20
GPO auf Terminalserver 2008 (kein R2) greifen nicht oder nicht richtig
Ich editiere eine von mir erstellte GPO und erfahre keine Änderungen...
Edit, 10.10.2011, 15:37 Uhr: Fehler wurde eingegrenzt >> GPO auf Terminalserver 2008 (kein R2) greifen nicht oder nicht richtig
Hallo Spezialisten-Team,
ich schildere mal Hintergrund meiner Vorgehensweise und was ich alles eingerichtet habe für folgendes Problem, was mich fast wahnsinnig macht:
Ich habe einen Terminalserver auf ESXi aufgesetzt. Windows Server 2008 Standard.
Nun möchte ich per GPO meine User ein wenig einschränken. Dazu bin ich wie folgt vorgegangen:
Terminalserver = RA-TS-2008
Domaincontroller = DMC
Ich habe zu allererst auf dem RA-TS-2008 > gpedit.msc (Lokaler Gruppenrichtlinien-Editor) > Computerkonfiguration > Administrative Vorlagen > System > Gruppenrichtlinie > Loopbackverarbeitungsmodus für Benutzergruppenrichtlinie aktiviert (an der Stelle bin ich schon unsicher, ob ich das auf dem TS habe machen sollen, oder im Gruppenrichtlinienverwaltungs-Editor für die erstellte GPO auf dem Domaincontroller)
Dann bin ich auf den DMC gegangen und habe die restlichen Einstellungen nur noch da vorgenommen (siehe zunächst Screenshot ganz unten im Beitrag):
DMC > gpmc.msc (Gruppenrichtlinienverwaltung):
GPO "TS 2008" erstellt.
Die GPO habe ich unter MyBusiness > Computers > SBSServers verknüpft.
Der RA-TS-2008 ist in der AD natürlich auch unter SBSServers aufgeführt.
Der GPO habe ich die Gruppe "RDP-Users (neuer TS)" unterstellt. Das ist die Gruppe, die für die Anmeldung am Terminalserver berechtigt ist und mein Administrationskonto wird nicht angetastet.
Und nun sollte der Rest doch vollends klar sein: In meinen Gruppenrichtlinienobjekten mache ich einen Rechtsklick auf "TS 2008" und wähle "Bearbeiten..." aus. Nun öffnet sich der Gruppenrichtlinienverwaltungs-Editor. In diesem bearbeite ich Computer- und Benutzerkonfiguration nach sinnvollem Bedarf und Belieben (warum gibt es manche Dinge NUR in Computerkonfiguration und mach nur in Benutzer. Warum manche doppelt?).
Warum werden meine Einstellungen nicht übernommen (auch nicht mit gpupdate /force)?
Beispiel: Gruppenrichtlinienverwaltungs-Editor > Computerkonfiguration > Richtlinien >Administrative Vorlagen: Vom lokalen Computer abgerufene Richtliniendefinitionen (ADMX-Dateien) [was auch immer das heißen mag] > Windows-Komponenten > Internet Explorer > Seitenzoomfunktion deaktivieren > aktiviert. Ich kann zoomen wie ich will, entweder übers Menü oder über STRG + Mausrad...
Oder das verhindern des Aufrufens des Task-Managers (Benutzerkonfiguration > STRG+ALT+ENTF (Optionen) [Warum ist das nicht in der Computerkonfiguration zu finden?]. Lässt sich nach wie vor Aufrufen... Sowohl über die Tastenkombi als auch über Rechtsklick Taskleiste...
Für mich stellt sich nun die Frage ob ich was übersehen / vergessen habe, was falsch gemacht habe oder Ihr sonstige Hints und Tipps habt?
Weiter wäre es nice einen Kniff zu bekommen wie ich den Gruppenrichtlinienverwaltungseditor nach was durchsuchen kann. Oft suche ich (z.B. Task Manager) nach etwas, das ich den Usern sperren / vorenthalten will und muss mich mühsamst durch alle GPOs kämpfen bis ich das gesuchte finde. Gibts ne Infosite die sozusagen die GPOs besser darstellt, dass ein Anfänger damit klar kommt?
Und noch was was mich interessiert: Der Loopbackverarbeitungsmodus. Er stellt sicher, dass bei den betreffenden Usern die Computerkonfiguration NACH der Benutzerkonfiguration geladen wird. Was bringt mir das aber, wenn ich Einstellungen in der Benutzerkonfiguration dahingehend ändern kann im Terminalserver "Lokaler Gruppenrichtlinieneditor" - da hätte ich doch meine Verwaltungsmöglichkeit für den User, oder denk ich zu weit ums Eck?
