38
GPO für RDP Verbindung
Hallo an euch,
ich versuche eine GPO zu basteln, die ich auf eine bestimmte Usergruppe verteilen kann.
Diese GPO soll folgendes machen:
Eine RDP Verknüpfung auf dem Desktop ablegen mit schon der Ip bzw. mit dem FQDN.
Ich bin noch relativ neu im GPO Bereich und würde mich über eine Rückmeldung freuen. Danke
ich versuche eine GPO zu basteln, die ich auf eine bestimmte Usergruppe verteilen kann.
Diese GPO soll folgendes machen:
Eine RDP Verknüpfung auf dem Desktop ablegen mit schon der Ip bzw. mit dem FQDN.
Ich bin noch relativ neu im GPO Bereich und würde mich über eine Rückmeldung freuen. Danke
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1711098945
Url: https://administrator.de/contentid/1711098945
Printed on: April 25, 2024 at 08:04 o'clock
38 Comments
Latest comment
Moin,
ist einfach:
1. Die RDP-Verknüpfung erstellen und Zentral ablegen
2. unter Benutzerkonfiguration -> Einstellungen -> Windows Einstellungen -> Dateien eine neue Konfiguration anlegen. Zentralabgelegte Quelldatei auswählen und Zieldatei mit %username% Variable definieren
3. GPO für die entsprechenden User aktivieren
Gruß
Doskias
ist einfach:
1. Die RDP-Verknüpfung erstellen und Zentral ablegen
2. unter Benutzerkonfiguration -> Einstellungen -> Windows Einstellungen -> Dateien eine neue Konfiguration anlegen. Zentralabgelegte Quelldatei auswählen und Zieldatei mit %username% Variable definieren
3. GPO für die entsprechenden User aktivieren
Gruß
Doskias
Moin,
Schaue in die GPO unter den Benutzereinstellungen.
Dort „irgendwo“ kannst du Verknüpfungen anlegen.
Ziel: Desktop
Die Verknüpfung zeigt dann auf:
C:\windows\System32\mstsc.exe /v:deinSystem.company.tld
Name der Verknpüfung ist dann ja Wurscht.
Gruß
em-pie
Schaue in die GPO unter den Benutzereinstellungen.
Dort „irgendwo“ kannst du Verknüpfungen anlegen.
Ziel: Desktop
Die Verknüpfung zeigt dann auf:
C:\windows\System32\mstsc.exe /v:deinSystem.company.tld
Name der Verknpüfung ist dann ja Wurscht.
Gruß
em-pie
Hallo, danke für die Rückmeldungen.
Ich würde jetzt eine .rdp Datei erstellen mit den jeweiligen Zieldaten und diese dann in der GPO unter Benutzerkonfiguration -> Einstellungen -> Windows Einstellungen -> Dateien zentral (Filesserver oder Profilordner) ablegen.
Ich würde jetzt eine .rdp Datei erstellen mit den jeweiligen Zieldaten und diese dann in der GPO unter Benutzerkonfiguration -> Einstellungen -> Windows Einstellungen -> Dateien zentral (Filesserver oder Profilordner) ablegen.
Du öffnest eine die RDP-Verbindung, konfigurierst sie so wie sie sein soll und klickst dann auf erweiterte Option und dann auf Speichern unter. Das gespeicherte kommt dann auf den zentralen Speicherort und von da wird es verteilt.
Das was du gemacht hast ist auch richtig, damit die Verbindung überhaupt aufgebaut werden kann. Das muss aber auf dem Ziel-Rechner aktiviert werden. Die Verknüpfung auf den Clients. Aber Achtung: Wenn du die RDP-Verbindung aktivierst, dann hast du erstmal "nur" den Administrator berechtigt. Es empfiehlt sich auf dem Zielsystem dann eine AD-Gruppe zu hinterlegen, die sich damit verbinden darf. Und am besten die gleiche RDP-Gruppe für die auch die gespeicherte RDP-Verbindung verteilt. Dann ist es identisch und passt zusammen.
