GPO für RDP Verbindung

Hallo an euch,

ich versuche eine GPO zu basteln, die ich auf eine bestimmte Usergruppe verteilen kann.
Diese GPO soll folgendes machen:

Eine RDP Verknüpfung auf dem Desktop ablegen mit schon der Ip bzw. mit dem FQDN.

Ich bin noch relativ neu im GPO Bereich und würde mich über eine Rückmeldung freuen. Danke

Content-Key: 1711098945

Url: https://administrator.de/contentid/1711098945

Ausgedruckt am: 23.01.2022 um 18:01 Uhr

Mitglied: Doskias
Doskias 11.01.2022 um 09:15:46 Uhr
Goto Top
Moin,

ist einfach:
1. Die RDP-Verknüpfung erstellen und Zentral ablegen
2. unter Benutzerkonfiguration -> Einstellungen -> Windows Einstellungen -> Dateien eine neue Konfiguration anlegen. Zentralabgelegte Quelldatei auswählen und Zieldatei mit %username% Variable definieren
3. GPO für die entsprechenden User aktivieren

Gruß
Doskias
Mitglied: em-pie
em-pie 11.01.2022 um 09:18:55 Uhr
Goto Top
Moin,

Schaue in die GPO unter den Benutzereinstellungen.
Dort „irgendwo“ kannst du Verknüpfungen anlegen.
Ziel: Desktop
Die Verknüpfung zeigt dann auf:
C:\windows\System32\mstsc.exe /v:deinSystem.company.tld
Name der Verknpüfung ist dann ja Wurscht.


Gruß
em-pie
Mitglied: Deaxx84
Deaxx84 11.01.2022 um 11:26:13 Uhr
Goto Top
Hallo, danke für die Rückmeldungen.

Ich würde jetzt eine .rdp Datei erstellen mit den jeweiligen Zieldaten und diese dann in der GPO unter Benutzerkonfiguration -> Einstellungen -> Windows Einstellungen -> Dateien zentral (Filesserver oder Profilordner) ablegen.
gpo anfang
Mitglied: Doskias
Doskias 11.01.2022 um 11:48:49 Uhr
Goto Top
Du öffnest eine die RDP-Verbindung, konfigurierst sie so wie sie sein soll und klickst dann auf erweiterte Option und dann auf Speichern unter. Das gespeicherte kommt dann auf den zentralen Speicherort und von da wird es verteilt.

Das was du gemacht hast ist auch richtig, damit die Verbindung überhaupt aufgebaut werden kann. Das muss aber auf dem Ziel-Rechner aktiviert werden. Die Verknüpfung auf den Clients. Aber Achtung: Wenn du die RDP-Verbindung aktivierst, dann hast du erstmal "nur" den Administrator berechtigt. Es empfiehlt sich auf dem Zielsystem dann eine AD-Gruppe zu hinterlegen, die sich damit verbinden darf. Und am besten die gleiche RDP-Gruppe für die auch die gespeicherte RDP-Verbindung verteilt. Dann ist es identisch und passt zusammen.

Ich bin noch relativ neu im GPO Bereich und würde mich über eine Rückmeldung freuen.
Noch ein Hinweis: Computerrichtlinien werden nur für Computer ausgeführt. Benutzerrichtlinien nur für Benutzer. Aus organisatorischen Gründen sollten Benutzer und Computer im AD in unterschiedlichen OUs liegen. Folglich brauchst du vermutlich 2 GPOs. 1 x Computer die die RDP erlaubt (die du schon hast) und 1 x Benutzer die die konfigurierte RDP verteilt.

Gruß
Doskias
Mitglied: Hubert.N
Hubert.N 11.01.2022 um 12:10:55 Uhr
Goto Top
Moin

ich würde das grundsätzlich ein wenig anders gestalten, indem ich die RDP-Datei zentral (z.B. im NETLOGON) ablege und nur eine Verknüpfung verteile.
Das hat den Vorteil, dass ich diese Datei als Benutzer nicht mehr verändern kann. Ich habe es schon erlebt, dass Anwender in der RDP-Datei irgendwas verändern und sich dann mit "das funktioniert nicht" melden. Die Tatsache, dass die Datei automatisch aktualisiert wird, schließt das ja eben nicht aus, weil die GPOs ja nur in regelmäßigen Abständen verarbeitet werden.

