deaxx84
Goto Top

GPO für RDP Verbindung

Hallo an euch,

ich versuche eine GPO zu basteln, die ich auf eine bestimmte Usergruppe verteilen kann.
Diese GPO soll folgendes machen:

Eine RDP Verknüpfung auf dem Desktop ablegen mit schon der Ip bzw. mit dem FQDN.

Ich bin noch relativ neu im GPO Bereich und würde mich über eine Rückmeldung freuen. Danke

Content-ID: 1711098945

Url: https://administrator.de/forum/gpo-fuer-rdp-verbindung-1711098945.html

Ausgedruckt am: 22.12.2024 um 17:12 Uhr

Doskias
Doskias 11.01.2022 um 09:15:46 Uhr
Goto Top
Moin,

ist einfach:
1. Die RDP-Verknüpfung erstellen und Zentral ablegen
2. unter Benutzerkonfiguration -> Einstellungen -> Windows Einstellungen -> Dateien eine neue Konfiguration anlegen. Zentralabgelegte Quelldatei auswählen und Zieldatei mit %username% Variable definieren
3. GPO für die entsprechenden User aktivieren

Gruß
Doskias
em-pie
em-pie 11.01.2022 um 09:18:55 Uhr
Goto Top
Moin,

Schaue in die GPO unter den Benutzereinstellungen.
Dort „irgendwo“ kannst du Verknüpfungen anlegen.
Ziel: Desktop
Die Verknüpfung zeigt dann auf:
C:\windows\System32\mstsc.exe /v:deinSystem.company.tld
Name der Verknpüfung ist dann ja Wurscht.


Gruß
em-pie
Deaxx84
Deaxx84 11.01.2022 um 11:26:13 Uhr
Goto Top
Hallo, danke für die Rückmeldungen.

Ich würde jetzt eine .rdp Datei erstellen mit den jeweiligen Zieldaten und diese dann in der GPO unter Benutzerkonfiguration -> Einstellungen -> Windows Einstellungen -> Dateien zentral (Filesserver oder Profilordner) ablegen.
gpo anfang
Doskias
Doskias 11.01.2022 um 11:48:49 Uhr
Goto Top
Du öffnest eine die RDP-Verbindung, konfigurierst sie so wie sie sein soll und klickst dann auf erweiterte Option und dann auf Speichern unter. Das gespeicherte kommt dann auf den zentralen Speicherort und von da wird es verteilt.

Das was du gemacht hast ist auch richtig, damit die Verbindung überhaupt aufgebaut werden kann. Das muss aber auf dem Ziel-Rechner aktiviert werden. Die Verknüpfung auf den Clients. Aber Achtung: Wenn du die RDP-Verbindung aktivierst, dann hast du erstmal "nur" den Administrator berechtigt. Es empfiehlt sich auf dem Zielsystem dann eine AD-Gruppe zu hinterlegen, die sich damit verbinden darf. Und am besten die gleiche RDP-Gruppe für die auch die gespeicherte RDP-Verbindung verteilt. Dann ist es identisch und passt zusammen.

Ich bin noch relativ neu im GPO Bereich und würde mich über eine Rückmeldung freuen.
Noch ein Hinweis: Computerrichtlinien werden nur für Computer ausgeführt. Benutzerrichtlinien nur für Benutzer. Aus organisatorischen Gründen sollten Benutzer und Computer im AD in unterschiedlichen OUs liegen. Folglich brauchst du vermutlich 2 GPOs. 1 x Computer die die RDP erlaubt (die du schon hast) und 1 x Benutzer die die konfigurierte RDP verteilt.