Nun der Screenshot:
Danke im Voraus für Eure Antworten
Vince
Edit, 10.10.2011, 15:37 Uhr: Fehler wurde eingegrenzt >> GPO auf Terminalserver 2008 (kein R2) greifen nicht oder nicht richtig
Hallo Spezialisten-Team,
ich schildere mal Hintergrund meiner Vorgehensweise und was ich alles eingerichtet habe für folgendes Problem, was mich fast wahnsinnig macht:
Ich habe einen Terminalserver auf ESXi aufgesetzt. Windows Server 2008 Standard.
Nun möchte ich per GPO meine User ein wenig einschränken. Dazu bin ich wie folgt vorgegangen:
Terminalserver = RA-TS-2008
Domaincontroller = DMC
Ich habe zu allererst auf dem RA-TS-2008 > gpedit.msc (Lokaler Gruppenrichtlinien-Editor) > Computerkonfiguration > Administrative Vorlagen > System > Gruppenrichtlinie > Loopbackverarbeitungsmodus für Benutzergruppenrichtlinie aktiviert (an der Stelle bin ich schon unsicher, ob ich das auf dem TS habe machen sollen, oder im Gruppenrichtlinienverwaltungs-Editor für die erstellte GPO auf dem Domaincontroller)
Dann bin ich auf den DMC gegangen und habe die restlichen Einstellungen nur noch da vorgenommen (siehe zunächst Screenshot ganz unten im Beitrag):
DMC > gpmc.msc (Gruppenrichtlinienverwaltung):
GPO "TS 2008" erstellt.
Die GPO habe ich unter MyBusiness > Computers > SBSServers verknüpft.
Der RA-TS-2008 ist in der AD natürlich auch unter SBSServers aufgeführt.
Der GPO habe ich die Gruppe "RDP-Users (neuer TS)" unterstellt. Das ist die Gruppe, die für die Anmeldung am Terminalserver berechtigt ist und mein Administrationskonto wird nicht angetastet.
Und nun sollte der Rest doch vollends klar sein: In meinen Gruppenrichtlinienobjekten mache ich einen Rechtsklick auf "TS 2008" und wähle "Bearbeiten..." aus. Nun öffnet sich der Gruppenrichtlinienverwaltungs-Editor. In diesem bearbeite ich Computer- und Benutzerkonfiguration nach sinnvollem Bedarf und Belieben (warum gibt es manche Dinge NUR in Computerkonfiguration und mach nur in Benutzer. Warum manche doppelt?).
Warum werden meine Einstellungen nicht übernommen (auch nicht mit gpupdate /force)?
Beispiel: Gruppenrichtlinienverwaltungs-Editor > Computerkonfiguration > Richtlinien >Administrative Vorlagen: Vom lokalen Computer abgerufene Richtliniendefinitionen (ADMX-Dateien) [was auch immer das heißen mag] > Windows-Komponenten > Internet Explorer > Seitenzoomfunktion deaktivieren > aktiviert. Ich kann zoomen wie ich will, entweder übers Menü oder über STRG + Mausrad...
Oder das verhindern des Aufrufens des Task-Managers (Benutzerkonfiguration > STRG+ALT+ENTF (Optionen) [Warum ist das nicht in der Computerkonfiguration zu finden?]. Lässt sich nach wie vor Aufrufen... Sowohl über die Tastenkombi als auch über Rechtsklick Taskleiste...
Für mich stellt sich nun die Frage ob ich was übersehen / vergessen habe, was falsch gemacht habe oder Ihr sonstige Hints und Tipps habt?
Weiter wäre es nice einen Kniff zu bekommen wie ich den Gruppenrichtlinienverwaltungseditor nach was durchsuchen kann. Oft suche ich (z.B. Task Manager) nach etwas, das ich den Usern sperren / vorenthalten will und muss mich mühsamst durch alle GPOs kämpfen bis ich das gesuchte finde. Gibts ne Infosite die sozusagen die GPOs besser darstellt, dass ein Anfänger damit klar kommt?
Und noch was was mich interessiert: Der Loopbackverarbeitungsmodus. Er stellt sicher, dass bei den betreffenden Usern die Computerkonfiguration NACH der Benutzerkonfiguration geladen wird. Was bringt mir das aber, wenn ich Einstellungen in der Benutzerkonfiguration dahingehend ändern kann im Terminalserver "Lokaler Gruppenrichtlinieneditor" - da hätte ich doch meine Verwaltungsmöglichkeit für den User, oder denk ich zu weit ums Eck?
Nun der Screenshot:
Danke im Voraus für Eure Antworten
Vince
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 174283
Url: https://administrator.de/contentid/174283
Ausgedruckt am: 22.11.2024 um 11:11 Uhr
20 Kommentare
Neuester Kommentar
P.s. Ich habe nun ca. 25 Minuten für diesen Beitrag gebraucht. In dieser Zeit scheint es so, als seien einige GPO-Einstellungen übernommen worden.
Beispiel Task Manager: Mit meinem Testuser kann ich den nun nicht mehr aufrufen. Das hat also geklappt (weder über taskleiste noch über Tastenkombi).
