6147
07.06.2005, aktualisiert am 12.10.2007
15476
8
0
GPO für Benutzer am Terminal Server
Gruppenrichtlinie nur anwenden wenn sich eine Benutzergruppe an einem Terminal Server anmeldet.
Wir hatten früher eine NT Domäne und für den Logon an unseren Terminal Server pro Benutzer einen separaten Login erstellt, der ein anderes Logon-Script ausführte als der normale Login.
Jetzt haben wir auf AD umgestellt und wollen der Einfachheit halber für TS Login und normalen Login den selben Benutzer verwenden. Für den Terminal Server wollen wir noch eine Gruppenrichtlinie haben, die die Desktopsymbole ausblendet und Das Startmenü beschränkt.
Wie das geht wüsst ich noch aber wie muss ich die Gruppenrichtlinie verknüpfen, damit sie nur dann Zutrifft, wenn diese bestimmte Benutzergruppe sich genau an diesem Server anmeldet.
Also folgendermassen:
Benutzer Mustermann an lokalem Desktop -> Gruppenrichlinien gelten nicht
Benutzer Mustermann an Server01 -> Gruppenrichtlinie 1 wird berücksichtigt
Benutzer Mustermann an Server02 -> Gruppenrichtlinie 2 wird berücksichtigt
Administrator an Server01 oder 02 -> Gruppenrichlinien gelten nicht
So in etwa. Wie mach ich das?
Wir hatten früher eine NT Domäne und für den Logon an unseren Terminal Server pro Benutzer einen separaten Login erstellt, der ein anderes Logon-Script ausführte als der normale Login.
Jetzt haben wir auf AD umgestellt und wollen der Einfachheit halber für TS Login und normalen Login den selben Benutzer verwenden. Für den Terminal Server wollen wir noch eine Gruppenrichtlinie haben, die die Desktopsymbole ausblendet und Das Startmenü beschränkt.
Wie das geht wüsst ich noch aber wie muss ich die Gruppenrichtlinie verknüpfen, damit sie nur dann Zutrifft, wenn diese bestimmte Benutzergruppe sich genau an diesem Server anmeldet.
Also folgendermassen:
Benutzer Mustermann an lokalem Desktop -> Gruppenrichlinien gelten nicht
Benutzer Mustermann an Server01 -> Gruppenrichtlinie 1 wird berücksichtigt
Benutzer Mustermann an Server02 -> Gruppenrichtlinie 2 wird berücksichtigt
Administrator an Server01 oder 02 -> Gruppenrichlinien gelten nicht
So in etwa. Wie mach ich das?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 11584
Url: https://administrator.de/contentid/11584
Ausgedruckt am: 22.11.2024 um 20:11 Uhr
8 Kommentare
Neuester Kommentar
Ich denke ich weiss was du meinst.
Schon mal versucht die Policies auf der OU zu linken, wo die Hardware drinnen ist??
Also eine eigene OU für die TerminalServer wo du die Policies linkst, und eine OU für die Workstations wo du keine (oder andere) Policies linkst.
So in der Art müsste es funktionieren.
Hoff ich halt.
Schon mal versucht die Policies auf der OU zu linken, wo die Hardware drinnen ist??
Also eine eigene OU für die TerminalServer wo du die Policies linkst, und eine OU für die Workstations wo du keine (oder andere) Policies linkst.
So in der Art müsste es funktionieren.
Hoff ich halt.
Hmm, die würde doch dann auf den Administrator auch gelten wenn er sich an der Hardware anmeldet. Das würd mir dann aber die Arbeit ned erleichtern wenn ich dann als Admin keine Symbole mehr hab. Will ja nur das die Benutzer keine Symbole mehr haben.
Übernimmt der überhaupt die Benutzer-GPO wenn ich sie eigentlich auf einen Computer anwende? Nimmt der dann nicht nur die Computer-GPO?
Übernimmt der überhaupt die Benutzer-GPO wenn ich sie eigentlich auf einen Computer anwende? Nimmt der dann nicht nur die Computer-GPO?