Gruß
Doskias
Hubert.N
Hubert.N 11.01.2022 um 12:10:55 Uhr
Goto Top
Moin

ich würde das grundsätzlich ein wenig anders gestalten, indem ich die RDP-Datei zentral (z.B. im NETLOGON) ablege und nur eine Verknüpfung verteile.
Das hat den Vorteil, dass ich diese Datei als Benutzer nicht mehr verändern kann. Ich habe es schon erlebt, dass Anwender in der RDP-Datei irgendwas verändern und sich dann mit "das funktioniert nicht" melden. Die Tatsache, dass die Datei automatisch aktualisiert wird, schließt das ja eben nicht aus, weil die GPOs ja nur in regelmäßigen Abständen verarbeitet werden.

Gruß
Doskias
Doskias 11.01.2022 um 13:25:45 Uhr
Goto Top
Zitat von @Hubert.N:
Moin
ich würde das grundsätzlich ein wenig anders gestalten, indem ich die RDP-Datei zentral (z.B. im NETLOGON) ablege und nur eine Verknüpfung verteile.
Das hat den Vorteil, dass ich diese Datei als Benutzer nicht mehr verändern kann. Ich habe es schon erlebt, dass Anwender in der RDP-Datei irgendwas verändern und sich dann mit "das funktioniert nicht" melden. Die Tatsache, dass die Datei automatisch aktualisiert wird, schließt das ja eben nicht aus, weil die GPOs ja nur in regelmäßigen Abständen verarbeitet werden.
Gruß

Das ist ein guter Punkt. Wobei ich der Meinung bin, dass es ein Anwenderproblem ist, wenn er daran rumfummelt. zur Not muss er sich halt einmal ab- und wieder anmelden. Lernt er wenigstens nicht überall dran rumzufummeln face-smile

Gruß
Doskias
Deaxx84
Deaxx84 11.01.2022 um 14:17:35 Uhr
Goto Top
Kurze Frage, welches Ziel gebe ich dann an ?
ziel
Deaxx84
Deaxx84 11.01.2022 um 14:21:11 Uhr
Goto Top
Also es wäre ja der Desktop, aber wäre es dann :
C:\Users\%username%\Desktop
Doskias
Doskias 11.01.2022 aktualisiert um 14:23:20 Uhr
Goto Top
Den Ort wo der Desktop der User liegt. Wenn er per GPO nicht umgeleitet wird, solltest du mit C:\Users\%username%\Desktop zum ziel kommen.

Und nicht auf erstellen. Erstellen erstellt die Datei/Verknüpfung nur. Wenn der User daran rumfummelt wird der Fehler nicht korrigiert.
Deaxx84
Deaxx84 11.01.2022 um 14:25:01 Uhr
Goto Top
auf was soll es dann auf "Ersetzen"?
Doskias
Doskias 11.01.2022 um 14:29:13 Uhr
Goto Top
Siehe

Ersetzen ist im Prinzip löschen und neu anlegen. Das ist bei der Dateiverknüpfung im Prinzip egal.
Aktualisieren ist etwas harmloser, da es nicht löscht und nur die Daten aktualisiert.

Wie gesagt: In der Situation egal. Wenn du aber tiefer in GPOs einsteigst, wie bei Netzlaufwerken, wirst du einen deutlichen Unterschied zwischen ersetzen und aktualisieren feststellen und schmerzhaft lernen wo der Unterschied ist, wenn du es nicht verinnerlichst face-wink
Deaxx84
Deaxx84 11.01.2022 um 15:27:45 Uhr
Goto Top
Ok, also der Test User zieht sich zwar die GPO,aber sie erstellt kein RDP ICon auf dem Desktop.