Gruß
Doskias
Das was du gemacht hast ist auch richtig, damit die Verbindung überhaupt aufgebaut werden kann. Das muss aber auf dem Ziel-Rechner aktiviert werden. Die Verknüpfung auf den Clients. Aber Achtung: Wenn du die RDP-Verbindung aktivierst, dann hast du erstmal "nur" den Administrator berechtigt. Es empfiehlt sich auf dem Zielsystem dann eine AD-Gruppe zu hinterlegen, die sich damit verbinden darf. Und am besten die gleiche RDP-Gruppe für die auch die gespeicherte RDP-Verbindung verteilt. Dann ist es identisch und passt zusammen.
Ich bin noch relativ neu im GPO Bereich und würde mich über eine Rückmeldung freuen.
Noch ein Hinweis: Computerrichtlinien werden nur für Computer ausgeführt. Benutzerrichtlinien nur für Benutzer. Aus organisatorischen Gründen sollten Benutzer und Computer im AD in unterschiedlichen OUs liegen. Folglich brauchst du vermutlich 2 GPOs. 1 x Computer die die RDP erlaubt (die du schon hast) und 1 x Benutzer die die konfigurierte RDP verteilt.Gruß
Doskias
Moin
ich würde das grundsätzlich ein wenig anders gestalten, indem ich die RDP-Datei zentral (z.B. im NETLOGON) ablege und nur eine Verknüpfung verteile.
Das hat den Vorteil, dass ich diese Datei als Benutzer nicht mehr verändern kann. Ich habe es schon erlebt, dass Anwender in der RDP-Datei irgendwas verändern und sich dann mit "das funktioniert nicht" melden. Die Tatsache, dass die Datei automatisch aktualisiert wird, schließt das ja eben nicht aus, weil die GPOs ja nur in regelmäßigen Abständen verarbeitet werden.
Gruß
ich würde das grundsätzlich ein wenig anders gestalten, indem ich die RDP-Datei zentral (z.B. im NETLOGON) ablege und nur eine Verknüpfung verteile.
Das hat den Vorteil, dass ich diese Datei als Benutzer nicht mehr verändern kann. Ich habe es schon erlebt, dass Anwender in der RDP-Datei irgendwas verändern und sich dann mit "das funktioniert nicht" melden. Die Tatsache, dass die Datei automatisch aktualisiert wird, schließt das ja eben nicht aus, weil die GPOs ja nur in regelmäßigen Abständen verarbeitet werden.
Gruß
Zitat von @Hubert.N:
Moin
ich würde das grundsätzlich ein wenig anders gestalten, indem ich die RDP-Datei zentral (z.B. im NETLOGON) ablege und nur eine Verknüpfung verteile.
Das hat den Vorteil, dass ich diese Datei als Benutzer nicht mehr verändern kann. Ich habe es schon erlebt, dass Anwender in der RDP-Datei irgendwas verändern und sich dann mit "das funktioniert nicht" melden. Die Tatsache, dass die Datei automatisch aktualisiert wird, schließt das ja eben nicht aus, weil die GPOs ja nur in regelmäßigen Abständen verarbeitet werden.
Gruß
Moin
ich würde das grundsätzlich ein wenig anders gestalten, indem ich die RDP-Datei zentral (z.B. im NETLOGON) ablege und nur eine Verknüpfung verteile.
Das hat den Vorteil, dass ich diese Datei als Benutzer nicht mehr verändern kann. Ich habe es schon erlebt, dass Anwender in der RDP-Datei irgendwas verändern und sich dann mit "das funktioniert nicht" melden. Die Tatsache, dass die Datei automatisch aktualisiert wird, schließt das ja eben nicht aus, weil die GPOs ja nur in regelmäßigen Abständen verarbeitet werden.
