GPO auf Terminalserver 2008 (kein R2) greifen nicht oder nicht richtig
Ich editiere eine von mir erstellte GPO und erfahre keine Änderungen...
Edit, 10.10.2011, 15:37 Uhr: Fehler wurde eingegrenzt >> GPO auf Terminalserver 2008 (kein R2) greifen nicht oder nicht richtig
Hallo Spezialisten-Team,
ich schildere mal Hintergrund meiner Vorgehensweise und was ich alles eingerichtet habe für folgendes Problem, was mich fast wahnsinnig macht:
Ich habe einen Terminalserver auf ESXi aufgesetzt. Windows Server 2008 Standard.
Nun möchte ich per GPO meine User ein wenig einschränken. Dazu bin ich wie folgt vorgegangen:
Terminalserver = RA-TS-2008
Domaincontroller = DMC
Ich habe zu allererst auf dem RA-TS-2008 > gpedit.msc (Lokaler Gruppenrichtlinien-Editor) > Computerkonfiguration > Administrative Vorlagen > System > Gruppenrichtlinie > Loopbackverarbeitungsmodus für Benutzergruppenrichtlinie aktiviert (an der Stelle bin ich schon unsicher, ob ich das auf dem TS habe machen sollen, oder im Gruppenrichtlinienverwaltungs-Editor für die erstellte GPO auf dem Domaincontroller)
Dann bin ich auf den DMC gegangen und habe die restlichen Einstellungen nur noch da vorgenommen (siehe zunächst Screenshot ganz unten im Beitrag):
DMC > gpmc.msc (Gruppenrichtlinienverwaltung):
GPO "TS 2008" erstellt.
Die GPO habe ich unter MyBusiness > Computers > SBSServers verknüpft.
Der RA-TS-2008 ist in der AD natürlich auch unter SBSServers aufgeführt.
Der GPO habe ich die Gruppe "RDP-Users (neuer TS)" unterstellt. Das ist die Gruppe, die für die Anmeldung am Terminalserver berechtigt ist und mein Administrationskonto wird nicht angetastet.
Und nun sollte der Rest doch vollends klar sein: In meinen Gruppenrichtlinienobjekten mache ich einen Rechtsklick auf "TS 2008" und wähle "Bearbeiten..." aus. Nun öffnet sich der Gruppenrichtlinienverwaltungs-Editor. In diesem bearbeite ich Computer- und Benutzerkonfiguration nach sinnvollem Bedarf und Belieben (warum gibt es manche Dinge NUR in Computerkonfiguration und mach nur in Benutzer. Warum manche doppelt?).
Warum werden meine Einstellungen nicht übernommen (auch nicht mit gpupdate /force)?
Beispiel: Gruppenrichtlinienverwaltungs-Editor > Computerkonfiguration > Richtlinien >Administrative Vorlagen: Vom lokalen Computer abgerufene Richtliniendefinitionen (ADMX-Dateien) [was auch immer das heißen mag] > Windows-Komponenten > Internet Explorer > Seitenzoomfunktion deaktivieren > aktiviert. Ich kann zoomen wie ich will, entweder übers Menü oder über STRG + Mausrad...
Oder das verhindern des Aufrufens des Task-Managers (Benutzerkonfiguration > STRG+ALT+ENTF (Optionen) [Warum ist das nicht in der Computerkonfiguration zu finden?]. Lässt sich nach wie vor Aufrufen... Sowohl über die Tastenkombi als auch über Rechtsklick Taskleiste...
Für mich stellt sich nun die Frage ob ich was übersehen / vergessen habe, was falsch gemacht habe oder Ihr sonstige Hints und Tipps habt?
Weiter wäre es nice einen Kniff zu bekommen wie ich den Gruppenrichtlinienverwaltungseditor nach was durchsuchen kann. Oft suche ich (z.B. Task Manager) nach etwas, das ich den Usern sperren / vorenthalten will und muss mich mühsamst durch alle GPOs kämpfen bis ich das gesuchte finde. Gibts ne Infosite die sozusagen die GPOs besser darstellt, dass ein Anfänger damit klar kommt?
