GPO für RDP Verbindung
Hallo an euch,
ich versuche eine GPO zu basteln, die ich auf eine bestimmte Usergruppe verteilen kann.
Diese GPO soll folgendes machen:
Eine RDP Verknüpfung auf dem Desktop ablegen mit schon der Ip bzw. mit dem FQDN.
Ich bin noch relativ neu im GPO Bereich und würde mich über eine Rückmeldung freuen. Danke
ich versuche eine GPO zu basteln, die ich auf eine bestimmte Usergruppe verteilen kann.
Diese GPO soll folgendes machen:
Eine RDP Verknüpfung auf dem Desktop ablegen mit schon der Ip bzw. mit dem FQDN.
Ich bin noch relativ neu im GPO Bereich und würde mich über eine Rückmeldung freuen. Danke
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1711098945
Url: https://administrator.de/forum/gpo-fuer-rdp-verbindung-1711098945.html
Ausgedruckt am: 22.12.2024 um 17:12 Uhr
38 Kommentare
Neuester Kommentar
Moin,
ist einfach:
1. Die RDP-Verknüpfung erstellen und Zentral ablegen
2. unter Benutzerkonfiguration -> Einstellungen -> Windows Einstellungen -> Dateien eine neue Konfiguration anlegen. Zentralabgelegte Quelldatei auswählen und Zieldatei mit %username% Variable definieren
3. GPO für die entsprechenden User aktivieren
Gruß
Doskias
ist einfach:
1. Die RDP-Verknüpfung erstellen und Zentral ablegen
2. unter Benutzerkonfiguration -> Einstellungen -> Windows Einstellungen -> Dateien eine neue Konfiguration anlegen. Zentralabgelegte Quelldatei auswählen und Zieldatei mit %username% Variable definieren
3. GPO für die entsprechenden User aktivieren
Gruß
Doskias
Du öffnest eine die RDP-Verbindung, konfigurierst sie so wie sie sein soll und klickst dann auf erweiterte Option und dann auf Speichern unter. Das gespeicherte kommt dann auf den zentralen Speicherort und von da wird es verteilt.
Das was du gemacht hast ist auch richtig, damit die Verbindung überhaupt aufgebaut werden kann. Das muss aber auf dem Ziel-Rechner aktiviert werden. Die Verknüpfung auf den Clients. Aber Achtung: Wenn du die RDP-Verbindung aktivierst, dann hast du erstmal "nur" den Administrator berechtigt. Es empfiehlt sich auf dem Zielsystem dann eine AD-Gruppe zu hinterlegen, die sich damit verbinden darf. Und am besten die gleiche RDP-Gruppe für die auch die gespeicherte RDP-Verbindung verteilt. Dann ist es identisch und passt zusammen.
Gruß
Doskias
Das was du gemacht hast ist auch richtig, damit die Verbindung überhaupt aufgebaut werden kann. Das muss aber auf dem Ziel-Rechner aktiviert werden. Die Verknüpfung auf den Clients. Aber Achtung: Wenn du die RDP-Verbindung aktivierst, dann hast du erstmal "nur" den Administrator berechtigt. Es empfiehlt sich auf dem Zielsystem dann eine AD-Gruppe zu hinterlegen, die sich damit verbinden darf. Und am besten die gleiche RDP-Gruppe für die auch die gespeicherte RDP-Verbindung verteilt. Dann ist es identisch und passt zusammen.
Ich bin noch relativ neu im GPO Bereich und würde mich über eine Rückmeldung freuen.
Noch ein Hinweis: Computerrichtlinien werden nur für Computer ausgeführt. Benutzerrichtlinien nur für Benutzer. Aus organisatorischen Gründen sollten Benutzer und Computer im AD in unterschiedlichen OUs liegen. Folglich brauchst du vermutlich 2 GPOs. 1 x Computer die die RDP erlaubt (die du schon hast) und 1 x Benutzer die die konfigurierte RDP verteilt.Gruß
Doskias
Moin
ich würde das grundsätzlich ein wenig anders gestalten, indem ich die RDP-Datei zentral (z.B. im NETLOGON) ablege und nur eine Verknüpfung verteile.
Das hat den Vorteil, dass ich diese Datei als Benutzer nicht mehr verändern kann. Ich habe es schon erlebt, dass Anwender in der RDP-Datei irgendwas verändern und sich dann mit "das funktioniert nicht" melden. Die Tatsache, dass die Datei automatisch aktualisiert wird, schließt das ja eben nicht aus, weil die GPOs ja nur in regelmäßigen Abständen verarbeitet werden.