Gruß
Mitglied: Doskias
Doskias 11.01.2022 um 13:25:45 Uhr
Goto Top
Zitat von @Hubert.N:
Moin
ich würde das grundsätzlich ein wenig anders gestalten, indem ich die RDP-Datei zentral (z.B. im NETLOGON) ablege und nur eine Verknüpfung verteile.
Das hat den Vorteil, dass ich diese Datei als Benutzer nicht mehr verändern kann. Ich habe es schon erlebt, dass Anwender in der RDP-Datei irgendwas verändern und sich dann mit "das funktioniert nicht" melden. Die Tatsache, dass die Datei automatisch aktualisiert wird, schließt das ja eben nicht aus, weil die GPOs ja nur in regelmäßigen Abständen verarbeitet werden.
Gruß

Das ist ein guter Punkt. Wobei ich der Meinung bin, dass es ein Anwenderproblem ist, wenn er daran rumfummelt. zur Not muss er sich halt einmal ab- und wieder anmelden. Lernt er wenigstens nicht überall dran rumzufummeln :) face-smile

Gruß
Doskias
Mitglied: Deaxx84
Deaxx84 11.01.2022 um 14:17:35 Uhr
Goto Top
Kurze Frage, welches Ziel gebe ich dann an ?
ziel
Mitglied: Deaxx84
Deaxx84 11.01.2022 um 14:21:11 Uhr
Goto Top
Also es wäre ja der Desktop, aber wäre es dann :
C:\Users\%username%\Desktop
Mitglied: Doskias
Doskias 11.01.2022 aktualisiert um 14:23:20 Uhr
Goto Top
Den Ort wo der Desktop der User liegt. Wenn er per GPO nicht umgeleitet wird, solltest du mit C:\Users\%username%\Desktop zum ziel kommen.

Und nicht auf erstellen. Erstellen erstellt die Datei/Verknüpfung nur. Wenn der User daran rumfummelt wird der Fehler nicht korrigiert.
Mitglied: Deaxx84
Deaxx84 11.01.2022 um 14:25:01 Uhr
Goto Top
auf was soll es dann auf "Ersetzen"?
Mitglied: Doskias
Doskias 11.01.2022 um 14:29:13 Uhr
Goto Top
Siehe

Ersetzen ist im Prinzip löschen und neu anlegen. Das ist bei der Dateiverknüpfung im Prinzip egal.
Aktualisieren ist etwas harmloser, da es nicht löscht und nur die Daten aktualisiert.

Wie gesagt: In der Situation egal. Wenn du aber tiefer in GPOs einsteigst, wie bei Netzlaufwerken, wirst du einen deutlichen Unterschied zwischen ersetzen und aktualisieren feststellen und schmerzhaft lernen wo der Unterschied ist, wenn du es nicht verinnerlichst ;-) face-wink
Mitglied: Deaxx84
Deaxx84 11.01.2022 um 15:27:45 Uhr
Goto Top
Ok, also der Test User zieht sich zwar die GPO,aber sie erstellt kein RDP ICon auf dem Desktop.

Ich habe mich jetzt mit dem Test User auf einer Standard Workstadion angemeldet.
Mitglied: Doskias
Doskias 11.01.2022 um 15:47:02 Uhr
Goto Top
Ist jetzt schwer zu sagen woran es liegt, wenn du keine Logs oder ähnliches postest. Geht nicht ist das Symptom. Ohne Fehler oder Hinweis warum es nicht geht kann man nur raten. Ich versuch es mal mit:
Du hast die AD-Gruppe heute erst erstellt in der die Zuordnung in der GPO stattfindet. Wenn dem so ist: Bis morgen warten.
Mitglied: Deaxx84
Deaxx84 11.01.2022 um 15:49:54 Uhr
Goto Top
OK , dann warte ich, aber per gpresult -r sehe ich , dass der Testuser die angewendete GPO bekommen hat.
Mitglied: Deaxx84
Deaxx84 11.01.2022 um 15:51:41 Uhr
Goto Top
Was für Logs benötigst Du denn ?
Mitglied: Doskias
Doskias 11.01.2022 um 16:14:24 Uhr
Goto Top
Wenn du die Gruppe heute erst erstellt hast brauch ich keine logs. ansonsten musst du halt schauen wo irgendwas protokolliert wird, was nicht klappt. Das kann System sein, aber auch Security. In dem Fall Application eher nicht.