Und noch was was mich interessiert: Der Loopbackverarbeitungsmodus. Er stellt sicher, dass bei den betreffenden Usern die Computerkonfiguration NACH der Benutzerkonfiguration geladen wird. Was bringt mir das aber, wenn ich Einstellungen in der Benutzerkonfiguration dahingehend ändern kann im Terminalserver "Lokaler Gruppenrichtlinieneditor" - da hätte ich doch meine Verwaltungsmöglichkeit für den User, oder denk ich zu weit ums Eck?
Nun der Screenshot:
Danke im Voraus für Eure Antworten
Vince
Edit, 10.10.2011, 15:37 Uhr: Fehler wurde eingegrenzt >> GPO auf Terminalserver 2008 (kein R2) greifen nicht oder nicht richtig
Hallo Spezialisten-Team,
ich schildere mal Hintergrund meiner Vorgehensweise und was ich alles eingerichtet habe für folgendes Problem, was mich fast wahnsinnig macht:
Ich habe einen Terminalserver auf ESXi aufgesetzt. Windows Server 2008 Standard.
Nun möchte ich per GPO meine User ein wenig einschränken. Dazu bin ich wie folgt vorgegangen:
Terminalserver = RA-TS-2008
Domaincontroller = DMC
Ich habe zu allererst auf dem RA-TS-2008 > gpedit.msc (Lokaler Gruppenrichtlinien-Editor) > Computerkonfiguration > Administrative Vorlagen > System > Gruppenrichtlinie > Loopbackverarbeitungsmodus für Benutzergruppenrichtlinie aktiviert (an der Stelle bin ich schon unsicher, ob ich das auf dem TS habe machen sollen, oder im Gruppenrichtlinienverwaltungs-Editor für die erstellte GPO auf dem Domaincontroller)
Dann bin ich auf den DMC gegangen und habe die restlichen Einstellungen nur noch da vorgenommen (siehe zunächst Screenshot ganz unten im Beitrag):
DMC > gpmc.msc (Gruppenrichtlinienverwaltung):
GPO "TS 2008" erstellt.
Die GPO habe ich unter MyBusiness > Computers > SBSServers verknüpft.
Der RA-TS-2008 ist in der AD natürlich auch unter SBSServers aufgeführt.
Der GPO habe ich die Gruppe "RDP-Users (neuer TS)" unterstellt. Das ist die Gruppe, die für die Anmeldung am Terminalserver berechtigt ist und mein Administrationskonto wird nicht angetastet.
Und nun sollte der Rest doch vollends klar sein: In meinen Gruppenrichtlinienobjekten mache ich einen Rechtsklick auf "TS 2008" und wähle "Bearbeiten..." aus. Nun öffnet sich der Gruppenrichtlinienverwaltungs-Editor. In diesem bearbeite ich Computer- und Benutzerkonfiguration nach sinnvollem Bedarf und Belieben (warum gibt es manche Dinge NUR in Computerkonfiguration und mach nur in Benutzer. Warum manche doppelt?).
Warum werden meine Einstellungen nicht übernommen (auch nicht mit gpupdate /force)?
Beispiel: Gruppenrichtlinienverwaltungs-Editor > Computerkonfiguration > Richtlinien >Administrative Vorlagen: Vom lokalen Computer abgerufene Richtliniendefinitionen (ADMX-Dateien) [was auch immer das heißen mag] > Windows-Komponenten > Internet Explorer > Seitenzoomfunktion deaktivieren > aktiviert. Ich kann zoomen wie ich will, entweder übers Menü oder über STRG + Mausrad...
Oder das verhindern des Aufrufens des Task-Managers (Benutzerkonfiguration > STRG+ALT+ENTF (Optionen) [Warum ist das nicht in der Computerkonfiguration zu finden?]. Lässt sich nach wie vor Aufrufen... Sowohl über die Tastenkombi als auch über Rechtsklick Taskleiste...
Für mich stellt sich nun die Frage ob ich was übersehen / vergessen habe, was falsch gemacht habe oder Ihr sonstige Hints und Tipps habt?