Gruß
ich würde das grundsätzlich ein wenig anders gestalten, indem ich die RDP-Datei zentral (z.B. im NETLOGON) ablege und nur eine Verknüpfung verteile.
Das hat den Vorteil, dass ich diese Datei als Benutzer nicht mehr verändern kann. Ich habe es schon erlebt, dass Anwender in der RDP-Datei irgendwas verändern und sich dann mit "das funktioniert nicht" melden. Die Tatsache, dass die Datei automatisch aktualisiert wird, schließt das ja eben nicht aus, weil die GPOs ja nur in regelmäßigen Abständen verarbeitet werden.
Gruß
Zitat von @Hubert.N:
Moin
ich würde das grundsätzlich ein wenig anders gestalten, indem ich die RDP-Datei zentral (z.B. im NETLOGON) ablege und nur eine Verknüpfung verteile.
Das hat den Vorteil, dass ich diese Datei als Benutzer nicht mehr verändern kann. Ich habe es schon erlebt, dass Anwender in der RDP-Datei irgendwas verändern und sich dann mit "das funktioniert nicht" melden. Die Tatsache, dass die Datei automatisch aktualisiert wird, schließt das ja eben nicht aus, weil die GPOs ja nur in regelmäßigen Abständen verarbeitet werden.
Gruß
Moin
ich würde das grundsätzlich ein wenig anders gestalten, indem ich die RDP-Datei zentral (z.B. im NETLOGON) ablege und nur eine Verknüpfung verteile.
Das hat den Vorteil, dass ich diese Datei als Benutzer nicht mehr verändern kann. Ich habe es schon erlebt, dass Anwender in der RDP-Datei irgendwas verändern und sich dann mit "das funktioniert nicht" melden. Die Tatsache, dass die Datei automatisch aktualisiert wird, schließt das ja eben nicht aus, weil die GPOs ja nur in regelmäßigen Abständen verarbeitet werden.
Gruß
Das ist ein guter Punkt. Wobei ich der Meinung bin, dass es ein Anwenderproblem ist, wenn er daran rumfummelt. zur Not muss er sich halt einmal ab- und wieder anmelden. Lernt er wenigstens nicht überall dran rumzufummeln
Gruß
Doskias
Siehe
Ersetzen ist im Prinzip löschen und neu anlegen. Das ist bei der Dateiverknüpfung im Prinzip egal.
Aktualisieren ist etwas harmloser, da es nicht löscht und nur die Daten aktualisiert.
Wie gesagt: In der Situation egal. Wenn du aber tiefer in GPOs einsteigst, wie bei Netzlaufwerken, wirst du einen deutlichen Unterschied zwischen ersetzen und aktualisieren feststellen und schmerzhaft lernen wo der Unterschied ist, wenn du es nicht verinnerlichst
Ersetzen ist im Prinzip löschen und neu anlegen. Das ist bei der Dateiverknüpfung im Prinzip egal.
Aktualisieren ist etwas harmloser, da es nicht löscht und nur die Daten aktualisiert.
Wie gesagt: In der Situation egal. Wenn du aber tiefer in GPOs einsteigst, wie bei Netzlaufwerken, wirst du einen deutlichen Unterschied zwischen ersetzen und aktualisieren feststellen und schmerzhaft lernen wo der Unterschied ist, wenn du es nicht verinnerlichst
Ist jetzt schwer zu sagen woran es liegt, wenn du keine Logs oder ähnliches postest. Geht nicht ist das Symptom. Ohne Fehler oder Hinweis warum es nicht geht kann man nur raten. Ich versuch es mal mit:
Du hast die AD-Gruppe heute erst erstellt in der die Zuordnung in der GPO stattfindet. Wenn dem so ist: Bis morgen warten.
Du hast die AD-Gruppe heute erst erstellt in der die Zuordnung in der GPO stattfindet. Wenn dem so ist: Bis morgen warten.
Wenn du die Gruppe heute erst erstellt hast brauch ich keine logs. ansonsten musst du halt schauen wo irgendwas protokolliert wird, was nicht klappt. Das kann System sein, aber auch Security. In dem Fall Application eher nicht.
Ich hatte einmal eine Seite gefunden in der erklärt wird, wieso neue Gruppen erst am nächsten Tag funktionieren. Ich finde den Artikel leider nicht wieder. Es ist eine der FSMO-Rollen die nur alle 22 oder 24 Stunden synchronisiert wird, und das ist standardmäßig zwischen 01:00 Uhr und 03:00 Uhr nachts. Das ist nichts GPO-Spezifisches sondern allgemein, wenn du eine Gruppe im AD anlegst (auch für Ordnerfreigaben). Vielleicht finde ich den Artikel irgendwann wieder
Prüfe auf jeden Fall noch einmal ob die Sicherheitsfilterung und Delegierung auch richtig ist. Empfohlen ist hier in beiden den "authentifizierten Benutzer" drin stehen zu haben und bei der zu verteilenden Datei unter gemeinsame Optionen die Zielgruppenadressierung zu aktivieren und dort deine AD-Gruppe einzutragen.