Hm, könntest du auch wieder recht haben.
Les dich evtl. mal bei http://www.gruppenrichtlinien.de ein wenig ein.
Würd dir gerne genauere Hilfe geben - aber vielleicht hilft dir ja auch der LINK.
Les dich evtl. mal bei http://www.gruppenrichtlinien.de ein wenig ein.
Würd dir gerne genauere Hilfe geben - aber vielleicht hilft dir ja auch der LINK.
Schai dir mal die GPO "Loopbackverarbeitungsmodus für Benutzergruppenrichtlinie" unter
Computereinstelungen - Adm. Vorl. - System - Gruppenrichtlienien an. Die sollte tun was du willst.
Man kann für den TS eigene Loginscripte definieren. Das ging sogar schon unter NT.
Computereinstelungen - Adm. Vorl. - System - Gruppenrichtlienien an. Die sollte tun was du willst.
Man kann für den TS eigene Loginscripte definieren. Das ging sogar schon unter NT.
Habs mir grad durchgelesen. Das müsste genau das Richtige sein.
Ich werd das ausprobieren.
Heißt also quasi, ich erstell die benötigten Benutzerrichtlinien in der Computer-OU, aktivier dann den Loopback und dann gilt das für jeden Benutzer der sich an einem dieser Rechner anmeldet? Starkes Stück wenns geht. Danke vielmals.
Das Problem mit dem Admin hab ich übrigens grad selber gelöst. Ich entzieh dem Benutzer Administrator einfach die Leserechte auf die GPO und schon wird sie ned ausgeführt. Hab mir für alle Fälle noch einen Orga-Admin angelegt, mit dem ich zur Not die Richtlinie wieder ändern kann.
Ich werd das ausprobieren.
Heißt also quasi, ich erstell die benötigten Benutzerrichtlinien in der Computer-OU, aktivier dann den Loopback und dann gilt das für jeden Benutzer der sich an einem dieser Rechner anmeldet? Starkes Stück wenns geht. Danke vielmals.
Das Problem mit dem Admin hab ich übrigens grad selber gelöst. Ich entzieh dem Benutzer Administrator einfach die Leserechte auf die GPO und schon wird sie ned ausgeführt. Hab mir für alle Fälle noch einen Orga-Admin angelegt, mit dem ich zur Not die Richtlinie wieder ändern kann.
Ups, das mit dem Admin hatte ich gar nicht mehr gelesen.
Am besten legst du dir eine Gruppe im AD an, die nennst du z.B. NoPolicy.
Da schmeisst du den Admin rein und ggf noch andere wenn es mal nötig sein sollte. In den Gruppenrichtlinien stellst du dann ein, das sie die Richtlinie nicht ünernehmen sollen.
Der Trick mit dem lesen ist nur in Umgebungen ohne AD notwendig.
Am besten legst du dir eine Gruppe im AD an, die nennst du z.B. NoPolicy.
Da schmeisst du den Admin rein und ggf noch andere wenn es mal nötig sein sollte. In den Gruppenrichtlinien stellst du dann ein, das sie die Richtlinie nicht ünernehmen sollen.
Der Trick mit dem lesen ist nur in Umgebungen ohne AD notwendig.
Das ist noch eleganter. Dankeschön.
dem admin die leserechte entziehen ist bestimmt nicht die beste lösung, auch wenns funktioniert...
die gruppe 'authentifizierte benutzer' hat bestimmt die berechtigung 'richtlinie übernehmen'. da ist der admin mitglied.
besser ist es 'authentifizierte benutzer' durch eine andere gruppe zu ersetzen, wo der admin nicht mitglied ist.
dann hast das problem ebenfalls gelöst...
die gruppe 'authentifizierte benutzer' hat bestimmt die berechtigung 'richtlinie übernehmen'. da ist der admin mitglied.
besser ist es 'authentifizierte benutzer' durch eine andere gruppe zu ersetzen, wo der admin nicht mitglied ist.
dann hast das problem ebenfalls gelöst...