Weiter wäre es nice einen Kniff zu bekommen wie ich den Gruppenrichtlinienverwaltungseditor nach was durchsuchen kann. Oft suche ich (z.B. Task Manager) nach etwas, das ich den Usern sperren / vorenthalten will und muss mich mühsamst durch alle GPOs kämpfen bis ich das gesuchte finde. Gibts ne Infosite die sozusagen die GPOs besser darstellt, dass ein Anfänger damit klar kommt?
Und noch was was mich interessiert: Der Loopbackverarbeitungsmodus. Er stellt sicher, dass bei den betreffenden Usern die Computerkonfiguration NACH der Benutzerkonfiguration geladen wird. Was bringt mir das aber, wenn ich Einstellungen in der Benutzerkonfiguration dahingehend ändern kann im Terminalserver "Lokaler Gruppenrichtlinieneditor" - da hätte ich doch meine Verwaltungsmöglichkeit für den User, oder denk ich zu weit ums Eck?
Nun der Screenshot:
Danke im Voraus für Eure Antworten
Vince
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 174283
Url: https://administrator.de/forum/gpo-auf-terminalserver-2008-kein-r2-greifen-nicht-oder-nicht-richtig-174283.html
Ausgedruckt am: 23.12.2024 um 01:12 Uhr
20 Kommentare
Neuester Kommentar
Hi Vince,
Ich habe zu allererst auf dem RA-TS-2008 > gpedit.msc (Lokaler Gruppenrichtlinien-Editor) > Computerkonfiguration > Administrative Vorlagen > System > >Gruppenrichtlinie
Loopbackverarbeitungsmodus für Benutzergruppenrichtlinie aktiviert (an der Stelle bin ich schon unsicher, ob ich das auf dem TS habe machen >sollen, oder im
Gruppenrichtlinienverwaltungs-Editor für die erstellte GPO auf dem Domaincontroller)
Bemerkung und Empfehlung:
1. Ich würde empfehlen immer auf dem Domaincontroller die GPO zu erstellen, außer gewisse Funktionen darf der lokale Administrator nicht machen (warum auch immer).
2. Für jede Einstellung eine seperate GPO mit einer guten Namenskonvention.
2.1 als Beispiel: TS_lokal_no_TaskMGR usw..; hier wird der Taskmanager ausgeschaltet.
3. Mache eine neue OU (Organisationsunit bzw Organisationeinheit) und dann verlinke alle die GPO mit der OU und aktiviere sie. Das geht gut mit dem Gruppenrichtlinieneditor.
4. Allgemeiner Grundsatz: Erst deaktivieren -> dann löschen! ( Gerade IPSEC - kann es zu bösen Überraschungen kommen!
Gruss
Holli
Ich habe zu allererst auf dem RA-TS-2008 > gpedit.msc (Lokaler Gruppenrichtlinien-Editor) > Computerkonfiguration > Administrative Vorlagen > System > >Gruppenrichtlinie
Loopbackverarbeitungsmodus für Benutzergruppenrichtlinie aktiviert (an der Stelle bin ich schon unsicher, ob ich das auf dem TS habe machen >sollen, oder im
Gruppenrichtlinienverwaltungs-Editor für die erstellte GPO auf dem Domaincontroller)
Bemerkung und Empfehlung:
1. Ich würde empfehlen immer auf dem Domaincontroller die GPO zu erstellen, außer gewisse Funktionen darf der lokale Administrator nicht machen (warum auch immer).
2. Für jede Einstellung eine seperate GPO mit einer guten Namenskonvention.
2.1 als Beispiel: TS_lokal_no_TaskMGR usw..; hier wird der Taskmanager ausgeschaltet.
3. Mache eine neue OU (Organisationsunit bzw Organisationeinheit) und dann verlinke alle die GPO mit der OU und aktiviere sie. Das geht gut mit dem Gruppenrichtlinieneditor.
4. Allgemeiner Grundsatz: Erst deaktivieren -> dann löschen! ( Gerade IPSEC - kann es zu bösen Überraschungen kommen!
Gruss
Holli
Moin Moin
Ich kann natürlich nicht erkenne welche Member iese Gruppe hat, aber solte der Name geschickt gewählt sein enthält sie wohl nur User.
