21
GPOs für Remote Desktop Service Windows Server 2012 R2
Guten Morgen zusammen,
wir möchten in unserem Unternehmen von Windows Server 2008 R2 (Terminalserver) auf Windows Server 2012 R2 (Remote Desktop Services) umstellen.
Habe eine Startlayout.xml erstellt, damit jeder User die gleiche Kacheloberfläche erhält. Das Funktioniert auch soweit alles super.
Allerdings habe ich das Problem das solche Funktionen wie (Verwaltung,Eingabeaufforderung usw.) noch angezeigt und wenn man in der Kacheloberfläche auf den Pfeil drückt und sogar ausgeführt werden können. Irgendwie bekomme ich das nicht ausgeblendet.
I
Nun hatte ich gelesen das es Administrative Templates (.admx) for Windows 8.1 und Windows Server 2012 R2 - Deutsch von der Microsoft Seite zum Download bereitgestellt werden.
http://www.microsoft.com/de-de/download/details.aspx?id=41193
Meine Frage ist nun wie spiele ich die admx. Files richtig ein?
Wenn ich über den Domaincontroller den Remote Desktop Services Server über eine GPO Verwalten möchte muss ich doch den Explorer öffnen und aus %systemroot% (idR C:\Windows\) den kompletten Ordner PolicyDefinitions nach \\meine.dom\SYSVOL\meine.dom\policies kopieren oder?
Alternativ halt local auf dem Remote Desktop Services Server?
Gruß Thomas
wir möchten in unserem Unternehmen von Windows Server 2008 R2 (Terminalserver) auf Windows Server 2012 R2 (Remote Desktop Services) umstellen.
Habe eine Startlayout.xml erstellt, damit jeder User die gleiche Kacheloberfläche erhält. Das Funktioniert auch soweit alles super.
Allerdings habe ich das Problem das solche Funktionen wie (Verwaltung,Eingabeaufforderung usw.) noch angezeigt und wenn man in der Kacheloberfläche auf den Pfeil drückt und sogar ausgeführt werden können. Irgendwie bekomme ich das nicht ausgeblendet.
I
Nun hatte ich gelesen das es Administrative Templates (.admx) for Windows 8.1 und Windows Server 2012 R2 - Deutsch von der Microsoft Seite zum Download bereitgestellt werden.
http://www.microsoft.com/de-de/download/details.aspx?id=41193
Meine Frage ist nun wie spiele ich die admx. Files richtig ein?
Wenn ich über den Domaincontroller den Remote Desktop Services Server über eine GPO Verwalten möchte muss ich doch den Explorer öffnen und aus %systemroot% (idR C:\Windows\) den kompletten Ordner PolicyDefinitions nach \\meine.dom\SYSVOL\meine.dom\policies kopieren oder?
Alternativ halt local auf dem Remote Desktop Services Server?
Gruß Thomas
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 255127
Url: https://administrator.de/contentid/255127
Ausgedruckt am: 22.11.2024 um 12:11 Uhr
21 Kommentare
Neuester Kommentar
Moin Thomas,
die ADMX-Templates brauchst du nur auf dem Server mit dem du die GPOs anlegst/bearbeitest, nicht auf den Maschinen auf die sie wirken sollen.
Die .admx gehört nach C:\Windows\PolicyDefinitions, die zugehörige .adml in den jeweiligen Sprach-Unterordner. Das war's, GPMC neu öffnen und du solltest in deinen GPOs die neuen Vorlagen-Blöcke sehen.
~chibi
die ADMX-Templates brauchst du nur auf dem Server mit dem du die GPOs anlegst/bearbeitest, nicht auf den Maschinen auf die sie wirken sollen.
Die .admx gehört nach C:\Windows\PolicyDefinitions, die zugehörige .adml in den jeweiligen Sprach-Unterordner. Das war's, GPMC neu öffnen und du solltest in deinen GPOs die neuen Vorlagen-Blöcke sehen.
~chibi
Moin Chibi,
danke für deine Hilfe.
Ich habe folgendes gemacht.
Schritt 1. Windows8.1-Server2012R2ADMX-RTM.msi installiert
Schritt 2. Auf dem Domaincontroller (Windows Server 2003) unter C:\WINDOWS\ den Ordner PolicyDefinitions angelegt und dann die Dateien die entpackt wurde hinein kopiert.
Also C:\WINDOWS\PolicyDefinitions\de-de
Schritt 3. Gruppenrichtlinen geöffnet leider nix zu sehen.
Schritt 4. Auf dem DC unter C:\WINDOWS\SYSVOL\sysvol\meine.domain\Policies den Ordner de-de kopiert. Ebenfalls kein erfolg.
danke für deine Hilfe.