Das Zoomen des Internet Explorers allerdings funktioniert noch nach wie vor. Ebenso hab ich "Menüleiste standardmäßig anzeigen" aktiviert. Diese wird mir nicht im IE angezeigt.
Das ist doch verrückt!?
Vince
Beispiel Task Manager: Mit meinem Testuser kann ich den nun nicht mehr aufrufen. Das hat also geklappt (weder über taskleiste noch über Tastenkombi).
Das Zoomen des Internet Explorers allerdings funktioniert noch nach wie vor. Ebenso hab ich "Menüleiste standardmäßig anzeigen" aktiviert. Diese wird mir nicht im IE angezeigt.
Das ist doch verrückt!?
Vince
Hi Vince,
Ich habe zu allererst auf dem RA-TS-2008 > gpedit.msc (Lokaler Gruppenrichtlinien-Editor) > Computerkonfiguration > Administrative Vorlagen > System > >Gruppenrichtlinie
Loopbackverarbeitungsmodus für Benutzergruppenrichtlinie aktiviert (an der Stelle bin ich schon unsicher, ob ich das auf dem TS habe machen >sollen, oder im
Gruppenrichtlinienverwaltungs-Editor für die erstellte GPO auf dem Domaincontroller)
Bemerkung und Empfehlung:
1. Ich würde empfehlen immer auf dem Domaincontroller die GPO zu erstellen, außer gewisse Funktionen darf der lokale Administrator nicht machen (warum auch immer).
2. Für jede Einstellung eine seperate GPO mit einer guten Namenskonvention.
2.1 als Beispiel: TS_lokal_no_TaskMGR usw..; hier wird der Taskmanager ausgeschaltet.
3. Mache eine neue OU (Organisationsunit bzw Organisationeinheit) und dann verlinke alle die GPO mit der OU und aktiviere sie. Das geht gut mit dem Gruppenrichtlinieneditor.
4. Allgemeiner Grundsatz: Erst deaktivieren -> dann löschen! ( Gerade IPSEC - kann es zu bösen Überraschungen kommen!
Gruss
Holli
Ich habe zu allererst auf dem RA-TS-2008 > gpedit.msc (Lokaler Gruppenrichtlinien-Editor) > Computerkonfiguration > Administrative Vorlagen > System > >Gruppenrichtlinie
Loopbackverarbeitungsmodus für Benutzergruppenrichtlinie aktiviert (an der Stelle bin ich schon unsicher, ob ich das auf dem TS habe machen >sollen, oder im
Gruppenrichtlinienverwaltungs-Editor für die erstellte GPO auf dem Domaincontroller)
Bemerkung und Empfehlung:
1. Ich würde empfehlen immer auf dem Domaincontroller die GPO zu erstellen, außer gewisse Funktionen darf der lokale Administrator nicht machen (warum auch immer).
2. Für jede Einstellung eine seperate GPO mit einer guten Namenskonvention.
2.1 als Beispiel: TS_lokal_no_TaskMGR usw..; hier wird der Taskmanager ausgeschaltet.
3. Mache eine neue OU (Organisationsunit bzw Organisationeinheit) und dann verlinke alle die GPO mit der OU und aktiviere sie. Das geht gut mit dem Gruppenrichtlinieneditor.
4. Allgemeiner Grundsatz: Erst deaktivieren -> dann löschen! ( Gerade IPSEC - kann es zu bösen Überraschungen kommen!
Gruss
Holli
Servus und Danke für deine Antwort und Tipps. Werde ich beherzigen (auch wenn ich ja dann 40 oder 50 GPOs ansetzen muss? Ist das nicht ein bisschen viel?).
Ich habe die GPO auf dem DC erstell (siehe Screenshot und Erklärung).
Ich habe lediglich den Loopbackverarbeitungsmodus auf dem Terminalserver aktiviert, weil ich nicht wusste (nicht weiß) wo ich den aktivieren muss.
So alà: Da wo ich mich anmelde muss der LBVM auch aktiviert werden. ist das so?
Vince
Ich habe die GPO auf dem DC erstell (siehe Screenshot und Erklärung).
Ich habe lediglich den Loopbackverarbeitungsmodus auf dem Terminalserver aktiviert, weil ich nicht wusste (nicht weiß) wo ich den aktivieren muss.
So alà: Da wo ich mich anmelde muss der LBVM auch aktiviert werden. ist das so?
Vince
Hi Vince,
ich hab leider gerade kein windows 2008 Server installiert. Was wolltest Du damit bezwecken?
Gruss
Holli
ich hab leider gerade kein windows 2008 Server installiert. Was wolltest Du damit bezwecken?
Gruss
Holli
Was meinst du genau?
Mit was bezwecken? Mit dem LBVM?
Soweit ichw eiß wird damit die Computerkonfiguration nach der Benutzerkonfiguration geladen, was ja sinnig für einen Terminalserver ist. Oder?