Ich hatte einmal eine Seite gefunden in der erklärt wird, wieso neue Gruppen erst am nächsten Tag funktionieren. Ich finde den Artikel leider nicht wieder. Es ist eine der FSMO-Rollen die nur alle 22 oder 24 Stunden synchronisiert wird, und das ist standardmäßig zwischen 01:00 Uhr und 03:00 Uhr nachts. Das ist nichts GPO-Spezifisches sondern allgemein, wenn du eine Gruppe im AD anlegst (auch für Ordnerfreigaben). Vielleicht finde ich den Artikel irgendwann wieder :-) face-smile

Prüfe auf jeden Fall noch einmal ob die Sicherheitsfilterung und Delegierung auch richtig ist. Empfohlen ist hier in beiden den "authentifizierten Benutzer" drin stehen zu haben und bei der zu verteilenden Datei unter gemeinsame Optionen die Zielgruppenadressierung zu aktivieren und dort deine AD-Gruppe einzutragen.
Mitglied: Deaxx84
Deaxx84 11.01.2022 um 16:22:57 Uhr
Goto Top
Hier habe ich folgendes hinterlegt
Mitglied: Doskias
Doskias 11.01.2022 um 16:29:33 Uhr
Goto Top
Ja so geht es auch. In dem Fall musst du aber für jede Datei die du verteilst eine eigene GPO erteilen. Wenn du es über die Zielgruppenadressierung machst, kannst du alle Dateien (und noch viel mehr) in einer GPO verwalten. Auf Dauer kannst du dann eine GPO mit einem erklärenden Namen haben und dort die Gruppen Eintragen. Solange es eine Datei ist, ist es egal, aber das gleiche Vorgehen kannst du ja auch bei Druckern machen. Da ist es dann ein unterschied ob du eine GPO mit 50 Druckern hast oder 50 GPOs mit jeweils einem Drucker.
Mitglied: Deaxx84
Deaxx84 11.01.2022 um 17:23:35 Uhr
Goto Top
gibt es eine variable, womit ich C:\Users\%username%\Desktop besser verteilen könnte, also wenn user jetzt z.B.
mustermann.domain.intern kommen?
Mitglied: em-pie
em-pie 11.01.2022 um 17:35:19 Uhr
Goto Top
Zitat von @Deaxx84:

gibt es eine variable, womit ich C:\Users\%username%\Desktop besser verteilen könnte, also wenn user jetzt z.B.
mustermann.domain.intern kommen?

nimm mal %userprofile%

vorher noch im einem CMD-Fenster ein echo %userprofile% eintippen, damit du siehst, was dabei herumkommt ;-) face-wink
Mitglied: Dirmhirn
Dirmhirn 11.01.2022 um 19:40:39 Uhr
Goto Top
Würde das auf den Common Desktop legen, oder werden die Computer geteilt? Bzw wäre es schlimm, wenn auch mal ein anderer User die Verknüpfung sieht?
Dann können die User auch nicht drann werken.
Sg Dirm
Mitglied: Deaxx84
Deaxx84 12.01.2022 um 08:43:32 Uhr
Goto Top
Hallo,
also ich habe einem Test User jetzt die Sicherheitsgruppe gegeben.
Die besagte gpo wird auch angewendet, aber auf dem Desktop wird die RDP Verknüpfung nicht hinterlegt.

Angewendete Gruppenrichtlinienobjekte
_test.rdp.verknüpfung


Kann ich es irgendwie testen ?

Achso die RDP dabei ist im test.intern\NETLOGON hinterlegt
Mitglied: Doskias
Doskias 12.01.2022 aktualisiert um 09:19:11 Uhr
Goto Top
Zitat von @Deaxx84:

Hallo,
also ich habe einem Test User jetzt die Sicherheitsgruppe gegeben.
Die besagte gpo wird auch angewendet, aber auf dem Desktop wird die RDP Verknüpfung nicht hinterlegt.

Angewendete Gruppenrichtlinienobjekte
_test.rdp.verknüpfung


Kann ich es irgendwie testen ?

Achso die RDP dabei ist im test.intern\NETLOGON hinterlegt

Wie sieht denn deine GPO jetzt aus?
C:\Users\%username%\Desktop
C:\Users\%userprofile%\Desktop
%userprofile%\Desktop

eine der drei Möglichkeiten ist definitiv falsch :-) face-smile

Ansonsten bist du eigentlich mit dem Test schon auf dem richtigen weg

Gruß
Doskias

Nachtrag: Bei mir sieht es so aus und funktioniert auf Anhieb:
gpo

Hinweis: Mein Desktop wird von C:\Users\%username%\Desktop auf C:\eigeneDaten\%username%\Desktop umgeleitet
Mitglied: Hubert.N
Hubert.N 12.01.2022 um 09:21:41 Uhr
Goto Top
Guten Morgen :) face-smile

nur mal als Anregung die Eigenschaften eines bei einem meiner Kunden funktionierenden Objektes. Ich verteile in der GPO eine Verknüpfung:
terminal
Worauf Du immer achten musst ist es, den richtigen Zielort auszuwählen. Das Konfigurationsoptionen sind bei Computer- und Benutzerrichtlinie identisch. Allerdings kannst Du z.B. im Benutzerteil keine Verknüpfung auf den Öffentlichen Desktop ablegen, obwohl die Option angeboten wird.