Damit würde diese GPO für den TS nicht greifen.
Um die Verwirrung nicht noch weiter zu Steigern würde ich dir raten dir dieses HowTo mal anzutun.
Gruß L.
Diese GPO ist auf den Terminalserver verknüpft. Wo kann der Fehlerteufel liegen?
Ist das so? Aus deinem ScreenShot entnehme ich das die GPO TS2008 auf eine Gruppe RDP Users beschränkt ist.Ich kann natürlich nicht erkenne welche Member iese Gruppe hat, aber solte der Name geschickt gewählt sein enthält sie wohl nur User.
Damit würde diese GPO für den TS nicht greifen.
Um die Verwirrung nicht noch weiter zu Steigern würde ich dir raten dir dieses HowTo mal anzutun.
Gruß L.
Moin
wie wohl auch schon Logan angedeutet hat, ist die Lösung für das Problem denkbar einfach. Du hast zwar die Übernahme der Richtlinie für die Benutzer freigegeben. Den Server selbst hast du aber ausgelassen. Füge den der Richtlinie hinzu und du bist ein gutes Stück weiter.
Ansonsten sehe ich, dass du den Server in der OU SBS-Servers plaziert hast. Ganz schlechte Variante... Erstelle für diene Terminalsever eine eigene Organisationeinheit und verknüpfe dort die für den Terminalserver erstellte Richtlinie. Wenn du dann auch noch die Loopbackverarbeitung aktiviert hast, sollte alles einwandfrei funktionieren
Gruß
wie wohl auch schon Logan angedeutet hat, ist die Lösung für das Problem denkbar einfach. Du hast zwar die Übernahme der Richtlinie für die Benutzer freigegeben. Den Server selbst hast du aber ausgelassen. Füge den der Richtlinie hinzu und du bist ein gutes Stück weiter.
Ansonsten sehe ich, dass du den Server in der OU SBS-Servers plaziert hast. Ganz schlechte Variante... Erstelle für diene Terminalsever eine eigene Organisationeinheit und verknüpfe dort die für den Terminalserver erstellte Richtlinie. Wenn du dann auch noch die Loopbackverarbeitung aktiviert hast, sollte alles einwandfrei funktionieren
Gruß
Die lokale Richtlinie auf dem TS-Server fasst du möglichst nicht an. Grundsätzlich sollte man alles, was man zentral in einer GPO konfigurieren kann acuh dort erledigen. So hat man zur Administration nur eine Baustelle.
Und das mitd er beliebigen Richtlinie ist mal so eine Sache. Für den TS-Server reicht normalerweise aus eine einzige Richtlinie für die Konfiguration des Servers und der Benutzereinstellungen zu erstellen. Damit entfällt dann natürlich das "beliebige Richtlinie"...
Was du machen mnusst ist, auf der OU mit dem Terminalserver die GPO zu verknüpfen. Unter Computerkonfiguration/Administrative Vorlagen/System/Gruppenrichtlinien findest du die Loopbackverarbeitung. Mit der Möglichkeiten Ersetzen und Zusammenführen
Wenn du Ersetzen auswählst, werden die ansonsten für den benutzer geltenden Benutzerrichtlinien nicht angewendet und es werden lediglich die in dieser OU hinterlegten Einstellungen verarbeitet. Bei Zusammenführen werden die normalen Benutzerinstellungen verarbeitet und dann zusätzlich die in der OU definierten. Wobei letztere dann logisherweise auch Vorang vor den anderen haben.
Der Trick bei der Loopbackverarbeitung ist eben gerade, dass Benutzerinstellungen angewandt werden, obwohl sich das benutzerobjekt nicht in Reichweite der GPO befindet.
Die ganauen Details der Konfiguration und auch Verarbeitung sind aber im verlinkten Artikel gut beschrieben. Welche Form der Loopbackverarbeitung du auswählst, das hängt auch ein bisschen von der restlichen Umgebung ab.