Ich hatte einmal eine Seite gefunden in der erklärt wird, wieso neue Gruppen erst am nächsten Tag funktionieren. Ich finde den Artikel leider nicht wieder. Es ist eine der FSMO-Rollen die nur alle 22 oder 24 Stunden synchronisiert wird, und das ist standardmäßig zwischen 01:00 Uhr und 03:00 Uhr nachts. Das ist nichts GPO-Spezifisches sondern allgemein, wenn du eine Gruppe im AD anlegst (auch für Ordnerfreigaben). Vielleicht finde ich den Artikel irgendwann wieder
Prüfe auf jeden Fall noch einmal ob die Sicherheitsfilterung und Delegierung auch richtig ist. Empfohlen ist hier in beiden den "authentifizierten Benutzer" drin stehen zu haben und bei der zu verteilenden Datei unter gemeinsame Optionen die Zielgruppenadressierung zu aktivieren und dort deine AD-Gruppe einzutragen.
Ja so geht es auch. In dem Fall musst du aber für jede Datei die du verteilst eine eigene GPO erteilen. Wenn du es über die Zielgruppenadressierung machst, kannst du alle Dateien (und noch viel mehr) in einer GPO verwalten. Auf Dauer kannst du dann eine GPO mit einem erklärenden Namen haben und dort die Gruppen Eintragen. Solange es eine Datei ist, ist es egal, aber das gleiche Vorgehen kannst du ja auch bei Druckern machen. Da ist es dann ein unterschied ob du eine GPO mit 50 Druckern hast oder 50 GPOs mit jeweils einem Drucker.
Zitat von @Deaxx84:
gibt es eine variable, womit ich C:\Users\%username%\Desktop besser verteilen könnte, also wenn user jetzt z.B.
mustermann.domain.intern kommen?
gibt es eine variable, womit ich C:\Users\%username%\Desktop besser verteilen könnte, also wenn user jetzt z.B.
mustermann.domain.intern kommen?
nimm mal
%userprofile%
vorher noch im einem CMD-Fenster ein echo %userprofile% eintippen, damit du siehst, was dabei herumkommt
Zitat von @Deaxx84:
Hallo,
also ich habe einem Test User jetzt die Sicherheitsgruppe gegeben.
Die besagte gpo wird auch angewendet, aber auf dem Desktop wird die RDP Verknüpfung nicht hinterlegt.
Angewendete Gruppenrichtlinienobjekte
--------------------------------------
_test.rdp.verknüpfung
Kann ich es irgendwie testen ?
Achso die RDP dabei ist im test.intern\NETLOGON hinterlegt
Hallo,
also ich habe einem Test User jetzt die Sicherheitsgruppe gegeben.
Die besagte gpo wird auch angewendet, aber auf dem Desktop wird die RDP Verknüpfung nicht hinterlegt.
Angewendete Gruppenrichtlinienobjekte
--------------------------------------
_test.rdp.verknüpfung
Kann ich es irgendwie testen ?
Achso die RDP dabei ist im test.intern\NETLOGON hinterlegt
Wie sieht denn deine GPO jetzt aus?
C:\Users\%username%\Desktop
C:\Users\%userprofile%\Desktop
%userprofile%\Desktop
eine der drei Möglichkeiten ist definitiv falsch
Ansonsten bist du eigentlich mit dem Test schon auf dem richtigen weg
Gruß
Doskias
Nachtrag: Bei mir sieht es so aus und funktioniert auf Anhieb:
Hinweis: Mein Desktop wird von C:\Users\%username%\Desktop auf C:\eigeneDaten\%username%\Desktop umgeleitet
Guten Morgen
nur mal als Anregung die Eigenschaften eines bei einem meiner Kunden funktionierenden Objektes. Ich verteile in der GPO eine Verknüpfung:
Worauf Du immer achten musst ist es, den richtigen Zielort auszuwählen. Das Konfigurationsoptionen sind bei Computer- und Benutzerrichtlinie identisch. Allerdings kannst Du z.B. im Benutzerteil keine Verknüpfung auf den Öffentlichen Desktop ablegen, obwohl die Option angeboten wird.
