10
Eigene GPO am Terminalserver für bestimmte User (Loopback)
Hallo zusammen,
ich habe endlos viele Threads zu diesem Thema in den unterschiedlichsten Foren gelesen aber ich bekomme es nicht hin.
Szenario:
Windows 2008 Domäne mit 2 DCs (2008 R2). Ein Mitgliedsserver mit Terminalserveraufsatz (Windows 2008).
Auf diesen Terminalserver sollen jetzt hin und wieder "Fremde" via VPN zugreifen. Die sollen natürlich extrem eingeschränkt werden.
Ich habe in der Domäne im Container "Users" eine neue Benutzergruppe "RDP-extern" angelegt und diese externen User dort hinein gepackt.
Diese Gruppe ist Mitglied der lokalen Gruppe "Remotedesktopbenutzer" am Terminalserver.
Die technischen Voraussetzungen (VPN, Anmeldung via RDP am Terminalserver) funktionieren.
Ich habe daher eine neue GPO auf einem der DCs erstellt (Loopback aktiviert).
Ich habe den Terminalserver in eine eigene OU verschoben und mit der neuen GPO verknüpft.
Ich schaffe es jetzt aber nicht, dass diese GPO auf die User angewendet wird.
Wenn ich die GPO am Server simuliere zeigt sich, dass sie auf den Terminalserver angewendet wird.
Die Benutzer der Gruppe "RDP-extern" nutzen jedoch nach wie vor die allgemeine GPO.
Wo habe ich etwas vergessen?
Ich steh auf dem Schlauch ...
Besten Dank für jeden Hinweis
Joachim
ich habe endlos viele Threads zu diesem Thema in den unterschiedlichsten Foren gelesen aber ich bekomme es nicht hin.
Szenario:
Windows 2008 Domäne mit 2 DCs (2008 R2). Ein Mitgliedsserver mit Terminalserveraufsatz (Windows 2008).
Auf diesen Terminalserver sollen jetzt hin und wieder "Fremde" via VPN zugreifen. Die sollen natürlich extrem eingeschränkt werden.
Ich habe in der Domäne im Container "Users" eine neue Benutzergruppe "RDP-extern" angelegt und diese externen User dort hinein gepackt.
Diese Gruppe ist Mitglied der lokalen Gruppe "Remotedesktopbenutzer" am Terminalserver.
Die technischen Voraussetzungen (VPN, Anmeldung via RDP am Terminalserver) funktionieren.
Ich habe daher eine neue GPO auf einem der DCs erstellt (Loopback aktiviert).
Ich habe den Terminalserver in eine eigene OU verschoben und mit der neuen GPO verknüpft.
Ich schaffe es jetzt aber nicht, dass diese GPO auf die User angewendet wird.
Wenn ich die GPO am Server simuliere zeigt sich, dass sie auf den Terminalserver angewendet wird.
Die Benutzer der Gruppe "RDP-extern" nutzen jedoch nach wie vor die allgemeine GPO.
Wo habe ich etwas vergessen?
Ich steh auf dem Schlauch ...
Besten Dank für jeden Hinweis
Joachim
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 162908
Url: https://administrator.de/contentid/162908
Ausgedruckt am: 26.11.2024 um 01:11 Uhr
10 Kommentare
Neuester Kommentar
Hi,
RDP-extern ist Mitglied er Gruppe Domain-User und Domain-user ist Mitglied der lokalen User-Gruppe auf dem Terminal?
Gruß
RDP-extern ist Mitglied er Gruppe Domain-User und Domain-user ist Mitglied der lokalen User-Gruppe auf dem Terminal?
Gruß
"RDP-extern" befindet sich im Container "Users" in der Domäne.
Unter den Eigenschaften dieser Gruppe => "Mitglied von" steht dann nichts drin.
"RDP-extern" ist Mitglied der lokalen User-Gruppe auf dem TS.
Habe ich hier irgendwas übersehen?
Unter den Eigenschaften dieser Gruppe => "Mitglied von" steht dann nichts drin.
"RDP-extern" ist Mitglied der lokalen User-Gruppe auf dem TS.
Habe ich hier irgendwas übersehen?
Was loopback ist weißt du aber?
Hast du merge oder replace eingestellt?
Gruß
Rolf
Hast du merge oder replace eingestellt?
Gruß
Rolf
Hallo Rolf,
"loopback" ist so weit ich das jetzt glaube verstanden zu haben dazu da, um eben genau solche Computer wie einen Terminalserver abzusperren.
Ich habe "replace" eingestellt.
Viele Grüße
Joachim
"loopback" ist so weit ich das jetzt glaube verstanden zu haben dazu da, um eben genau solche Computer wie einen Terminalserver abzusperren.
Ich habe "replace" eingestellt.