Gruß
Das ist ein guter Punkt. Wobei ich der Meinung bin, dass es ein Anwenderproblem ist, wenn er daran rumfummelt. zur Not muss er sich halt einmal ab- und wieder anmelden. Lernt er wenigstens nicht überall dran rumzufummeln
Gruß
Doskias
Kurze Frage, welches Ziel gebe ich dann an ?
Also es wäre ja der Desktop, aber wäre es dann :
C:\Users\%username%\Desktop
C:\Users\%username%\Desktop
Den Ort wo der Desktop der User liegt. Wenn er per GPO nicht umgeleitet wird, solltest du mit C:\Users\%username%\Desktop zum ziel kommen.
Und nicht auf erstellen. Erstellen erstellt die Datei/Verknüpfung nur. Wenn der User daran rumfummelt wird der Fehler nicht korrigiert.
Und nicht auf erstellen. Erstellen erstellt die Datei/Verknüpfung nur. Wenn der User daran rumfummelt wird der Fehler nicht korrigiert.
auf was soll es dann auf "Ersetzen"?
Siehe
Ersetzen ist im Prinzip löschen und neu anlegen. Das ist bei der Dateiverknüpfung im Prinzip egal.
Aktualisieren ist etwas harmloser, da es nicht löscht und nur die Daten aktualisiert.
Wie gesagt: In der Situation egal. Wenn du aber tiefer in GPOs einsteigst, wie bei Netzlaufwerken, wirst du einen deutlichen Unterschied zwischen ersetzen und aktualisieren feststellen und schmerzhaft lernen wo der Unterschied ist, wenn du es nicht verinnerlichst
Ersetzen ist im Prinzip löschen und neu anlegen. Das ist bei der Dateiverknüpfung im Prinzip egal.
Aktualisieren ist etwas harmloser, da es nicht löscht und nur die Daten aktualisiert.
Wie gesagt: In der Situation egal. Wenn du aber tiefer in GPOs einsteigst, wie bei Netzlaufwerken, wirst du einen deutlichen Unterschied zwischen ersetzen und aktualisieren feststellen und schmerzhaft lernen wo der Unterschied ist, wenn du es nicht verinnerlichst
Ok, also der Test User zieht sich zwar die GPO,aber sie erstellt kein RDP ICon auf dem Desktop.
Ich habe mich jetzt mit dem Test User auf einer Standard Workstadion angemeldet.
Ich habe mich jetzt mit dem Test User auf einer Standard Workstadion angemeldet.
Ist jetzt schwer zu sagen woran es liegt, wenn du keine Logs oder ähnliches postest. Geht nicht ist das Symptom. Ohne Fehler oder Hinweis warum es nicht geht kann man nur raten. Ich versuch es mal mit:
Du hast die AD-Gruppe heute erst erstellt in der die Zuordnung in der GPO stattfindet. Wenn dem so ist: Bis morgen warten.
Du hast die AD-Gruppe heute erst erstellt in der die Zuordnung in der GPO stattfindet. Wenn dem so ist: Bis morgen warten.
OK , dann warte ich, aber per gpresult -r sehe ich , dass der Testuser die angewendete GPO bekommen hat.
Was für Logs benötigst Du denn ?
Wenn du die Gruppe heute erst erstellt hast brauch ich keine logs. ansonsten musst du halt schauen wo irgendwas protokolliert wird, was nicht klappt. Das kann System sein, aber auch Security. In dem Fall Application eher nicht.
Ich hatte einmal eine Seite gefunden in der erklärt wird, wieso neue Gruppen erst am nächsten Tag funktionieren. Ich finde den Artikel leider nicht wieder. Es ist eine der FSMO-Rollen die nur alle 22 oder 24 Stunden synchronisiert wird, und das ist standardmäßig zwischen 01:00 Uhr und 03:00 Uhr nachts. Das ist nichts GPO-Spezifisches sondern allgemein, wenn du eine Gruppe im AD anlegst (auch für Ordnerfreigaben). Vielleicht finde ich den Artikel irgendwann wieder
Prüfe auf jeden Fall noch einmal ob die Sicherheitsfilterung und Delegierung auch richtig ist. Empfohlen ist hier in beiden den "authentifizierten Benutzer" drin stehen zu haben und bei der zu verteilenden Datei unter gemeinsame Optionen die Zielgruppenadressierung zu aktivieren und dort deine AD-Gruppe einzutragen.