Ich habe mich jetzt mit dem Test User auf einer Standard Workstadion angemeldet.
Doskias
Doskias 11.01.2022 um 15:47:02 Uhr
Goto Top
Ist jetzt schwer zu sagen woran es liegt, wenn du keine Logs oder ähnliches postest. Geht nicht ist das Symptom. Ohne Fehler oder Hinweis warum es nicht geht kann man nur raten. Ich versuch es mal mit:
Du hast die AD-Gruppe heute erst erstellt in der die Zuordnung in der GPO stattfindet. Wenn dem so ist: Bis morgen warten.
Deaxx84
Deaxx84 11.01.2022 um 15:49:54 Uhr
Goto Top
OK , dann warte ich, aber per gpresult -r sehe ich , dass der Testuser die angewendete GPO bekommen hat.
Deaxx84
Deaxx84 11.01.2022 um 15:51:41 Uhr
Goto Top
Was für Logs benötigst Du denn ?
Doskias
Doskias 11.01.2022 um 16:14:24 Uhr
Goto Top
Wenn du die Gruppe heute erst erstellt hast brauch ich keine logs. ansonsten musst du halt schauen wo irgendwas protokolliert wird, was nicht klappt. Das kann System sein, aber auch Security. In dem Fall Application eher nicht.

Ich hatte einmal eine Seite gefunden in der erklärt wird, wieso neue Gruppen erst am nächsten Tag funktionieren. Ich finde den Artikel leider nicht wieder. Es ist eine der FSMO-Rollen die nur alle 22 oder 24 Stunden synchronisiert wird, und das ist standardmäßig zwischen 01:00 Uhr und 03:00 Uhr nachts. Das ist nichts GPO-Spezifisches sondern allgemein, wenn du eine Gruppe im AD anlegst (auch für Ordnerfreigaben). Vielleicht finde ich den Artikel irgendwann wieder face-smile

Prüfe auf jeden Fall noch einmal ob die Sicherheitsfilterung und Delegierung auch richtig ist. Empfohlen ist hier in beiden den "authentifizierten Benutzer" drin stehen zu haben und bei der zu verteilenden Datei unter gemeinsame Optionen die Zielgruppenadressierung zu aktivieren und dort deine AD-Gruppe einzutragen.
Deaxx84
Deaxx84 11.01.2022 um 16:22:57 Uhr
Goto Top
Hier habe ich folgendes hinterlegt
Doskias
Doskias 11.01.2022 um 16:29:33 Uhr
Goto Top
Ja so geht es auch. In dem Fall musst du aber für jede Datei die du verteilst eine eigene GPO erteilen. Wenn du es über die Zielgruppenadressierung machst, kannst du alle Dateien (und noch viel mehr) in einer GPO verwalten. Auf Dauer kannst du dann eine GPO mit einem erklärenden Namen haben und dort die Gruppen Eintragen. Solange es eine Datei ist, ist es egal, aber das gleiche Vorgehen kannst du ja auch bei Druckern machen. Da ist es dann ein unterschied ob du eine GPO mit 50 Druckern hast oder 50 GPOs mit jeweils einem Drucker.
Deaxx84
Deaxx84 11.01.2022 um 17:23:35 Uhr
Goto Top
gibt es eine variable, womit ich C:\Users\%username%\Desktop besser verteilen könnte, also wenn user jetzt z.B.
mustermann.domain.intern kommen?
em-pie
em-pie 11.01.2022 um 17:35:19 Uhr
Goto Top
Zitat von @Deaxx84:

gibt es eine variable, womit ich C:\Users\%username%\Desktop besser verteilen könnte, also wenn user jetzt z.B.
mustermann.domain.intern kommen?

nimm mal %userprofile%

vorher noch im einem CMD-Fenster ein echo %userprofile% eintippen, damit du siehst, was dabei herumkommt face-wink
Dirmhirn
Dirmhirn 11.01.2022 um 19:40:39 Uhr
Goto Top
Würde das auf den Common Desktop legen, oder werden die Computer geteilt? Bzw wäre es schlimm, wenn auch mal ein anderer User die Verknüpfung sieht?
Dann können die User auch nicht drann werken.
Sg Dirm
Deaxx84
Deaxx84 12.01.2022 um 08:43:32 Uhr
Goto Top
Hallo,
also ich habe einem Test User jetzt die Sicherheitsgruppe gegeben.
Die besagte gpo wird auch angewendet, aber auf dem Desktop wird die RDP Verknüpfung nicht hinterlegt.