Ich habe folgendes gemacht.
Schritt 1. Windows8.1-Server2012R2ADMX-RTM.msi installiert
Schritt 2. Auf dem Domaincontroller (Windows Server 2003) unter C:\WINDOWS\ den Ordner PolicyDefinitions angelegt und dann die Dateien die entpackt wurde hinein kopiert.
Also C:\WINDOWS\PolicyDefinitions\de-de
Schritt 3. Gruppenrichtlinen geöffnet leider nix zu sehen.
Schritt 4. Auf dem DC unter C:\WINDOWS\SYSVOL\sysvol\meine.domain\Policies den Ordner de-de kopiert. Ebenfalls kein erfolg.
Hi.
Das Verhalten hat mit der Kacheloberfläche nichts zu tun. Da es keine Gefahr birgt, schaltet Microsoft es nicht ab. Willst Du den Zugang zur cmd verbieten, setze passende Rechte auf cmd.exe. Selbiges gilt für die administrativen Tools.
Das Verhalten hat mit der Kacheloberfläche nichts zu tun. Da es keine Gefahr birgt, schaltet Microsoft es nicht ab. Willst Du den Zugang zur cmd verbieten, setze passende Rechte auf cmd.exe. Selbiges gilt für die administrativen Tools.
Hmm.
Ich habe eine TSServer GPO. Wo ich die Richtlinie "Prevent access to the command prompt" aktiviert habe. Sollte das nicht funktionieren?
Ich habe eine TSServer GPO. Wo ich die Richtlinie "Prevent access to the command prompt" aktiviert habe. Sollte das nicht funktionieren?
Ich vermute, Du hast die genannte Richtlinie - eine Userrichtlinie - fälschlicherweise nicht auf die Benutzer, sondern auf die OU mit dem TS angewendet (wo ein Computerobjekt drin ist, welches sich nicht für Userrichtlinien interessiert). Du müsstest sie in der lokalen Richtlinie des TS setzen, also über gpedit am Server, oder, falls Du das wünscht, einen WMI-Filter domänenweit nur am TS anwenden.
1
Oh, dass ihr noch einen 2003er-DC habt hast du leider bisher nicht erwähnt. Soweit ich das im Kopf habe funktionieren ADMx-Templates erst seit Vista/Server 2008 da sie damit erst eingeführt wurden, davor gab es nur ADM-Templates.
Falls du keinen DC mit 2008 oder höher zur Verfügung hast sollte es auch gehen die entsprechenden Gruppenrichtlinien-Verwaltungswerkzeuge auf einem PC mit Vista oder höher zu installieren und dich mit dem Domänen-Admin anzumelden. Dann wie beschrieben die ADMx und adml-Dateien kopieren.
Und unter Sysvol (und seinen Unterordnern) haben die Templates nichts zu suchen! Die gehören nur in den (lokalen) PolicyDefinitions-Ordner.
Falls du keinen DC mit 2008 oder höher zur Verfügung hast sollte es auch gehen die entsprechenden Gruppenrichtlinien-Verwaltungswerkzeuge auf einem PC mit Vista oder höher zu installieren und dich mit dem Domänen-Admin anzumelden. Dann wie beschrieben die ADMx und adml-Dateien kopieren.
Und unter Sysvol (und seinen Unterordnern) haben die Templates nichts zu suchen! Die gehören nur in den (lokalen) PolicyDefinitions-Ordner.
hmm ich habe es Anhand diesen Artikels gemacht:
Quelle: http://www.gruppenrichtlinien.de/artikel/central-store-fuer-administrat ...
Wie erzeuge ich den Central Store oder wie kann er automatisiert erstellt werden?
Der einfache Weg:
Explorer öffnen und aus %systemroot% (idR C:\Windows\) den kompletten Ordner PolicyDefinitions nach \\meine.dom\SYSVOL\meine.dom\policies kopieren
Quelle: http://www.gruppenrichtlinien.de/artikel/central-store-fuer-administrat ...
Wie erzeuge ich den Central Store oder wie kann er automatisiert erstellt werden?
Der einfache Weg:
Explorer öffnen und aus %systemroot% (idR C:\Windows\) den kompletten Ordner PolicyDefinitions nach \\meine.dom\SYSVOL\meine.dom\policies kopieren
Zitat von @DerWoWusste:
Ich vermute, Du hast die genannte Richtlinie - eine Userrichtlinie - fälschlicherweise nicht auf die Benutzer, sondern auf
die OU mit dem TS angewendet (wo ein Computerobjekt drin ist, welches sich nicht für Userrichtlinien interessiert). Du
müsstest sie in der lokalen Richtlinie des TS setzen, also über gpedit am Server, oder, falls Du das wünscht, einen
WMI-Filter domänenweit nur am TS anwenden.