Ich hatte einmal eine Seite gefunden in der erklärt wird, wieso neue Gruppen erst am nächsten Tag funktionieren. Ich finde den Artikel leider nicht wieder. Es ist eine der FSMO-Rollen die nur alle 22 oder 24 Stunden synchronisiert wird, und das ist standardmäßig zwischen 01:00 Uhr und 03:00 Uhr nachts. Das ist nichts GPO-Spezifisches sondern allgemein, wenn du eine Gruppe im AD anlegst (auch für Ordnerfreigaben). Vielleicht finde ich den Artikel irgendwann wieder
Prüfe auf jeden Fall noch einmal ob die Sicherheitsfilterung und Delegierung auch richtig ist. Empfohlen ist hier in beiden den "authentifizierten Benutzer" drin stehen zu haben und bei der zu verteilenden Datei unter gemeinsame Optionen die Zielgruppenadressierung zu aktivieren und dort deine AD-Gruppe einzutragen.
Hier habe ich folgendes hinterlegt
Ja so geht es auch. In dem Fall musst du aber für jede Datei die du verteilst eine eigene GPO erteilen. Wenn du es über die Zielgruppenadressierung machst, kannst du alle Dateien (und noch viel mehr) in einer GPO verwalten. Auf Dauer kannst du dann eine GPO mit einem erklärenden Namen haben und dort die Gruppen Eintragen. Solange es eine Datei ist, ist es egal, aber das gleiche Vorgehen kannst du ja auch bei Druckern machen. Da ist es dann ein unterschied ob du eine GPO mit 50 Druckern hast oder 50 GPOs mit jeweils einem Drucker.
gibt es eine variable, womit ich C:\Users\%username%\Desktop besser verteilen könnte, also wenn user jetzt z.B.
mustermann.domain.intern kommen?
mustermann.domain.intern kommen?
Zitat von @Deaxx84:
gibt es eine variable, womit ich C:\Users\%username%\Desktop besser verteilen könnte, also wenn user jetzt z.B.
mustermann.domain.intern kommen?
gibt es eine variable, womit ich C:\Users\%username%\Desktop besser verteilen könnte, also wenn user jetzt z.B.
mustermann.domain.intern kommen?
nimm mal
%userprofile%vorher noch im einem CMD-Fenster ein echo %userprofile% eintippen, damit du siehst, was dabei herumkommt
Würde das auf den Common Desktop legen, oder werden die Computer geteilt? Bzw wäre es schlimm, wenn auch mal ein anderer User die Verknüpfung sieht?
Dann können die User auch nicht drann werken.
Sg Dirm
Dann können die User auch nicht drann werken.
Sg Dirm
Hallo,
also ich habe einem Test User jetzt die Sicherheitsgruppe gegeben.
Die besagte gpo wird auch angewendet, aber auf dem Desktop wird die RDP Verknüpfung nicht hinterlegt.
Angewendete Gruppenrichtlinienobjekte
--------------------------------------
_test.rdp.verknüpfung
Kann ich es irgendwie testen ?
Achso die RDP dabei ist im test.intern\NETLOGON hinterlegt
also ich habe einem Test User jetzt die Sicherheitsgruppe gegeben.
Die besagte gpo wird auch angewendet, aber auf dem Desktop wird die RDP Verknüpfung nicht hinterlegt.
Angewendete Gruppenrichtlinienobjekte
--------------------------------------
_test.rdp.verknüpfung
Kann ich es irgendwie testen ?