Viele Grüße
Joachim
Ja,
Du hast also nur loopback eingestellt - sonst nichts oder wie?
Du hast also nur loopback eingestellt - sonst nichts oder wie?
Hallo Rolf,
ich habe in der neuen GPO neben "loopback" so ziemlich alles was die Benutzer- und Computereinstellungen angeht restriktiv eingestellt.
Im Prinzp darf der angemeldete Benutzer nichts mehr ausser sich anmelden, die Verknüpfungen auf dem Desktop nutzen und sich wieder abmelden.
Ohne eine weitere Einstellung neben "loopback" würde die GPO ja gar nicht angewendet werden.
Die Simulation zeigt ja auch, dass die GPO eigentlich funktionieren würde.
Nur angewendet wird sie nicht.
Viele Grüße
Joachim
ich habe in der neuen GPO neben "loopback" so ziemlich alles was die Benutzer- und Computereinstellungen angeht restriktiv eingestellt.
Im Prinzp darf der angemeldete Benutzer nichts mehr ausser sich anmelden, die Verknüpfungen auf dem Desktop nutzen und sich wieder abmelden.
Ohne eine weitere Einstellung neben "loopback" würde die GPO ja gar nicht angewendet werden.
Die Simulation zeigt ja auch, dass die GPO eigentlich funktionieren würde.
Nur angewendet wird sie nicht.
Viele Grüße
Joachim
..kann eigentlich nur ein Berechtigungsproblem sein.....
mach mal ein test:
Deaktiviere die GPO.
Aktiviere LOKAL am TS die Loopback unter Computereinstellungen der LocalPolicy.
Blende z.b. die Desktopicons aus.
Login mit irgend einem User.
Funktioniert das?
schau mal hier:
http://www.virtualizationadmin.com/articles-tutorials/terminal-services ...
mach mal ein test:
Deaktiviere die GPO.
Aktiviere LOKAL am TS die Loopback unter Computereinstellungen der LocalPolicy.
Blende z.b. die Desktopicons aus.
Login mit irgend einem User.
Funktioniert das?
schau mal hier:
http://www.virtualizationadmin.com/articles-tutorials/terminal-services ...
Hallo und sorry dass ich so lange nicht geantwortet habe.
Ich kam erst jetzt dazu das zu testen.
Wenn ich in der lokalen GPO des Terminalservers den Loopback aktiviere und etwas umstelle funktioniert es.
Über die Domänen GPO funktioniert es nach wie vor nicht.
Ich habe keine Ahnung mehr was ich noch alles versuchen könnte.
Besten Dank
Joachim
Ich kam erst jetzt dazu das zu testen.
Wenn ich in der lokalen GPO des Terminalservers den Loopback aktiviere und etwas umstelle funktioniert es.
Über die Domänen GPO funktioniert es nach wie vor nicht.
Ich habe keine Ahnung mehr was ich noch alles versuchen könnte.
Besten Dank
Joachim
Hi,
das ganze kann durch verschiedenste Dinge verursachen werden.
Versuch mal Folgendes:
Erstelle ein OU!! Terminalserver und verschiebe den TS in diese OU.
Erstelle eine GPO: Loopback, aktiviere Loopback und ein zwei weitere offensichtliche Einstellungen in der Richtlinie und verknüpfe diese GPO mit der OU Terminalserver.
Erstelle eine OU!! EXTERNE.
Mache deine RDP-extern Gruppe zu Domain-Usern (Mitglied)
Verschiebe deine RDP-extern-gruppe in die OU EXTERNE
Sollte eigentlich gehen.
das ganze kann durch verschiedenste Dinge verursachen werden.
Versuch mal Folgendes:
Erstelle ein OU!! Terminalserver und verschiebe den TS in diese OU.
Erstelle eine GPO: Loopback, aktiviere Loopback und ein zwei weitere offensichtliche Einstellungen in der Richtlinie und verknüpfe diese GPO mit der OU Terminalserver.
Erstelle eine OU!! EXTERNE.
Mache deine RDP-extern Gruppe zu Domain-Usern (Mitglied)
Verschiebe deine RDP-extern-gruppe in die OU EXTERNE
Sollte eigentlich gehen.
Hallo Rolf,
ich habe das (meiner Meinung nach) bereits vorher schon so gemacht und da hat es nicht funktioniert.
Ich habe jetzt alles nochmals von vorn Schritt für Schritt eingerichtet und jetzt funktioniert es.
Besten Dank und viele Grüße
Joachim
ich habe das (meiner Meinung nach) bereits vorher schon so gemacht und da hat es nicht funktioniert.
Ich habe jetzt alles nochmals von vorn Schritt für Schritt eingerichtet und jetzt funktioniert es.
Besten Dank und viele Grüße
Joachim