Grüße
Mit was bezwecken? Mit dem LBVM?
Soweit ichw eiß wird damit die Computerkonfiguration nach der Benutzerkonfiguration geladen, was ja sinnig für einen Terminalserver ist. Oder?
Grüße
Zum Threadanfang: Sieht irgendjemand einen Fehler in meinen Einstellungen?
Es müsste doch alles korrekt eingestellt sein, damit die GPO auf meinem Terminalserver richtig zieht?
Vince
Es müsste doch alles korrekt eingestellt sein, damit die GPO auf meinem Terminalserver richtig zieht?
Vince
Ich hab herausgefunden was Sache ist (und kann mir natürlich keinen Reim drauf machen):
Wenn ich mein GPO bearbeite habe ich ja die Felder "Computerkonfiguration" und "Benutzerkonfiguration".
Ich habe mir nun ein Reichtlinienobjekt geschnappt, welches in beiden Konfigurationen vorhanden ist.
In meinem Fall habe ich folgendes gefunden:
"Administrative Vorlagen: Vom lokalen Computer........" >> "Windows Komponenten" >> Windows Mail
Wenn ich "Windows Mail" nur in der Computerkonfiguration deaktiviere kann der User das Programm aufrufen.
Wenn ich es in der Benutzerkonfiguration deaktiviere, ist das Programm gesperrt.
Das heißt für mich, dass die Computerkonfig nicht gezogen wird. Ich komme der Sache näher. Warum wird sie nicht gezogen? beide Konfigurationen liegen doch in meiner erstellten GPO. Diese GPO ist auf den Terminalserver verknüpft. Wo kann der Fehlerteufel liegen?
Vince
Wenn ich mein GPO bearbeite habe ich ja die Felder "Computerkonfiguration" und "Benutzerkonfiguration".
Ich habe mir nun ein Reichtlinienobjekt geschnappt, welches in beiden Konfigurationen vorhanden ist.
In meinem Fall habe ich folgendes gefunden:
"Administrative Vorlagen: Vom lokalen Computer........" >> "Windows Komponenten" >> Windows Mail
Wenn ich "Windows Mail" nur in der Computerkonfiguration deaktiviere kann der User das Programm aufrufen.
Wenn ich es in der Benutzerkonfiguration deaktiviere, ist das Programm gesperrt.
Das heißt für mich, dass die Computerkonfig nicht gezogen wird. Ich komme der Sache näher. Warum wird sie nicht gezogen? beide Konfigurationen liegen doch in meiner erstellten GPO. Diese GPO ist auf den Terminalserver verknüpft. Wo kann der Fehlerteufel liegen?
Vince
Moin Moin
Ich kann natürlich nicht erkenne welche Member iese Gruppe hat, aber solte der Name geschickt gewählt sein enthält sie wohl nur User.
Damit würde diese GPO für den TS nicht greifen.
Um die Verwirrung nicht noch weiter zu Steigern würde ich dir raten dir dieses HowTo mal anzutun.
Gruß L.
Diese GPO ist auf den Terminalserver verknüpft. Wo kann der Fehlerteufel liegen?
Ist das so? Aus deinem ScreenShot entnehme ich das die GPO TS2008 auf eine Gruppe RDP Users beschränkt ist.Ich kann natürlich nicht erkenne welche Member iese Gruppe hat, aber solte der Name geschickt gewählt sein enthält sie wohl nur User.
Damit würde diese GPO für den TS nicht greifen.
Um die Verwirrung nicht noch weiter zu Steigern würde ich dir raten dir dieses HowTo mal anzutun.
Gruß L.
Moin
wie wohl auch schon Logan angedeutet hat, ist die Lösung für das Problem denkbar einfach. Du hast zwar die Übernahme der Richtlinie für die Benutzer freigegeben. Den Server selbst hast du aber ausgelassen. Füge den der Richtlinie hinzu und du bist ein gutes Stück weiter.
Ansonsten sehe ich, dass du den Server in der OU SBS-Servers plaziert hast. Ganz schlechte Variante... Erstelle für diene Terminalsever eine eigene Organisationeinheit und verknüpfe dort die für den Terminalserver erstellte Richtlinie. Wenn du dann auch noch die Loopbackverarbeitung aktiviert hast, sollte alles einwandfrei funktionieren
Gruß
wie wohl auch schon Logan angedeutet hat, ist die Lösung für das Problem denkbar einfach. Du hast zwar die Übernahme der Richtlinie für die Benutzer freigegeben. Den Server selbst hast du aber ausgelassen. Füge den der Richtlinie hinzu und du bist ein gutes Stück weiter.