Gruß
nur mal als Anregung die Eigenschaften eines bei einem meiner Kunden funktionierenden Objektes. Ich verteile in der GPO eine Verknüpfung:
Worauf Du immer achten musst ist es, den richtigen Zielort auszuwählen. Das Konfigurationsoptionen sind bei Computer- und Benutzerrichtlinie identisch. Allerdings kannst Du z.B. im Benutzerteil keine Verknüpfung auf den Öffentlichen Desktop ablegen, obwohl die Option angeboten wird.
Gruß
Hier ist dein Ziel falsch.
Es muss ja
lauten.
Du versuchst aber gerade die Verknüpfung namens Desktop in das Benutzerprofil zu schreiben.
Es muss ja
%USERPROFILE%\Desktop\myRDP Session
Du versuchst aber gerade die Verknüpfung namens Desktop in das Benutzerprofil zu schreiben.
Und ändere mal in der GPO folgendes:
Im Tab "Bereich" unter Sicherheitsfilterung die "Authentifizierten Benutzer" löschen sowie unter dem Tab "Delegierung" diese Gruppe dort wieder einfügen.
Du sorgst gerade dafür, dass nicht nur deine Sicherheitsgruppe "[irgendwas]TS[Irgendwas]" die Richtlinie abbekommt, sondern ALLE.
Mit meiner genannten Korrektur können (müssen) zwar alle User die GPO hinsichtlich der Berechtigung lesen können, werden dann aber nur für diejenigen Objekte gezogen, die unter "Sicherheitsfilterung" definiert wurden.
Im Tab "Bereich" unter Sicherheitsfilterung die "Authentifizierten Benutzer" löschen sowie unter dem Tab "Delegierung" diese Gruppe dort wieder einfügen.
Du sorgst gerade dafür, dass nicht nur deine Sicherheitsgruppe "[irgendwas]TS[Irgendwas]" die Richtlinie abbekommt, sondern ALLE.
Mit meiner genannten Korrektur können (müssen) zwar alle User die GPO hinsichtlich der Berechtigung lesen können, werden dann aber nur für diejenigen Objekte gezogen, die unter "Sicherheitsfilterung" definiert wurden.
... und solange Du die Gruppe "authentifizierte Benutzer" da drin lässt, kannst Du so viel mit Gruppen basteln wie Du willst - die GPO wird für alle angewendet werden. Willst Du, dass eine GPO nur für bestimmte Benutzer angewendet wird, so musst Du diese Gruppe entfernen. Dafür dann z.B. "Domänencomputer" hinzufügen und die Benutzergruppe mit den Benutzern, die die Verknüpfung bekommen sollen. Oder Du regelst das (besser...) über eine Zielgruppenadressierung. Dann musst Du nicht nur für eine einzige Einstellung eine eigene GPO basteln.
Hab ich ja gestern um 16:11 Uhr schon gesagt, dass ich die Filterung via Zielgruppenadressierung durchführen würde, da es meistens nicht bei einer Datei bleibt die man darüber verteilt.
Aber wie @Deaxx84 ganz am Anfang schreibt:
Gruß
Doskias
Aber wie @Deaxx84 ganz am Anfang schreibt:
Ich bin noch relativ neu im GPO Bereich
Das wird er nach und nach alles lernen, verstehen und zu handeln wissen. Jetzt am Ball bleiben und weiter so.Gruß
Doskias
Naja das siehst du doch schon bei der GPO. Du hast ja links die Struktur mit den aufgelisteten Domänen. Wenn dein DC für mehrere Domänen zuständig ist, dann kannst du die GPO kopieren. Aber prinzipiell legst du die GPO erstmal für eine Domäne an. Das ist wie gesagt deutlich sichtbar.
hast du Firma1.de und Firma2.de, dann musst du es für jede Firma separat konfigurieren.
Hast du Standort1.fima.de und Standort2.firma.de, dann legst du die GPO für Firma.de an und sie greift an beiden Standorten. Du kannst allerdings auch eine GPO unter Standort1.firma.de anlegen, die dann wiederum nur an Standort1 greift.
Gruß
Doskias
hast du Firma1.de und Firma2.de, dann musst du es für jede Firma separat konfigurieren.
Hast du Standort1.fima.de und Standort2.firma.de, dann legst du die GPO für Firma.de an und sie greift an beiden Standorten. Du kannst allerdings auch eine GPO unter Standort1.firma.de anlegen, die dann wiederum nur an Standort1 greift.
Gruß
Doskias
@Deaxx84
Lass mal etwas mehr Sorgfalt walten.
Der Namen deiner Domain ist nicht mehr Anonym. Und nach "Test-Domain" sieht das nicht aus.
Lass mal etwas mehr Sorgfalt walten.
Der Namen deiner Domain ist nicht mehr Anonym. Und nach "Test-Domain" sieht das nicht aus.