joshivince
Goto Top

GPO auf Terminalserver 2008 (kein R2) greifen nicht oder nicht richtig

Ich editiere eine von mir erstellte GPO und erfahre keine Änderungen...

Edit, 10.10.2011, 15:37 Uhr: Fehler wurde eingegrenzt >> GPO auf Terminalserver 2008 (kein R2) greifen nicht oder nicht richtig


Hallo Spezialisten-Team,

ich schildere mal Hintergrund meiner Vorgehensweise und was ich alles eingerichtet habe für folgendes Problem, was mich fast wahnsinnig macht:

Ich habe einen Terminalserver auf ESXi aufgesetzt. Windows Server 2008 Standard.
Nun möchte ich per GPO meine User ein wenig einschränken. Dazu bin ich wie folgt vorgegangen:


Terminalserver = RA-TS-2008
Domaincontroller = DMC

Ich habe zu allererst auf dem RA-TS-2008 > gpedit.msc (Lokaler Gruppenrichtlinien-Editor) > Computerkonfiguration > Administrative Vorlagen > System > Gruppenrichtlinie > Loopbackverarbeitungsmodus für Benutzergruppenrichtlinie aktiviert (an der Stelle bin ich schon unsicher, ob ich das auf dem TS habe machen sollen, oder im Gruppenrichtlinienverwaltungs-Editor für die erstellte GPO auf dem Domaincontroller)

Dann bin ich auf den DMC gegangen und habe die restlichen Einstellungen nur noch da vorgenommen (siehe zunächst Screenshot ganz unten im Beitrag):


DMC > gpmc.msc (Gruppenrichtlinienverwaltung):

GPO "TS 2008" erstellt.
Die GPO habe ich unter MyBusiness > Computers > SBSServers verknüpft.
Der RA-TS-2008 ist in der AD natürlich auch unter SBSServers aufgeführt.
Der GPO habe ich die Gruppe "RDP-Users (neuer TS)" unterstellt. Das ist die Gruppe, die für die Anmeldung am Terminalserver berechtigt ist und mein Administrationskonto wird nicht angetastet.

Und nun sollte der Rest doch vollends klar sein: In meinen Gruppenrichtlinienobjekten mache ich einen Rechtsklick auf "TS 2008" und wähle "Bearbeiten..." aus. Nun öffnet sich der Gruppenrichtlinienverwaltungs-Editor. In diesem bearbeite ich Computer- und Benutzerkonfiguration nach sinnvollem Bedarf und Belieben (warum gibt es manche Dinge NUR in Computerkonfiguration und mach nur in Benutzer. Warum manche doppelt?).

Warum werden meine Einstellungen nicht übernommen (auch nicht mit gpupdate /force)?
Beispiel: Gruppenrichtlinienverwaltungs-Editor > Computerkonfiguration > Richtlinien >Administrative Vorlagen: Vom lokalen Computer abgerufene Richtliniendefinitionen (ADMX-Dateien) [was auch immer das heißen mag] > Windows-Komponenten > Internet Explorer > Seitenzoomfunktion deaktivieren > aktiviert. Ich kann zoomen wie ich will, entweder übers Menü oder über STRG + Mausrad...

Oder das verhindern des Aufrufens des Task-Managers (Benutzerkonfiguration > STRG+ALT+ENTF (Optionen) [Warum ist das nicht in der Computerkonfiguration zu finden?]. Lässt sich nach wie vor Aufrufen... Sowohl über die Tastenkombi als auch über Rechtsklick Taskleiste...

Für mich stellt sich nun die Frage ob ich was übersehen / vergessen habe, was falsch gemacht habe oder Ihr sonstige Hints und Tipps habt?
Weiter wäre es nice einen Kniff zu bekommen wie ich den Gruppenrichtlinienverwaltungseditor nach was durchsuchen kann. Oft suche ich (z.B. Task Manager) nach etwas, das ich den Usern sperren / vorenthalten will und muss mich mühsamst durch alle GPOs kämpfen bis ich das gesuchte finde. Gibts ne Infosite die sozusagen die GPOs besser darstellt, dass ein Anfänger damit klar kommt?

Und noch was was mich interessiert: Der Loopbackverarbeitungsmodus. Er stellt sicher, dass bei den betreffenden Usern die Computerkonfiguration NACH der Benutzerkonfiguration geladen wird. Was bringt mir das aber, wenn ich Einstellungen in der Benutzerkonfiguration dahingehend ändern kann im Terminalserver "Lokaler Gruppenrichtlinieneditor" - da hätte ich doch meine Verwaltungsmöglichkeit für den User, oder denk ich zu weit ums Eck?