Ansonsten sehe ich, dass du den Server in der OU SBS-Servers plaziert hast. Ganz schlechte Variante... Erstelle für diene Terminalsever eine eigene Organisationeinheit und verknüpfe dort die für den Terminalserver erstellte Richtlinie. Wenn du dann auch noch die Loopbackverarbeitung aktiviert hast, sollte alles einwandfrei funktionieren
Gruß
Hi Logan,
dann macht mein Fehler auch Sinn!
Die Gruppe "RDP-Users (neuer TS)" enthält in der Tat nur Useraccounts, die sich auf dem neuen Terminalserver anmelden dürfen.
Und damit ist mir auch klar, warum nur die Benutzerkonfiguration zieht. Änderungen hinsichtlich der Nutzer werden angewandt, die die des Servers (Computerkonfiguration) nicht.
ICH dachte, dass die Verknüpfung der GPO "TS 2008" auf SBSServers unter "MyBusiness" schon dafür ausreicht, auf dem Server ausgeführt / gezogen zu werden.
Danke für das HowTo, werde ich mir mal schnell reinziehen.
So long,
der Vince
dann macht mein Fehler auch Sinn!
Die Gruppe "RDP-Users (neuer TS)" enthält in der Tat nur Useraccounts, die sich auf dem neuen Terminalserver anmelden dürfen.
Und damit ist mir auch klar, warum nur die Benutzerkonfiguration zieht. Änderungen hinsichtlich der Nutzer werden angewandt, die die des Servers (Computerkonfiguration) nicht.
ICH dachte, dass die Verknüpfung der GPO "TS 2008" auf SBSServers unter "MyBusiness" schon dafür ausreicht, auf dem Server ausgeführt / gezogen zu werden.
Danke für das HowTo, werde ich mir mal schnell reinziehen.
So long,
der Vince
@Hubert: Ja gute Idee... mir ist das alles mehr oder weniger gezeigt worden den Rest habe ich mir hier übers Board oder Google zusammengeklaubt.
Ich werde sofort eine eigene OU erstellen und darin den TS platzieren. Eine Frage noch. Wo genau aktiviere ich den LBVM?
Im Gruppenrichtlinienverwaltungs-Editor auf dem SBS oder in der Gruppenrichtlineinverwaltung direkt auf dem Terminalserver?
Der Vince
Ich werde sofort eine eigene OU erstellen und darin den TS platzieren. Eine Frage noch. Wo genau aktiviere ich den LBVM?
Im Gruppenrichtlinienverwaltungs-Editor auf dem SBS oder in der Gruppenrichtlineinverwaltung direkt auf dem Terminalserver?
Der Vince
Gefunden im HowTo:
Jetzt aktiviert man den Loopbackverarbeitungsmodus auf einer beliebigen Richtlinie, die auf den Computer wirkt.
Sie kann als eigene Richtlinie integriert werden und gilt dann für alle Richtlinien, die das Computerobjekt übernimmt.
Ich nehme an in meiner GPO "TS 2008" kann ich den LBVM aktivieren und die Sache läuft =)
Jetzt aktiviert man den Loopbackverarbeitungsmodus auf einer beliebigen Richtlinie, die auf den Computer wirkt.
Sie kann als eigene Richtlinie integriert werden und gilt dann für alle Richtlinien, die das Computerobjekt übernimmt.
Ich nehme an in meiner GPO "TS 2008" kann ich den LBVM aktivieren und die Sache läuft =)
So,
HowTo hab ich durch und denke auch verstanden.
Anhand meines neuen Screenshot solltet Ihr sehen, dass ich da ein bisschen was modifiziert habe.
Ich habe nun zwei GPOs. Die eine aktiviert den LBVM, die andere ist für die restlichen Einstellungen, die meine User auf dem TS haben sollen.
Ich habe nach dem Tipp von Logan nun neben meiner Gruppe "RDP Users" nun auch den Terminalserver der Sicherheitsfilterung hinzugefügt.
Nach wie vor besteht das Problem, dass die Computerkonfig nicht greift. Ich habe das wieder am Beispiel von "Windows Mail" herausgefunden.
Deaktiviere ich "Windows Mail" in der Benutzerkonfig, kann es nicht aufgerufen werden. Deaktiviere ich es in der Computerkonfig kann es problemlos aufgerufen werden.
Es stimmt immer noch was nicht.
Edit: Der OU "TS 2008 Loopbackverarbeitungsmodus" habe ich natürlich nur den Terminalserver in der Sicherheitsfilterung hinzugefügt. Nicht die RDP-Gruppe.
HowTo hab ich durch und denke auch verstanden.
Anhand meines neuen Screenshot solltet Ihr sehen, dass ich da ein bisschen was modifiziert habe.
Ich habe nun zwei GPOs. Die eine aktiviert den LBVM, die andere ist für die restlichen Einstellungen, die meine User auf dem TS haben sollen.
Ich habe nach dem Tipp von Logan nun neben meiner Gruppe "RDP Users" nun auch den Terminalserver der Sicherheitsfilterung hinzugefügt.
