations)
für die verwaltbarkeit arbeite ich mit gruppenrichtlinien, habe also diverse container innerhalb der ads und diese an gruppenrichtlinien festgemacht. innerhalb dieser container sind die benutzer verteilt. einige benutzer arbeiten lokal an der workstation und von zuhause per terminalzugriff auf dem server. das arbeiten von der lokalen ws soll mit allen berechtigungen und einstellungen weiterhin so funktionieren.
wenn sich die benutzer (mit ihrem auch lokalem anmeldenamen) per terminal auf dem server anmelden soll fast alles gesperrt werden. lediglich der zugriff auf 2 programme (welche auch den usernamen auslesen) soll möglich sein.
folgendermaßen bin ich bisher vorgegangen:
ein benutzer TerminalTemplate angelegt, dieser hat als terminaldiensteprofil das verzeichnis: \\server\terminalprofile$\template
diesen benutzer habe ich per gruppenrichtlinie alles verweigert was gewünscht war. wenn ich mich mit dem namen TerminalTemplate angemeldet habe, hat das auch wunderbar funktioniert.
nun habe ich bei benutzer1 den terminaldiensteprofilpfad angegeben:
\\server\terminalprofile$\TerminalUser
und auf dem Server per benutzerprofile das templateprofil in das TerminalUserprofil kopiert. Die Sicherheitseinstellungen des ordners habe ich auf alle Ternialbenutzer ollzugriff gesetzt.
wenn ich mich jetzt mit benutzer1 anmelde wird das voreingestellte profil auch genommen (also desktop, verknüpfungen etc..) allerdings die einschränkungen die vorher per gruppenrichtlineie auf das Template gegeben wurden ziehen nicht.
Nun eine Verständnisfrage. Wenn ich per Gruppenrichtline Benutzereinstellungen einschränke werden diese doch bei aktualisierung in dem Registryprofil des Benutzers eingestellt. Diese einstellungen liegen doch in der NTUser.dat, oder?
warum ziehen die nicht, wenn ich das profil also auch die ntuser dat kopiere ??
die umbennenung von ntuser.dat in ntuser.man habe ich auch vorgenommen, allerdings ohne erfolg, lediglich vorgenommene einstellungen des user werden nicht behalten.
hoffe jemand weiss rat, danke im voraus
Jetzt hab ichs doch noch hinbekommen......
Ersteinmal Danke an alle die meinen Beitrag beantwortet haben.
Ich habe das Problem nun doch mittels Loopbackverarbeitungsmodus realisiert.
Dann einzige was dabei zu beachten ist:
der Domänencontroller muss auf die Richtlinie leserechte besitzen (es gibt in der Gruppenrichtlinienverwaltung das Sicherheitsobjekt Domänencontroller)
anschliessend funktionierte es einwandfrei.
ich hoffe jemand kann mir bei einem Problem helfen:
ich habe einen windows 2003 dc und auf diesem auch die terminaldienste installiert (ich weiss das sollte man nicht, aber es geht um lediglich 5 workstations)
für die verwaltbarkeit arbeite ich mit gruppenrichtlinien, habe also diverse container innerhalb der ads und diese an gruppenrichtlinien festgemacht. innerhalb dieser container sind die benutzer verteilt. einige benutzer arbeiten lokal an der workstation und von zuhause per terminalzugriff auf dem server. das arbeiten von der lokalen ws soll mit allen berechtigungen und einstellungen weiterhin so funktionieren.
wenn sich die benutzer (mit ihrem auch lokalem anmeldenamen) per terminal auf dem server anmelden soll fast alles gesperrt werden. lediglich der zugriff auf 2 programme (welche auch den usernamen auslesen) soll möglich sein.
folgendermaßen bin ich bisher vorgegangen:
ein benutzer TerminalTemplate angelegt, dieser hat als terminaldiensteprofil das verzeichnis: \\server\terminalprofile$\template
diesen benutzer habe ich per gruppenrichtlinie alles verweigert was gewünscht war. wenn ich mich mit dem namen TerminalTemplate angemeldet habe, hat das auch wunderbar funktioniert.
nun habe ich bei benutzer1 den terminaldiensteprofilpfad angegeben:
\\server\terminalprofile$\TerminalUser
und auf dem Server per benutzerprofile das templateprofil in das TerminalUserprofil kopiert. Die Sicherheitseinstellungen des ordners habe ich auf alle Ternialbenutzer ollzugriff gesetzt.
wenn ich mich jetzt mit benutzer1 anmelde wird das voreingestellte profil auch genommen (also desktop, verknüpfungen etc..) allerdings die einschränkungen die vorher per gruppenrichtlineie auf das Template gegeben wurden ziehen nicht.