Und das mitd er beliebigen Richtlinie ist mal so eine Sache. Für den TS-Server reicht normalerweise aus eine einzige Richtlinie für die Konfiguration des Servers und der Benutzereinstellungen zu erstellen. Damit entfällt dann natürlich das "beliebige Richtlinie"...
Was du machen mnusst ist, auf der OU mit dem Terminalserver die GPO zu verknüpfen. Unter Computerkonfiguration/Administrative Vorlagen/System/Gruppenrichtlinien findest du die Loopbackverarbeitung. Mit der Möglichkeiten Ersetzen und Zusammenführen
Wenn du Ersetzen auswählst, werden die ansonsten für den benutzer geltenden Benutzerrichtlinien nicht angewendet und es werden lediglich die in dieser OU hinterlegten Einstellungen verarbeitet. Bei Zusammenführen werden die normalen Benutzerinstellungen verarbeitet und dann zusätzlich die in der OU definierten. Wobei letztere dann logisherweise auch Vorang vor den anderen haben.
Der Trick bei der Loopbackverarbeitung ist eben gerade, dass Benutzerinstellungen angewandt werden, obwohl sich das benutzerobjekt nicht in Reichweite der GPO befindet.
Die ganauen Details der Konfiguration und auch Verarbeitung sind aber im verlinkten Artikel gut beschrieben. Welche Form der Loopbackverarbeitung du auswählst, das hängt auch ein bisschen von der restlichen Umgebung ab.
Nachdem du nun nochmal gepostet hast meine Frage: Wozu benötigst du 2 Richtlinien für den Terminalserver ?
Wie ich schon schrieb, reicht normalerweise eine Richtlinie aus. Da kannst du bei aktivierter Loopbackverarbeitung sowohl die Computereinstellungen als auch die Benutzereinstellungfen in einer einzigen Richtlinie definieren.
Wie ich schon schrieb, reicht normalerweise eine Richtlinie aus. Da kannst du bei aktivierter Loopbackverarbeitung sowohl die Computereinstellungen als auch die Benutzereinstellungfen in einer einzigen Richtlinie definieren.
Schön, dass dein Problem erst einmal gelöst ist.
Aber zu der letzten Frage: Du hast die Gruppe "Authentifizierte Benutzer" nach dem Erstellen der Richtlinie entfernt und ganz korekt dort die von dir erstellte Gruppe der Terminaluser eingetragen. Das hast du gemacht, damit du als Admin die Richtlinieneinstellungen eben nicht übernimmst und den Server administrieren kannst. Die Gruppe "Authentifizierte Benutzer" wirkt nicht nur auf Benutzer, sondern auch auf Computer. Deshalb werden Computereinstellungen normalerweise auch übernommen. Wenn du nun diese Gruppe entfernst, dann kann der Server den Teil der Computerkonfiguration nicht übernehmen. Und weil sich dann dort auch noch die aktvierte Loopbackverarbeitung befindet, funktioniert nichts von den Einstellungen der Richtlinie.
Wenn du also willst, dass eine Computerrichtlnie übernommen wird, dann muss auch in der Sicherheitsfilterung das Computerobjekt hinterlegt sein, damit dieser die Eintellungen übernimmt. Nur das Hinzufügen eines Computers zu einer OU bewirkt nicht, dass die Richtlinie übernommen wird. Wie schon geschrieben - normalerweise funktioniert das problemlos, weil in der Gruppe "Authentifizierte Benutzer" sowohl Benutzer als auch Computer enthalten sind.
Und das mit den mehreren Richlinien kann auch Geschmackssache sein. Ich finde es persönlich praktischer, wenn ich in einer Richtlinie alle relevanten Einstellungen zu einer Sache habe.