Achso die RDP dabei ist im test.intern\NETLOGON hinterlegt
Zitat von @Deaxx84:
Hallo,
also ich habe einem Test User jetzt die Sicherheitsgruppe gegeben.
Die besagte gpo wird auch angewendet, aber auf dem Desktop wird die RDP Verknüpfung nicht hinterlegt.
Angewendete Gruppenrichtlinienobjekte
--------------------------------------
_test.rdp.verknüpfung
Kann ich es irgendwie testen ?
Achso die RDP dabei ist im test.intern\NETLOGON hinterlegt
Hallo,
also ich habe einem Test User jetzt die Sicherheitsgruppe gegeben.
Die besagte gpo wird auch angewendet, aber auf dem Desktop wird die RDP Verknüpfung nicht hinterlegt.
Angewendete Gruppenrichtlinienobjekte
--------------------------------------
_test.rdp.verknüpfung
Kann ich es irgendwie testen ?
Achso die RDP dabei ist im test.intern\NETLOGON hinterlegt
Wie sieht denn deine GPO jetzt aus?
C:\Users\%username%\Desktop
C:\Users\%userprofile%\Desktop
%userprofile%\Desktop
eine der drei Möglichkeiten ist definitiv falsch
Ansonsten bist du eigentlich mit dem Test schon auf dem richtigen weg
Gruß
Doskias
Nachtrag: Bei mir sieht es so aus und funktioniert auf Anhieb:
Hinweis: Mein Desktop wird von C:\Users\%username%\Desktop auf C:\eigeneDaten\%username%\Desktop umgeleitet
Guten Morgen
nur mal als Anregung die Eigenschaften eines bei einem meiner Kunden funktionierenden Objektes. Ich verteile in der GPO eine Verknüpfung:
Worauf Du immer achten musst ist es, den richtigen Zielort auszuwählen. Das Konfigurationsoptionen sind bei Computer- und Benutzerrichtlinie identisch. Allerdings kannst Du z.B. im Benutzerteil keine Verknüpfung auf den Öffentlichen Desktop ablegen, obwohl die Option angeboten wird.
Gruß
nur mal als Anregung die Eigenschaften eines bei einem meiner Kunden funktionierenden Objektes. Ich verteile in der GPO eine Verknüpfung:
Gruß
%userprofile%\Desktop - diese ist ausgewählt und die datei ist so
Ah da ist das Problem. Du musst bei Ziel den Dateinamen noch mit angeben. Also ein \Irgendwas.rdp noch hinten dran. Dann wird es funktionieren. Es wir der Dateiname erwartet, nicht nur der Pfad.
Gruß
Doskias
Gruß
Doskias
Front
Hier die Delegierung
Hier ist dein Ziel falsch.
Es muss ja
lauten.
Du versuchst aber gerade die Verknüpfung namens Desktop in das Benutzerprofil zu schreiben.
Es muss ja
%USERPROFILE%\Desktop\myRDP SessionDu versuchst aber gerade die Verknüpfung namens Desktop in das Benutzerprofil zu schreiben.
Und ändere mal in der GPO folgendes:
Im Tab "Bereich" unter Sicherheitsfilterung die "Authentifizierten Benutzer" löschen sowie unter dem Tab "Delegierung" diese Gruppe dort wieder einfügen.
Du sorgst gerade dafür, dass nicht nur deine Sicherheitsgruppe "[irgendwas]TS[Irgendwas]" die Richtlinie abbekommt, sondern ALLE.
Mit meiner genannten Korrektur können (müssen) zwar alle User die GPO hinsichtlich der Berechtigung lesen können, werden dann aber nur für diejenigen Objekte gezogen, die unter "Sicherheitsfilterung" definiert wurden.
Im Tab "Bereich" unter Sicherheitsfilterung die "Authentifizierten Benutzer" löschen sowie unter dem Tab "Delegierung" diese Gruppe dort wieder einfügen.
Du sorgst gerade dafür, dass nicht nur deine Sicherheitsgruppe "[irgendwas]TS[Irgendwas]" die Richtlinie abbekommt, sondern ALLE.