Nun der Screenshot:
d9ed5602cdd80f0dd014f5f37ecf361b

Danke im Voraus für Eure Antworten

Vince

Content-Key: 174283

Url: https://administrator.de/contentid/174283

Ausgedruckt am: 28.03.2024 um 16:03 Uhr

Mitglied: joshivince
joshivince 07.10.2011 um 11:34:29 Uhr
Goto Top
P.s. Ich habe nun ca. 25 Minuten für diesen Beitrag gebraucht. In dieser Zeit scheint es so, als seien einige GPO-Einstellungen übernommen worden.

Beispiel Task Manager: Mit meinem Testuser kann ich den nun nicht mehr aufrufen. Das hat also geklappt (weder über taskleiste noch über Tastenkombi).

Das Zoomen des Internet Explorers allerdings funktioniert noch nach wie vor. Ebenso hab ich "Menüleiste standardmäßig anzeigen" aktiviert. Diese wird mir nicht im IE angezeigt.
Das ist doch verrückt!?

Vince
Mitglied: holli.zimmi
holli.zimmi 07.10.2011 um 15:28:33 Uhr
Goto Top
Hi Vince,


Ich habe zu allererst auf dem RA-TS-2008 > gpedit.msc (Lokaler Gruppenrichtlinien-Editor) > Computerkonfiguration > Administrative Vorlagen > System > >Gruppenrichtlinie
Loopbackverarbeitungsmodus für Benutzergruppenrichtlinie aktiviert (an der Stelle bin ich schon unsicher, ob ich das auf dem TS habe machen >sollen, oder im
Gruppenrichtlinienverwaltungs-Editor für die erstellte GPO auf dem Domaincontroller)

Bemerkung und Empfehlung:
1. Ich würde empfehlen immer auf dem Domaincontroller die GPO zu erstellen, außer gewisse Funktionen darf der lokale Administrator nicht machen (warum auch immer).
2. Für jede Einstellung eine seperate GPO mit einer guten Namenskonvention.
2.1 als Beispiel: TS_lokal_no_TaskMGR usw..; hier wird der Taskmanager ausgeschaltet.
3. Mache eine neue OU (Organisationsunit bzw Organisationeinheit) und dann verlinke alle die GPO mit der OU und aktiviere sie. Das geht gut mit dem Gruppenrichtlinieneditor.
4. Allgemeiner Grundsatz: Erst deaktivieren -> dann löschen! ( Gerade IPSEC - kann es zu bösen Überraschungen kommen!


Gruss

Holli
Mitglied: joshivince
joshivince 07.10.2011 um 15:59:20 Uhr
Goto Top
Servus und Danke für deine Antwort und Tipps. Werde ich beherzigen (auch wenn ich ja dann 40 oder 50 GPOs ansetzen muss? Ist das nicht ein bisschen viel?).
Ich habe die GPO auf dem DC erstell (siehe Screenshot und Erklärung).

Ich habe lediglich den Loopbackverarbeitungsmodus auf dem Terminalserver aktiviert, weil ich nicht wusste (nicht weiß) wo ich den aktivieren muss.

So alà: Da wo ich mich anmelde muss der LBVM auch aktiviert werden. ist das so?

Vince
Mitglied: holli.zimmi
holli.zimmi 10.10.2011 um 08:10:50 Uhr
Goto Top
Hi Vince,

ich hab leider gerade kein windows 2008 Server installiert. Was wolltest Du damit bezwecken?

Gruss

Holli
Mitglied: joshivince
joshivince 10.10.2011 um 10:04:12 Uhr
Goto Top
Was meinst du genau?
Mit was bezwecken? Mit dem LBVM?

Soweit ichw eiß wird damit die Computerkonfiguration nach der Benutzerkonfiguration geladen, was ja sinnig für einen Terminalserver ist. Oder?

Grüße
Mitglied: joshivince
joshivince 10.10.2011 um 15:13:30 Uhr
Goto Top
Zum Threadanfang: Sieht irgendjemand einen Fehler in meinen Einstellungen?
Es müsste doch alles korrekt eingestellt sein, damit die GPO auf meinem Terminalserver richtig zieht?

Vince
Mitglied: joshivince
joshivince 10.10.2011 um 15:37:03 Uhr
Goto Top
Ich hab herausgefunden was Sache ist (und kann mir natürlich keinen Reim drauf machen):

Wenn ich mein GPO bearbeite habe ich ja die Felder "Computerkonfiguration" und "Benutzerkonfiguration".