Gruß
Mitglied: Deaxx84
Deaxx84 12.01.2022 um 09:27:50 Uhr
Goto Top
%userprofile%\Desktop - diese ist ausgewählt und die datei ist so
2
rdp
Mitglied: Doskias
Doskias 12.01.2022 aktualisiert um 09:31:01 Uhr
Goto Top
Ah da ist das Problem. Du musst bei Ziel den Dateinamen noch mit angeben. Also ein \Irgendwas.rdp noch hinten dran. Dann wird es funktionieren. Es wir der Dateiname erwartet, nicht nur der Pfad.

Gruß
Doskias
Mitglied: Deaxx84
Lösung Deaxx84 12.01.2022 um 09:30:43 Uhr
Goto Top
Front
3
Mitglied: Deaxx84
Lösung Deaxx84 12.01.2022 um 09:31:43 Uhr
Goto Top
Hier die Delegierung
4
Mitglied: em-pie
em-pie 12.01.2022 um 09:34:42 Uhr
Goto Top
Zitat von @Deaxx84:

%userprofile%\Desktop - diese ist ausgewählt und die datei ist so
Hier ist dein Ziel falsch.
Es muss ja
lauten.
Du versuchst aber gerade die Verknüpfung namens Desktop in das Benutzerprofil zu schreiben.
Mitglied: em-pie
em-pie 12.01.2022 um 09:38:07 Uhr
Goto Top
Und ändere mal in der GPO folgendes:

Im Tab "Bereich" unter Sicherheitsfilterung die "Authentifizierten Benutzer" löschen sowie unter dem Tab "Delegierung" diese Gruppe dort wieder einfügen.

Du sorgst gerade dafür, dass nicht nur deine Sicherheitsgruppe "[irgendwas]TS[Irgendwas]" die Richtlinie abbekommt, sondern ALLE.


Mit meiner genannten Korrektur können (müssen) zwar alle User die GPO hinsichtlich der Berechtigung lesen können, werden dann aber nur für diejenigen Objekte gezogen, die unter "Sicherheitsfilterung" definiert wurden.
Mitglied: Hubert.N
Hubert.N 12.01.2022 um 09:40:32 Uhr
Goto Top
... und solange Du die Gruppe "authentifizierte Benutzer" da drin lässt, kannst Du so viel mit Gruppen basteln wie Du willst - die GPO wird für alle angewendet werden. Willst Du, dass eine GPO nur für bestimmte Benutzer angewendet wird, so musst Du diese Gruppe entfernen. Dafür dann z.B. "Domänencomputer" hinzufügen und die Benutzergruppe mit den Benutzern, die die Verknüpfung bekommen sollen. Oder Du regelst das (besser...) über eine Zielgruppenadressierung. Dann musst Du nicht nur für eine einzige Einstellung eine eigene GPO basteln.
Mitglied: Deaxx84
Deaxx84 12.01.2022 um 09:49:56 Uhr
Goto Top
Ok, jetzt klappt es, megaaaa. jetzt brauch ich
Mitglied: Doskias
Doskias 12.01.2022 um 10:00:15 Uhr
Goto Top
Hab ich ja gestern um 16:11 Uhr schon gesagt, dass ich die Filterung via Zielgruppenadressierung durchführen würde, da es meistens nicht bei einer Datei bleibt die man darüber verteilt.

Aber wie @Deaxx84 ganz am Anfang schreibt:
Ich bin noch relativ neu im GPO Bereich
Das wird er nach und nach alles lernen, verstehen und zu handeln wissen. Jetzt am Ball bleiben und weiter so.