Nach wie vor besteht das Problem, dass die Computerkonfig nicht greift. Ich habe das wieder am Beispiel von "Windows Mail" herausgefunden.
Deaktiviere ich "Windows Mail" in der Benutzerkonfig, kann es nicht aufgerufen werden. Deaktiviere ich es in der Computerkonfig kann es problemlos aufgerufen werden.
Es stimmt immer noch was nicht.
Edit: Der OU "TS 2008 Loopbackverarbeitungsmodus" habe ich natürlich nur den Terminalserver in der Sicherheitsfilterung hinzugefügt. Nicht die RDP-Gruppe.
Die lokale Richtlinie auf dem TS-Server fasst du möglichst nicht an. Grundsätzlich sollte man alles, was man zentral in einer GPO konfigurieren kann acuh dort erledigen. So hat man zur Administration nur eine Baustelle.
Und das mitd er beliebigen Richtlinie ist mal so eine Sache. Für den TS-Server reicht normalerweise aus eine einzige Richtlinie für die Konfiguration des Servers und der Benutzereinstellungen zu erstellen. Damit entfällt dann natürlich das "beliebige Richtlinie"...
Was du machen mnusst ist, auf der OU mit dem Terminalserver die GPO zu verknüpfen. Unter Computerkonfiguration/Administrative Vorlagen/System/Gruppenrichtlinien findest du die Loopbackverarbeitung. Mit der Möglichkeiten Ersetzen und Zusammenführen
Wenn du Ersetzen auswählst, werden die ansonsten für den benutzer geltenden Benutzerrichtlinien nicht angewendet und es werden lediglich die in dieser OU hinterlegten Einstellungen verarbeitet. Bei Zusammenführen werden die normalen Benutzerinstellungen verarbeitet und dann zusätzlich die in der OU definierten. Wobei letztere dann logisherweise auch Vorang vor den anderen haben.
Der Trick bei der Loopbackverarbeitung ist eben gerade, dass Benutzerinstellungen angewandt werden, obwohl sich das benutzerobjekt nicht in Reichweite der GPO befindet.
Die ganauen Details der Konfiguration und auch Verarbeitung sind aber im verlinkten Artikel gut beschrieben. Welche Form der Loopbackverarbeitung du auswählst, das hängt auch ein bisschen von der restlichen Umgebung ab.
Und das mitd er beliebigen Richtlinie ist mal so eine Sache. Für den TS-Server reicht normalerweise aus eine einzige Richtlinie für die Konfiguration des Servers und der Benutzereinstellungen zu erstellen. Damit entfällt dann natürlich das "beliebige Richtlinie"...
Was du machen mnusst ist, auf der OU mit dem Terminalserver die GPO zu verknüpfen. Unter Computerkonfiguration/Administrative Vorlagen/System/Gruppenrichtlinien findest du die Loopbackverarbeitung. Mit der Möglichkeiten Ersetzen und Zusammenführen
Wenn du Ersetzen auswählst, werden die ansonsten für den benutzer geltenden Benutzerrichtlinien nicht angewendet und es werden lediglich die in dieser OU hinterlegten Einstellungen verarbeitet. Bei Zusammenführen werden die normalen Benutzerinstellungen verarbeitet und dann zusätzlich die in der OU definierten. Wobei letztere dann logisherweise auch Vorang vor den anderen haben.
Der Trick bei der Loopbackverarbeitung ist eben gerade, dass Benutzerinstellungen angewandt werden, obwohl sich das benutzerobjekt nicht in Reichweite der GPO befindet.
Die ganauen Details der Konfiguration und auch Verarbeitung sind aber im verlinkten Artikel gut beschrieben. Welche Form der Loopbackverarbeitung du auswählst, das hängt auch ein bisschen von der restlichen Umgebung ab.
Nachdem du nun nochmal gepostet hast meine Frage: Wozu benötigst du 2 Richtlinien für den Terminalserver ?
Wie ich schon schrieb, reicht normalerweise eine Richtlinie aus. Da kannst du bei aktivierter Loopbackverarbeitung sowohl die Computereinstellungen als auch die Benutzereinstellungfen in einer einzigen Richtlinie definieren.
Wie ich schon schrieb, reicht normalerweise eine Richtlinie aus. Da kannst du bei aktivierter Loopbackverarbeitung sowohl die Computereinstellungen als auch die Benutzereinstellungfen in einer einzigen Richtlinie definieren.
Ja,
ich habs dem HowTo so entnommen. Für mich würde auch eine einzige Richtlinie reichen.
Ich nehme an, man macht das einfach der Übersichtlichkeit halber.
SO, es funktioniert. Die GPO-EInstellungen meiner COmputerkonfig werden nun auch korrekt gezogen.