Ich habe mir nun ein Reichtlinienobjekt geschnappt, welches in beiden Konfigurationen vorhanden ist.
In meinem Fall habe ich folgendes gefunden:

"Administrative Vorlagen: Vom lokalen Computer........" >> "Windows Komponenten" >> Windows Mail

Wenn ich "Windows Mail" nur in der Computerkonfiguration deaktiviere kann der User das Programm aufrufen.
Wenn ich es in der Benutzerkonfiguration deaktiviere, ist das Programm gesperrt.

Das heißt für mich, dass die Computerkonfig nicht gezogen wird. Ich komme der Sache näher. Warum wird sie nicht gezogen? beide Konfigurationen liegen doch in meiner erstellten GPO. Diese GPO ist auf den Terminalserver verknüpft. Wo kann der Fehlerteufel liegen?

Vince
Mitglied: Logan000
Logan000 10.10.2011 um 16:03:08 Uhr
Goto Top
Moin Moin

Diese GPO ist auf den Terminalserver verknüpft. Wo kann der Fehlerteufel liegen?
Ist das so? Aus deinem ScreenShot entnehme ich das die GPO TS2008 auf eine Gruppe RDP Users beschränkt ist.
Ich kann natürlich nicht erkenne welche Member iese Gruppe hat, aber solte der Name geschickt gewählt sein enthält sie wohl nur User.
Damit würde diese GPO für den TS nicht greifen.

Um die Verwirrung nicht noch weiter zu Steigern würde ich dir raten dir dieses HowTo mal anzutun.

Gruß L.
Mitglied: Hubert.N
Hubert.N 10.10.2011 um 16:52:37 Uhr
Goto Top
Moin


wie wohl auch schon Logan angedeutet hat, ist die Lösung für das Problem denkbar einfach. Du hast zwar die Übernahme der Richtlinie für die Benutzer freigegeben. Den Server selbst hast du aber ausgelassen. Füge den der Richtlinie hinzu und du bist ein gutes Stück weiter.

Ansonsten sehe ich, dass du den Server in der OU SBS-Servers plaziert hast. Ganz schlechte Variante... Erstelle für diene Terminalsever eine eigene Organisationeinheit und verknüpfe dort die für den Terminalserver erstellte Richtlinie. Wenn du dann auch noch die Loopbackverarbeitung aktiviert hast, sollte alles einwandfrei funktionieren

Gruß
Mitglied: joshivince
joshivince 10.10.2011 um 16:53:09 Uhr
Goto Top
Hi Logan,

dann macht mein Fehler auch Sinn!

Die Gruppe "RDP-Users (neuer TS)" enthält in der Tat nur Useraccounts, die sich auf dem neuen Terminalserver anmelden dürfen.
Und damit ist mir auch klar, warum nur die Benutzerkonfiguration zieht. Änderungen hinsichtlich der Nutzer werden angewandt, die die des Servers (Computerkonfiguration) nicht.

ICH dachte, dass die Verknüpfung der GPO "TS 2008" auf SBSServers unter "MyBusiness" schon dafür ausreicht, auf dem Server ausgeführt / gezogen zu werden.

Danke für das HowTo, werde ich mir mal schnell reinziehen.

So long,
der Vince
Mitglied: joshivince
joshivince 10.10.2011 um 16:55:47 Uhr
Goto Top
@Hubert: Ja gute Idee... mir ist das alles mehr oder weniger gezeigt worden den Rest habe ich mir hier übers Board oder Google zusammengeklaubt.

Ich werde sofort eine eigene OU erstellen und darin den TS platzieren. Eine Frage noch. Wo genau aktiviere ich den LBVM?

Im Gruppenrichtlinienverwaltungs-Editor auf dem SBS oder in der Gruppenrichtlineinverwaltung direkt auf dem Terminalserver?

Der Vince
Mitglied: joshivince
joshivince 10.10.2011 um 17:04:40 Uhr
Goto Top
Gefunden im HowTo:

Jetzt aktiviert man den Loopbackverarbeitungsmodus auf einer beliebigen Richtlinie, die auf den Computer wirkt.
Sie kann als eigene Richtlinie integriert werden und gilt dann für alle Richtlinien, die das Computerobjekt übernimmt.

Ich nehme an in meiner GPO "TS 2008" kann ich den LBVM aktivieren und die Sache läuft =)
Mitglied: joshivince
joshivince 10.10.2011 um 17:24:32 Uhr
Goto Top
So,

HowTo hab ich durch und denke auch verstanden.

Anhand meines neuen Screenshot solltet Ihr sehen, dass ich da ein bisschen was modifiziert habe.
Ich habe nun zwei GPOs. Die eine aktiviert den LBVM, die andere ist für die restlichen Einstellungen, die meine User auf dem TS haben sollen.