Gruß
Doskias
Mitglied: Deaxx84
Deaxx84 12.01.2022 um 10:31:35 Uhr
Goto Top
Aber noch eine Frage, wenn ich 2 Domains habe und jetzt möchte, dass die Sicherheitsgruppe auch auf die andere Domain läuft , geht diese?
Weil diese taucht hier nicht auf.
Ich habe hier die interne Domaine gewechselt
6
Mitglied: Doskias
Doskias 12.01.2022 um 10:47:55 Uhr
Goto Top
Naja das siehst du doch schon bei der GPO. Du hast ja links die Struktur mit den aufgelisteten Domänen. Wenn dein DC für mehrere Domänen zuständig ist, dann kannst du die GPO kopieren. Aber prinzipiell legst du die GPO erstmal für eine Domäne an. Das ist wie gesagt deutlich sichtbar.

hast du Firma1.de und Firma2.de, dann musst du es für jede Firma separat konfigurieren.
Hast du Standort1.fima.de und Standort2.firma.de, dann legst du die GPO für Firma.de an und sie greift an beiden Standorten. Du kannst allerdings auch eine GPO unter Standort1.firma.de anlegen, die dann wiederum nur an Standort1 greift.

Gruß
Doskias
Mitglied: Deaxx84
Deaxx84 12.01.2022 um 11:02:33 Uhr
Goto Top
ich habe eigentlich eine test.intern und eine test-1.intern

Jetzt sollen User die in der test.intern sind sich auf die RDP Session für die test-1.intern einwählen und hier soll dann die GPO greifen
Mitglied: Doskias
Doskias 12.01.2022 um 11:11:37 Uhr
Goto Top
So rum ist das kein Problem. Du musst die RDP für die test.intern-Benutzer verteilen und in der RDP ist dann die Verbindung zu test-1.intern hinterlegt.
Mitglied: C.Caveman
C.Caveman 12.01.2022 um 11:16:13 Uhr
Goto Top
@Deaxx84
Lass mal etwas mehr Sorgfalt walten.
Der Namen deiner Domain ist nicht mehr Anonym. Und nach "Test-Domain" sieht das nicht aus.
Heiß diskutierte Beiträge
question
Alternative für MS TeamsBlackDevilVor 1 TagFrageVideo & Streaming5 Kommentare

Servus Zusammen, ich arbeite eigentlich grundsätzlich remote, was eben auch Kundengespräche und -beratung inkludiert. Bisher mache ich das über MS Teams, was im Grundsatz auch ...

question
Analog Telefonanschluss aufs Netzwerk bringenpeter91gVor 1 TagFrageISDN & Analoganschlüsse13 Kommentare

Hallo zusammen, ich habe aktuell ein Router von meinem Provider welcher im Bridge-Modus geschalten ist. Dadurch kann ich die Festnetztelefonie nur über den Analog-Anschluss am ...

question
Verständnisproblem SubnettingKarolaVor 1 TagFrageNetzwerkgrundlagen7 Kommentare

Hallo, möchte mal nerven weil ich keine Antwort finde Ein Netzwerk 172.16.0.0 /16 besteht aus einem alten Router als 4 Port Switch und 4 Clients. ...

question
Syntax zum Mappen einer Freigabe auf einem RDSH gelöst mtcmtcVor 1 TagFrageNetzwerke14 Kommentare

Hallo zusammen, ich starte normalerweise eine rdp-Datei um mich vom HomeOffice auf meinen RDSH-Client in der Firma zu verbinden. -> also kein Problem Auf diesem ...

question
Apps mit riesigen Datenbank verbindenBella21Vor 1 TagFrageEntwicklung4 Kommentare

Hallo alle zusammen, ich suche nach einer Lösung für einen APP. Der Datenbank ist riesig mehr als 10GB, da die komplette Datenbank nicht auf das ...

question
Umgestaltung HeimnetzwerkPaulePilsVor 1 TagFrageNetzwerke1 Kommentar

Hallo zusammen, ich bin seit heute neu im Forum, deshalb hoffe ich, dass meine Beitrag an der richtigen Stelle platziert ist :-) Ich würde mich ...

question
Ist diese Hardware sinnvoll für privaten Haushalt?stonevVor 12 StundenFrageRouter & Routing4 Kommentare

Hallo erstmal :) Meine alte Fritzbox 7490 spinnt seit gestern. Ich gehe von Alterschwäche aus, es wird also Ersatz fällig. Zufrieden war ich mit ihr ...

question
Hyper V Maschine (Windows 10 Pro) auf Server2022 langsam gelöst factxyVor 1 TagFrageHyper-V6 Kommentare

Hallo, ich habe einen neuen Server2022 augesetzt und dort von einem 2016er Server eine Windows10 HyperV erst exportiert dann am 2022er importiert. Soweit mit gleicher ...