Nachdem du folgende Sätze noch geschrieben hattest: "Die lokale Richtlinie auf dem TS-Server fasst du möglichst nicht an. Grundsätzlich sollte man alles, was man zentral in einer GPO konfigurieren kann acuh dort erledigen. "
Damit war für mich klar, dass ich den LBVM auf meiner GPO aktivieren muss, und nicht auf dem Terminalserver.
Nun geht alles und mir bleibt nur eine Frage:
Durch das Verknüpfen meiner GPO "TS 2008" auf der OU "Terminalserver 2008" (in die ich den Terminalserver in der "Active Directory-Benutzer und Computer" geschoben habe) sollte die GPO doch bereits auf den Server angewendet werden!? Nun habe ich aber gelernt, dass die GPO für den Server nur gilt, wenn ich den unter "Sicherheitsfilterung" auch einstelle. Warum?
Und vorab: VIELEN DANK an alle Helfer in diesem Thread. Ihr habt mir ein dickes Problem gelöst und ich bin um viel Wissen reicher geworden!
Danke sehr
der Vince
ich habs dem HowTo so entnommen. Für mich würde auch eine einzige Richtlinie reichen.
Ich nehme an, man macht das einfach der Übersichtlichkeit halber.
SO, es funktioniert. Die GPO-EInstellungen meiner COmputerkonfig werden nun auch korrekt gezogen.
Nachdem du folgende Sätze noch geschrieben hattest: "Die lokale Richtlinie auf dem TS-Server fasst du möglichst nicht an. Grundsätzlich sollte man alles, was man zentral in einer GPO konfigurieren kann acuh dort erledigen. "
Damit war für mich klar, dass ich den LBVM auf meiner GPO aktivieren muss, und nicht auf dem Terminalserver.
Nun geht alles und mir bleibt nur eine Frage:
Durch das Verknüpfen meiner GPO "TS 2008" auf der OU "Terminalserver 2008" (in die ich den Terminalserver in der "Active Directory-Benutzer und Computer" geschoben habe) sollte die GPO doch bereits auf den Server angewendet werden!? Nun habe ich aber gelernt, dass die GPO für den Server nur gilt, wenn ich den unter "Sicherheitsfilterung" auch einstelle. Warum?
Und vorab: VIELEN DANK an alle Helfer in diesem Thread. Ihr habt mir ein dickes Problem gelöst und ich bin um viel Wissen reicher geworden!
Danke sehr
der Vince
Schön, dass dein Problem erst einmal gelöst ist.
Aber zu der letzten Frage: Du hast die Gruppe "Authentifizierte Benutzer" nach dem Erstellen der Richtlinie entfernt und ganz korekt dort die von dir erstellte Gruppe der Terminaluser eingetragen. Das hast du gemacht, damit du als Admin die Richtlinieneinstellungen eben nicht übernimmst und den Server administrieren kannst. Die Gruppe "Authentifizierte Benutzer" wirkt nicht nur auf Benutzer, sondern auch auf Computer. Deshalb werden Computereinstellungen normalerweise auch übernommen. Wenn du nun diese Gruppe entfernst, dann kann der Server den Teil der Computerkonfiguration nicht übernehmen. Und weil sich dann dort auch noch die aktvierte Loopbackverarbeitung befindet, funktioniert nichts von den Einstellungen der Richtlinie.
Wenn du also willst, dass eine Computerrichtlnie übernommen wird, dann muss auch in der Sicherheitsfilterung das Computerobjekt hinterlegt sein, damit dieser die Eintellungen übernimmt. Nur das Hinzufügen eines Computers zu einer OU bewirkt nicht, dass die Richtlinie übernommen wird. Wie schon geschrieben - normalerweise funktioniert das problemlos, weil in der Gruppe "Authentifizierte Benutzer" sowohl Benutzer als auch Computer enthalten sind.
Und das mit den mehreren Richlinien kann auch Geschmackssache sein. Ich finde es persönlich praktischer, wenn ich in einer Richtlinie alle relevanten Einstellungen zu einer Sache habe.
Gruß
Aber zu der letzten Frage: Du hast die Gruppe "Authentifizierte Benutzer" nach dem Erstellen der Richtlinie entfernt und ganz korekt dort die von dir erstellte Gruppe der Terminaluser eingetragen. Das hast du gemacht, damit du als Admin die Richtlinieneinstellungen eben nicht übernimmst und den Server administrieren kannst. Die Gruppe "Authentifizierte Benutzer" wirkt nicht nur auf Benutzer, sondern auch auf Computer. Deshalb werden Computereinstellungen normalerweise auch übernommen. Wenn du nun diese Gruppe entfernst, dann kann der Server den Teil der Computerkonfiguration nicht übernehmen. Und weil sich dann dort auch noch die aktvierte Loopbackverarbeitung befindet, funktioniert nichts von den Einstellungen der Richtlinie.