Gruß
Aber zu der letzten Frage: Du hast die Gruppe "Authentifizierte Benutzer" nach dem Erstellen der Richtlinie entfernt und ganz korekt dort die von dir erstellte Gruppe der Terminaluser eingetragen. Das hast du gemacht, damit du als Admin die Richtlinieneinstellungen eben nicht übernimmst und den Server administrieren kannst. Die Gruppe "Authentifizierte Benutzer" wirkt nicht nur auf Benutzer, sondern auch auf Computer. Deshalb werden Computereinstellungen normalerweise auch übernommen. Wenn du nun diese Gruppe entfernst, dann kann der Server den Teil der Computerkonfiguration nicht übernehmen. Und weil sich dann dort auch noch die aktvierte Loopbackverarbeitung befindet, funktioniert nichts von den Einstellungen der Richtlinie.
Wenn du also willst, dass eine Computerrichtlnie übernommen wird, dann muss auch in der Sicherheitsfilterung das Computerobjekt hinterlegt sein, damit dieser die Eintellungen übernimmt. Nur das Hinzufügen eines Computers zu einer OU bewirkt nicht, dass die Richtlinie übernommen wird. Wie schon geschrieben - normalerweise funktioniert das problemlos, weil in der Gruppe "Authentifizierte Benutzer" sowohl Benutzer als auch Computer enthalten sind.
Und das mit den mehreren Richlinien kann auch Geschmackssache sein. Ich finde es persönlich praktischer, wenn ich in einer Richtlinie alle relevanten Einstellungen zu einer Sache habe.
Gruß
GPO wirken nun einmal nur auf die OU, mit der sie verknüpft sind. Du willst ja nicht, dass jede GPO erst einmal auf jede OU angewandt wird. Wer sollte das "wegkonfigurieren" ? Wobei natürlich die Einstellungen in der Standardkonfiguration in die untergeordneten OUs vererbt werden.
Nur weil du eine GPO erstellst, wird sie in keinster Weise angewandt. Wenn du mit der rechten Maustatse auf die OU klickst und die neuen GPO direkt erstellst, werden allerdings zwei Dinge durchgeführt: Du erstellst das Objekt und du verknüpfst es auch gleichzeitig mit der OU. Dann wird es natürlich auch angewendet. Wenn die Sicherheitsfilterung das zulässt. Für den Computerteil muss der Computer darin enthalten sein, für den Benutzerteil der Benutzer. Und in den "Authentifizierten Benutzern" sind eben beide enthalten.
edit: was ich gerade noch gesehen habe:
Das ist so nicht richtig. Wenn du die Loopbackverarbeitung aktivierst, dann gilt dies für diese eine Richtlinie. Du musst also alle Benutzerinstellungen für den Terminalserverbetrieb genau in dieser GPO definieren. Die Möglichkeit das zu tun ist schließlich der einzige Sinn der Loopbackverarbeitung. In einer zweiten Richtlinie ohne Loopbackverarbeitung kannst du so viele Benutzerinstellungen machen wie du willst - sie werden nicht angewendet, weil nur der Computerteil der Richtlinie vom Server übernommen wird.
Nur weil du eine GPO erstellst, wird sie in keinster Weise angewandt. Wenn du mit der rechten Maustatse auf die OU klickst und die neuen GPO direkt erstellst, werden allerdings zwei Dinge durchgeführt: Du erstellst das Objekt und du verknüpfst es auch gleichzeitig mit der OU. Dann wird es natürlich auch angewendet. Wenn die Sicherheitsfilterung das zulässt. Für den Computerteil muss der Computer darin enthalten sein, für den Benutzerteil der Benutzer. Und in den "Authentifizierten Benutzern" sind eben beide enthalten.
edit: was ich gerade noch gesehen habe:
Ich habe nun zwei GPOs. Die eine aktiviert den LBVM, die andere ist für die restlichen Einstellungen, die meine User auf dem TS haben sollen
Das ist so nicht richtig. Wenn du die Loopbackverarbeitung aktivierst, dann gilt dies für diese eine Richtlinie. Du musst also alle Benutzerinstellungen für den Terminalserverbetrieb genau in dieser GPO definieren. Die Möglichkeit das zu tun ist schließlich der einzige Sinn der Loopbackverarbeitung. In einer zweiten Richtlinie ohne Loopbackverarbeitung kannst du so viele Benutzerinstellungen machen wie du willst - sie werden nicht angewendet, weil nur der Computerteil der Richtlinie vom Server übernommen wird.