Ich habe nach dem Tipp von Logan nun neben meiner Gruppe "RDP Users" nun auch den Terminalserver der Sicherheitsfilterung hinzugefügt.

Nach wie vor besteht das Problem, dass die Computerkonfig nicht greift. Ich habe das wieder am Beispiel von "Windows Mail" herausgefunden.
Deaktiviere ich "Windows Mail" in der Benutzerkonfig, kann es nicht aufgerufen werden. Deaktiviere ich es in der Computerkonfig kann es problemlos aufgerufen werden.

Es stimmt immer noch was nicht.

Edit: Der OU "TS 2008 Loopbackverarbeitungsmodus" habe ich natürlich nur den Terminalserver in der Sicherheitsfilterung hinzugefügt. Nicht die RDP-Gruppe.

11d0c1db1fca7671924ef5e947017c86
Mitglied: Hubert.N
Hubert.N 10.10.2011 um 17:36:41 Uhr
Goto Top
Die lokale Richtlinie auf dem TS-Server fasst du möglichst nicht an. Grundsätzlich sollte man alles, was man zentral in einer GPO konfigurieren kann acuh dort erledigen. So hat man zur Administration nur eine Baustelle.

Und das mitd er beliebigen Richtlinie ist mal so eine Sache. Für den TS-Server reicht normalerweise aus eine einzige Richtlinie für die Konfiguration des Servers und der Benutzereinstellungen zu erstellen. Damit entfällt dann natürlich das "beliebige Richtlinie"...

Was du machen mnusst ist, auf der OU mit dem Terminalserver die GPO zu verknüpfen. Unter Computerkonfiguration/Administrative Vorlagen/System/Gruppenrichtlinien findest du die Loopbackverarbeitung. Mit der Möglichkeiten Ersetzen und Zusammenführen
Wenn du Ersetzen auswählst, werden die ansonsten für den benutzer geltenden Benutzerrichtlinien nicht angewendet und es werden lediglich die in dieser OU hinterlegten Einstellungen verarbeitet. Bei Zusammenführen werden die normalen Benutzerinstellungen verarbeitet und dann zusätzlich die in der OU definierten. Wobei letztere dann logisherweise auch Vorang vor den anderen haben.
Der Trick bei der Loopbackverarbeitung ist eben gerade, dass Benutzerinstellungen angewandt werden, obwohl sich das benutzerobjekt nicht in Reichweite der GPO befindet.

Die ganauen Details der Konfiguration und auch Verarbeitung sind aber im verlinkten Artikel gut beschrieben. Welche Form der Loopbackverarbeitung du auswählst, das hängt auch ein bisschen von der restlichen Umgebung ab.
Mitglied: Hubert.N
Hubert.N 10.10.2011 um 17:39:18 Uhr
Goto Top
Nachdem du nun nochmal gepostet hast meine Frage: Wozu benötigst du 2 Richtlinien für den Terminalserver ?

Wie ich schon schrieb, reicht normalerweise eine Richtlinie aus. Da kannst du bei aktivierter Loopbackverarbeitung sowohl die Computereinstellungen als auch die Benutzereinstellungfen in einer einzigen Richtlinie definieren.
Mitglied: joshivince
joshivince 10.10.2011 um 17:58:59 Uhr
Goto Top
Ja,

ich habs dem HowTo so entnommen. Für mich würde auch eine einzige Richtlinie reichen.
Ich nehme an, man macht das einfach der Übersichtlichkeit halber.

SO, es funktioniert. Die GPO-EInstellungen meiner COmputerkonfig werden nun auch korrekt gezogen.
Nachdem du folgende Sätze noch geschrieben hattest: "Die lokale Richtlinie auf dem TS-Server fasst du möglichst nicht an. Grundsätzlich sollte man alles, was man zentral in einer GPO konfigurieren kann acuh dort erledigen. "

Damit war für mich klar, dass ich den LBVM auf meiner GPO aktivieren muss, und nicht auf dem Terminalserver.
Nun geht alles und mir bleibt nur eine Frage:

Durch das Verknüpfen meiner GPO "TS 2008" auf der OU "Terminalserver 2008" (in die ich den Terminalserver in der "Active Directory-Benutzer und Computer" geschoben habe) sollte die GPO doch bereits auf den Server angewendet werden!? Nun habe ich aber gelernt, dass die GPO für den Server nur gilt, wenn ich den unter "Sicherheitsfilterung" auch einstelle. Warum?