Wenn du also willst, dass eine Computerrichtlnie übernommen wird, dann muss auch in der Sicherheitsfilterung das Computerobjekt hinterlegt sein, damit dieser die Eintellungen übernimmt. Nur das Hinzufügen eines Computers zu einer OU bewirkt nicht, dass die Richtlinie übernommen wird. Wie schon geschrieben - normalerweise funktioniert das problemlos, weil in der Gruppe "Authentifizierte Benutzer" sowohl Benutzer als auch Computer enthalten sind.
Und das mit den mehreren Richlinien kann auch Geschmackssache sein. Ich finde es persönlich praktischer, wenn ich in einer Richtlinie alle relevanten Einstellungen zu einer Sache habe.
Gruß
Vielen Dank nochmals für deine ausführliche Antwort.
Nun wird mir einiges klar, wenn sich die "Authentifizierte Benutzer" auch auf Computer auswirken.
Allerdings fehlt mir dann immer noch eine Info: Wozu soll ich die GPO dann überhaupt mit der OU verknüpfen, wenn ich durch die Einstellungen innerhalb von der "Sicherheitsfilterung" alles notwendige erledigen kann!?
Ich nehme dann stark an weil es der Übersichtlichkeit dient?
Vince
Nun wird mir einiges klar, wenn sich die "Authentifizierte Benutzer" auch auf Computer auswirken.
Allerdings fehlt mir dann immer noch eine Info: Wozu soll ich die GPO dann überhaupt mit der OU verknüpfen, wenn ich durch die Einstellungen innerhalb von der "Sicherheitsfilterung" alles notwendige erledigen kann!?
Ich nehme dann stark an weil es der Übersichtlichkeit dient?
Vince
GPO wirken nun einmal nur auf die OU, mit der sie verknüpft sind. Du willst ja nicht, dass jede GPO erst einmal auf jede OU angewandt wird. Wer sollte das "wegkonfigurieren" ? Wobei natürlich die Einstellungen in der Standardkonfiguration in die untergeordneten OUs vererbt werden.
Nur weil du eine GPO erstellst, wird sie in keinster Weise angewandt. Wenn du mit der rechten Maustatse auf die OU klickst und die neuen GPO direkt erstellst, werden allerdings zwei Dinge durchgeführt: Du erstellst das Objekt und du verknüpfst es auch gleichzeitig mit der OU. Dann wird es natürlich auch angewendet. Wenn die Sicherheitsfilterung das zulässt. Für den Computerteil muss der Computer darin enthalten sein, für den Benutzerteil der Benutzer. Und in den "Authentifizierten Benutzern" sind eben beide enthalten.
edit: was ich gerade noch gesehen habe:
Das ist so nicht richtig. Wenn du die Loopbackverarbeitung aktivierst, dann gilt dies für diese eine Richtlinie. Du musst also alle Benutzerinstellungen für den Terminalserverbetrieb genau in dieser GPO definieren. Die Möglichkeit das zu tun ist schließlich der einzige Sinn der Loopbackverarbeitung. In einer zweiten Richtlinie ohne Loopbackverarbeitung kannst du so viele Benutzerinstellungen machen wie du willst - sie werden nicht angewendet, weil nur der Computerteil der Richtlinie vom Server übernommen wird.
Nur weil du eine GPO erstellst, wird sie in keinster Weise angewandt. Wenn du mit der rechten Maustatse auf die OU klickst und die neuen GPO direkt erstellst, werden allerdings zwei Dinge durchgeführt: Du erstellst das Objekt und du verknüpfst es auch gleichzeitig mit der OU. Dann wird es natürlich auch angewendet. Wenn die Sicherheitsfilterung das zulässt. Für den Computerteil muss der Computer darin enthalten sein, für den Benutzerteil der Benutzer. Und in den "Authentifizierten Benutzern" sind eben beide enthalten.
edit: was ich gerade noch gesehen habe:
Ich habe nun zwei GPOs. Die eine aktiviert den LBVM, die andere ist für die restlichen Einstellungen, die meine User auf dem TS haben sollen
Das ist so nicht richtig. Wenn du die Loopbackverarbeitung aktivierst, dann gilt dies für diese eine Richtlinie. Du musst also alle Benutzerinstellungen für den Terminalserverbetrieb genau in dieser GPO definieren. Die Möglichkeit das zu tun ist schließlich der einzige Sinn der Loopbackverarbeitung. In einer zweiten Richtlinie ohne Loopbackverarbeitung kannst du so viele Benutzerinstellungen machen wie du willst - sie werden nicht angewendet, weil nur der Computerteil der Richtlinie vom Server übernommen wird.
Alles klar, dann gehe ich in Zukunft den Weg, wie ich ihn jetzt beschritten habe.
Ich muss sagen, das macht sogar richtig Spaß, wenns tut ;)
Vince
Ich muss sagen, das macht sogar richtig Spaß, wenns tut ;)
Vince