Angewendete Gruppenrichtlinienobjekte
--------------------------------------
_test.rdp.verknüpfung


Kann ich es irgendwie testen ?

Achso die RDP dabei ist im test.intern\NETLOGON hinterlegt
Doskias
Doskias 12.01.2022 aktualisiert um 09:19:11 Uhr
Goto Top
Zitat von @Deaxx84:

Hallo,
also ich habe einem Test User jetzt die Sicherheitsgruppe gegeben.
Die besagte gpo wird auch angewendet, aber auf dem Desktop wird die RDP Verknüpfung nicht hinterlegt.

Angewendete Gruppenrichtlinienobjekte
--------------------------------------
_test.rdp.verknüpfung


Kann ich es irgendwie testen ?

Achso die RDP dabei ist im test.intern\NETLOGON hinterlegt

Wie sieht denn deine GPO jetzt aus?
C:\Users\%username%\Desktop
C:\Users\%userprofile%\Desktop
%userprofile%\Desktop

eine der drei Möglichkeiten ist definitiv falsch face-smile

Ansonsten bist du eigentlich mit dem Test schon auf dem richtigen weg

Gruß
Doskias

Nachtrag: Bei mir sieht es so aus und funktioniert auf Anhieb:
gpo

Hinweis: Mein Desktop wird von C:\Users\%username%\Desktop auf C:\eigeneDaten\%username%\Desktop umgeleitet
Hubert.N
Hubert.N 12.01.2022 um 09:21:41 Uhr
Goto Top
Guten Morgen face-smile

nur mal als Anregung die Eigenschaften eines bei einem meiner Kunden funktionierenden Objektes. Ich verteile in der GPO eine Verknüpfung:
terminal
Worauf Du immer achten musst ist es, den richtigen Zielort auszuwählen. Das Konfigurationsoptionen sind bei Computer- und Benutzerrichtlinie identisch. Allerdings kannst Du z.B. im Benutzerteil keine Verknüpfung auf den Öffentlichen Desktop ablegen, obwohl die Option angeboten wird.

Gruß
Deaxx84
Deaxx84 12.01.2022 um 09:27:50 Uhr
Goto Top
%userprofile%\Desktop - diese ist ausgewählt und die datei ist so
2
rdp
Doskias
Doskias 12.01.2022 aktualisiert um 09:31:01 Uhr
Goto Top
Ah da ist das Problem. Du musst bei Ziel den Dateinamen noch mit angeben. Also ein \Irgendwas.rdp noch hinten dran. Dann wird es funktionieren. Es wir der Dateiname erwartet, nicht nur der Pfad.

Gruß
Doskias
Deaxx84
Lösung Deaxx84 12.01.2022 um 09:30:43 Uhr
Goto Top
Front
3
Deaxx84
Lösung Deaxx84 12.01.2022 um 09:31:43 Uhr
Goto Top
Hier die Delegierung
4
em-pie
em-pie 12.01.2022 um 09:34:42 Uhr
Goto Top
Zitat von @Deaxx84:

%userprofile%\Desktop - diese ist ausgewählt und die datei ist so
Hier ist dein Ziel falsch.
Es muss ja
%USERPROFILE%\Desktop\myRDP Session
lauten.
Du versuchst aber gerade die Verknüpfung namens Desktop in das Benutzerprofil zu schreiben.
em-pie
em-pie 12.01.2022 um 09:38:07 Uhr
Goto Top
Und ändere mal in der GPO folgendes:

Im Tab "Bereich" unter Sicherheitsfilterung die "Authentifizierten Benutzer" löschen sowie unter dem Tab "Delegierung" diese Gruppe dort wieder einfügen.