Mit meiner genannten Korrektur können (müssen) zwar alle User die GPO hinsichtlich der Berechtigung lesen können, werden dann aber nur für diejenigen Objekte gezogen, die unter "Sicherheitsfilterung" definiert wurden.
... und solange Du die Gruppe "authentifizierte Benutzer" da drin lässt, kannst Du so viel mit Gruppen basteln wie Du willst - die GPO wird für alle angewendet werden. Willst Du, dass eine GPO nur für bestimmte Benutzer angewendet wird, so musst Du diese Gruppe entfernen. Dafür dann z.B. "Domänencomputer" hinzufügen und die Benutzergruppe mit den Benutzern, die die Verknüpfung bekommen sollen. Oder Du regelst das (besser...) über eine Zielgruppenadressierung. Dann musst Du nicht nur für eine einzige Einstellung eine eigene GPO basteln.
Ok, jetzt klappt es, megaaaa. jetzt brauch ich
Hab ich ja gestern um 16:11 Uhr schon gesagt, dass ich die Filterung via Zielgruppenadressierung durchführen würde, da es meistens nicht bei einer Datei bleibt die man darüber verteilt.
Aber wie @Deaxx84 ganz am Anfang schreibt:
Gruß
Doskias
Aber wie @Deaxx84 ganz am Anfang schreibt:
Ich bin noch relativ neu im GPO Bereich
Das wird er nach und nach alles lernen, verstehen und zu handeln wissen. Jetzt am Ball bleiben und weiter so.Gruß
Doskias
Aber noch eine Frage, wenn ich 2 Domains habe und jetzt möchte, dass die Sicherheitsgruppe auch auf die andere Domain läuft , geht diese?
Weil diese taucht hier nicht auf.
Ich habe hier die interne Domaine gewechselt
Weil diese taucht hier nicht auf.
Ich habe hier die interne Domaine gewechselt
Naja das siehst du doch schon bei der GPO. Du hast ja links die Struktur mit den aufgelisteten Domänen. Wenn dein DC für mehrere Domänen zuständig ist, dann kannst du die GPO kopieren. Aber prinzipiell legst du die GPO erstmal für eine Domäne an. Das ist wie gesagt deutlich sichtbar.
hast du Firma1.de und Firma2.de, dann musst du es für jede Firma separat konfigurieren.
Hast du Standort1.fima.de und Standort2.firma.de, dann legst du die GPO für Firma.de an und sie greift an beiden Standorten. Du kannst allerdings auch eine GPO unter Standort1.firma.de anlegen, die dann wiederum nur an Standort1 greift.
Gruß
Doskias
hast du Firma1.de und Firma2.de, dann musst du es für jede Firma separat konfigurieren.
Hast du Standort1.fima.de und Standort2.firma.de, dann legst du die GPO für Firma.de an und sie greift an beiden Standorten. Du kannst allerdings auch eine GPO unter Standort1.firma.de anlegen, die dann wiederum nur an Standort1 greift.
Gruß
Doskias
ich habe eigentlich eine test.intern und eine test-1.intern
Jetzt sollen User die in der test.intern sind sich auf die RDP Session für die test-1.intern einwählen und hier soll dann die GPO greifen
Jetzt sollen User die in der test.intern sind sich auf die RDP Session für die test-1.intern einwählen und hier soll dann die GPO greifen
So rum ist das kein Problem. Du musst die RDP für die test.intern-Benutzer verteilen und in der RDP ist dann die Verbindung zu test-1.intern hinterlegt.
@Deaxx84
Lass mal etwas mehr Sorgfalt walten.
Der Namen deiner Domain ist nicht mehr Anonym. Und nach "Test-Domain" sieht das nicht aus.
Lass mal etwas mehr Sorgfalt walten.
Der Namen deiner Domain ist nicht mehr Anonym. Und nach "Test-Domain" sieht das nicht aus.