Und vorab: VIELEN DANK an alle Helfer in diesem Thread. Ihr habt mir ein dickes Problem gelöst und ich bin um viel Wissen reicher geworden!

Danke sehr
der Vince
Mitglied: Hubert.N
Hubert.N 10.10.2011 um 18:46:32 Uhr
Goto Top
Schön, dass dein Problem erst einmal gelöst ist.

Aber zu der letzten Frage: Du hast die Gruppe "Authentifizierte Benutzer" nach dem Erstellen der Richtlinie entfernt und ganz korekt dort die von dir erstellte Gruppe der Terminaluser eingetragen. Das hast du gemacht, damit du als Admin die Richtlinieneinstellungen eben nicht übernimmst und den Server administrieren kannst. Die Gruppe "Authentifizierte Benutzer" wirkt nicht nur auf Benutzer, sondern auch auf Computer. Deshalb werden Computereinstellungen normalerweise auch übernommen. Wenn du nun diese Gruppe entfernst, dann kann der Server den Teil der Computerkonfiguration nicht übernehmen. Und weil sich dann dort auch noch die aktvierte Loopbackverarbeitung befindet, funktioniert nichts von den Einstellungen der Richtlinie.

Wenn du also willst, dass eine Computerrichtlnie übernommen wird, dann muss auch in der Sicherheitsfilterung das Computerobjekt hinterlegt sein, damit dieser die Eintellungen übernimmt. Nur das Hinzufügen eines Computers zu einer OU bewirkt nicht, dass die Richtlinie übernommen wird. Wie schon geschrieben - normalerweise funktioniert das problemlos, weil in der Gruppe "Authentifizierte Benutzer" sowohl Benutzer als auch Computer enthalten sind.

Und das mit den mehreren Richlinien kann auch Geschmackssache sein. Ich finde es persönlich praktischer, wenn ich in einer Richtlinie alle relevanten Einstellungen zu einer Sache habe.

Gruß
Mitglied: joshivince
joshivince 10.10.2011 um 19:53:41 Uhr
Goto Top
Vielen Dank nochmals für deine ausführliche Antwort.

Nun wird mir einiges klar, wenn sich die "Authentifizierte Benutzer" auch auf Computer auswirken.
Allerdings fehlt mir dann immer noch eine Info: Wozu soll ich die GPO dann überhaupt mit der OU verknüpfen, wenn ich durch die Einstellungen innerhalb von der "Sicherheitsfilterung" alles notwendige erledigen kann!?

Ich nehme dann stark an weil es der Übersichtlichkeit dient?


Vince
Mitglied: Hubert.N
Hubert.N 10.10.2011 um 20:40:52 Uhr
Goto Top
GPO wirken nun einmal nur auf die OU, mit der sie verknüpft sind. Du willst ja nicht, dass jede GPO erst einmal auf jede OU angewandt wird. Wer sollte das "wegkonfigurieren" ? Wobei natürlich die Einstellungen in der Standardkonfiguration in die untergeordneten OUs vererbt werden.

Nur weil du eine GPO erstellst, wird sie in keinster Weise angewandt. Wenn du mit der rechten Maustatse auf die OU klickst und die neuen GPO direkt erstellst, werden allerdings zwei Dinge durchgeführt: Du erstellst das Objekt und du verknüpfst es auch gleichzeitig mit der OU. Dann wird es natürlich auch angewendet. Wenn die Sicherheitsfilterung das zulässt. Für den Computerteil muss der Computer darin enthalten sein, für den Benutzerteil der Benutzer. Und in den "Authentifizierten Benutzern" sind eben beide enthalten.

edit: was ich gerade noch gesehen habe:

Ich habe nun zwei GPOs. Die eine aktiviert den LBVM, die andere ist für die restlichen Einstellungen, die meine User auf dem TS haben sollen

Das ist so nicht richtig. Wenn du die Loopbackverarbeitung aktivierst, dann gilt dies für diese eine Richtlinie. Du musst also alle Benutzerinstellungen für den Terminalserverbetrieb genau in dieser GPO definieren. Die Möglichkeit das zu tun ist schließlich der einzige Sinn der Loopbackverarbeitung. In einer zweiten Richtlinie ohne Loopbackverarbeitung kannst du so viele Benutzerinstellungen machen wie du willst - sie werden nicht angewendet, weil nur der Computerteil der Richtlinie vom Server übernommen wird.
Mitglied: joshivince
joshivince 11.10.2011 um 08:51:44 Uhr
Goto Top
Alles klar, dann gehe ich in Zukunft den Weg, wie ich ihn jetzt beschritten habe.

Ich muss sagen, das macht sogar richtig Spaß, wenns tut ;)

Vince