Du sorgst gerade dafür, dass nicht nur deine Sicherheitsgruppe "[irgendwas]TS[Irgendwas]" die Richtlinie abbekommt, sondern ALLE.


Mit meiner genannten Korrektur können (müssen) zwar alle User die GPO hinsichtlich der Berechtigung lesen können, werden dann aber nur für diejenigen Objekte gezogen, die unter "Sicherheitsfilterung" definiert wurden.
Hubert.N
Hubert.N 12.01.2022 um 09:40:32 Uhr
Goto Top
... und solange Du die Gruppe "authentifizierte Benutzer" da drin lässt, kannst Du so viel mit Gruppen basteln wie Du willst - die GPO wird für alle angewendet werden. Willst Du, dass eine GPO nur für bestimmte Benutzer angewendet wird, so musst Du diese Gruppe entfernen. Dafür dann z.B. "Domänencomputer" hinzufügen und die Benutzergruppe mit den Benutzern, die die Verknüpfung bekommen sollen. Oder Du regelst das (besser...) über eine Zielgruppenadressierung. Dann musst Du nicht nur für eine einzige Einstellung eine eigene GPO basteln.
Deaxx84
Deaxx84 12.01.2022 um 09:49:56 Uhr
Goto Top
Ok, jetzt klappt es, megaaaa. jetzt brauch ich
Doskias
Doskias 12.01.2022 um 10:00:15 Uhr
Goto Top
Hab ich ja gestern um 16:11 Uhr schon gesagt, dass ich die Filterung via Zielgruppenadressierung durchführen würde, da es meistens nicht bei einer Datei bleibt die man darüber verteilt.

Aber wie @Deaxx84 ganz am Anfang schreibt:
Ich bin noch relativ neu im GPO Bereich
Das wird er nach und nach alles lernen, verstehen und zu handeln wissen. Jetzt am Ball bleiben und weiter so.

Gruß
Doskias
Deaxx84
Deaxx84 12.01.2022 um 10:31:35 Uhr
Goto Top
Aber noch eine Frage, wenn ich 2 Domains habe und jetzt möchte, dass die Sicherheitsgruppe auch auf die andere Domain läuft , geht diese?
Weil diese taucht hier nicht auf.
Ich habe hier die interne Domaine gewechselt
6
Doskias
Doskias 12.01.2022 um 10:47:55 Uhr
Goto Top
Naja das siehst du doch schon bei der GPO. Du hast ja links die Struktur mit den aufgelisteten Domänen. Wenn dein DC für mehrere Domänen zuständig ist, dann kannst du die GPO kopieren. Aber prinzipiell legst du die GPO erstmal für eine Domäne an. Das ist wie gesagt deutlich sichtbar.

hast du Firma1.de und Firma2.de, dann musst du es für jede Firma separat konfigurieren.
Hast du Standort1.fima.de und Standort2.firma.de, dann legst du die GPO für Firma.de an und sie greift an beiden Standorten. Du kannst allerdings auch eine GPO unter Standort1.firma.de anlegen, die dann wiederum nur an Standort1 greift.

Gruß
Doskias
Deaxx84
Deaxx84 12.01.2022 um 11:02:33 Uhr
Goto Top
ich habe eigentlich eine test.intern und eine test-1.intern

Jetzt sollen User die in der test.intern sind sich auf die RDP Session für die test-1.intern einwählen und hier soll dann die GPO greifen
Doskias
Doskias 12.01.2022 um 11:11:37 Uhr
Goto Top
So rum ist das kein Problem. Du musst die RDP für die test.intern-Benutzer verteilen und in der RDP ist dann die Verbindung zu test-1.intern hinterlegt.
148656
148656 12.01.2022 um 11:16:13 Uhr
Goto Top
@Deaxx84
Lass mal etwas mehr Sorgfalt walten.
Der Namen deiner Domain ist nicht mehr Anonym. Und nach "Test-Domain" sieht das nicht aus.