Nun eine Verständnisfrage. Wenn ich per Gruppenrichtline Benutzereinstellungen einschränke werden diese doch bei aktualisierung in dem Registryprofil des Benutzers eingestellt. Diese einstellungen liegen doch in der NTUser.dat, oder?
warum ziehen die nicht, wenn ich das profil also auch die ntuser dat kopiere ??
die umbennenung von ntuser.dat in ntuser.man habe ich auch vorgenommen, allerdings ohne erfolg, lediglich vorgenommene einstellungen des user werden nicht behalten.
hoffe jemand weiss rat, danke im voraus
erweitert:
jatzt habe ich das mit dem loopbackmodus gelesen und getestet aber die benutzereinstellungen werden nicht genommen. liegts an dem dc ?Jetzt hab ichs doch noch hinbekommen......
Ersteinmal Danke an alle die meinen Beitrag beantwortet haben.
Ich habe das Problem nun doch mittels Loopbackverarbeitungsmodus realisiert.
Dann einzige was dabei zu beachten ist:
der Domänencontroller muss auf die Richtlinie leserechte besitzen (es gibt in der Gruppenrichtlinienverwaltung das Sicherheitsobjekt Domänencontroller)
anschliessend funktionierte es einwandfrei.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 44974
Url: https://administrator.de/forum/2003-dc-terminalserver-gpo-44974.html
Ausgedruckt am: 23.12.2024 um 15:12 Uhr
8 Kommentare
Neuester Kommentar
Hi,
hast du deinen TemplateUser und den Benutzer in der gleichen OU?
TIP: Du kannst sonst auch über die GPMC eine Verknüpfung bei Domänen-Controller auf das GPO machen und in den Sicherheitseinstellungen für Administratoren die Gruppenrichtlinie auf Verweigern stellen. So kannst du verhindern, das auch die Admin Accounts das GPO übernehmen. Und stellst sicher, das die Einschränkungen nur für User auf dem TS gelten. Der "Loopback Verarbeitungsmodus" sollte imho ebenfalls aktiviert werden..
mfg
Schnitzelchen
hast du deinen TemplateUser und den Benutzer in der gleichen OU?
TIP: Du kannst sonst auch über die GPMC eine Verknüpfung bei Domänen-Controller auf das GPO machen und in den Sicherheitseinstellungen für Administratoren die Gruppenrichtlinie auf Verweigern stellen. So kannst du verhindern, das auch die Admin Accounts das GPO übernehmen. Und stellst sicher, das die Einschränkungen nur für User auf dem TS gelten. Der "Loopback Verarbeitungsmodus" sollte imho ebenfalls aktiviert werden..
mfg
Schnitzelchen
Du solltest die Richtlinie auf die OU anwenden, in der der TS liegt
diese gruppenrichtlinie für terminal
gilt nur für den template user. wenn ich
sie für alle terminalbenutzer festlege
könnte keiner mehr an den normalen
workstation vernünftig arbeiten.
gilt nur für den template user. wenn ich
sie für alle terminalbenutzer festlege
könnte keiner mehr an den normalen
workstation vernünftig arbeiten.
Das stimmt so nicht, da die Gruppenrichtlinie nur für die gilt, die sich in der OU befinden (der DC/WTS) und auf alle anderen nicht! Die Ausnahme ist die Definition des Loopbackmodus, der sich dann auf alle Benutzer bezieht, die sich an auf PC/WTS in dieser OU anmelden.
Also: Gruppenrichtlinie mittels GPMC erstellen, mit der Ou Domänencontroller verknüpfen, am besten bei den Domänen-Admins die Gruppenrichtlinie auf verweigern stellen (damit du als Administrator den Einschränkungen nicht unterliegst) und nochmal kontrollieren ob der Loopback Verarbeitungmodus aktiviert ist.
Nicht vergessen ein gpupdate /force durchzuführen und ein klein bischen zu warten
Das hat auch nichts damit zu tun ob du mit oder ohne mandatory profiles arbeitest.
mfg
Schnitzelchen