Ich vermute, Du hast die genannte Richtlinie - eine Userrichtlinie - fälschlicherweise nicht auf die Benutzer, sondern auf
die OU mit dem TS angewendet (wo ein Computerobjekt drin ist, welches sich nicht für Userrichtlinien interessiert). Du
müsstest sie in der lokalen Richtlinie des TS setzen, also über gpedit am Server, oder, falls Du das wünscht, einen
WMI-Filter domänenweit nur am TS anwenden.
jap so ist es face-smile
Also versuche ich es direkt am RDS 2012 R2 richtig?
Allerdings verstehe ich noch nicht wie ich die administrativen Tools unterbinden kann?
Ok, man lernt nie aus. Ich revidiere meine Aussage bezüglich ADMx nur lokal. Ändert aber nichts daran dass du trotzdem eine Maschine mit Vista/Server 2008 oder höher brauchst um mit dem ADMx-Templates auch arbeiten zu können.
Ich versuche nun folgendes. Ich installiere auf dem Win2012R2 Server die Gruppenrichtlinienverwaltung und versuche darüber dann die benötigten Richtlinen zu definieren. Insgesamt aber eher eine Notlösung. Denn schöner wäre es natürlich alle Gruppenrichtlinien weiterhin über den DC zu konfigurieren. Das bedeutet wohl ich muss meinen DC mal Migrieren!
Zitat von @Chibisuke:
Ok, man lernt nie aus. Ich revidiere meine Aussage bezüglich ADMx nur lokal. Ändert aber nichts daran dass du trotzdem
eine Maschine mit Vista/Server 2008 oder höher brauchst um mit dem ADMx-Templates auch arbeiten zu können.
Ok, man lernt nie aus. Ich revidiere meine Aussage bezüglich ADMx nur lokal. Ändert aber nichts daran dass du trotzdem
eine Maschine mit Vista/Server 2008 oder höher brauchst um mit dem ADMx-Templates auch arbeiten zu können.
Wenn ich über gpedit am WIN2012 aber die Benuter Richtlinen ändere beziehen die sich doch auch auf die Administratoren Accounts. Oder habe ich da einen Denkfehler?
Zitat von @DerWoWusste:
Ich vermute, Du hast die genannte Richtlinie - eine Userrichtlinie - fälschlicherweise nicht auf die Benutzer, sondern auf
die OU mit dem TS angewendet (wo ein Computerobjekt drin ist, welches sich nicht für Userrichtlinien interessiert). Du
müsstest sie in der lokalen Richtlinie des TS setzen, also über gpedit am Server, oder, falls Du das wünscht, einen
WMI-Filter domänenweit nur am TS anwenden.
Ich vermute, Du hast die genannte Richtlinie - eine Userrichtlinie - fälschlicherweise nicht auf die Benutzer, sondern auf
die OU mit dem TS angewendet (wo ein Computerobjekt drin ist, welches sich nicht für Userrichtlinien interessiert). Du
müsstest sie in der lokalen Richtlinie des TS setzen, also über gpedit am Server, oder, falls Du das wünscht, einen
WMI-Filter domänenweit nur am TS anwenden.
zu den administrativen Tools: das ist ein Ordner, vergib passende NTFS_Rechte darauf.
Central Store: nimm lieber RSAT, als den Central Store, das macht am wenigsten Arbeit. RSAT enthält die GPMC, und, wie Chibisuke auch schon sagte, Du musst RSAT auf einem neuen OS ausführen, am besten auf Windows 8.1, dann hast Du auch alle GPOs für 2012 R2 zur Verfügung.
Central Store: nimm lieber RSAT, als den Central Store, das macht am wenigsten Arbeit. RSAT enthält die GPMC, und, wie Chibisuke auch schon sagte, Du musst RSAT auf einem neuen OS ausführen, am besten auf Windows 8.1, dann hast Du auch alle GPOs für 2012 R2 zur Verfügung.
Hat einer von euch so ne Art Sicherheitsrichtlinen die ihr auf Terminalserver/RemotedesktopServices einrichtet?
Was Du sichern willst, musst Du zunächst darlegen. Bei uns ist ein Terminalserver nicht anders gehärtet als Desktops und das sind meistens eh defaults, außer vielleicht applocker.
Naja grundsätzlich hast du schon recht.Eigentlich funktioniert auch alles.
Das einzige was mich gerade extrem aufregt ist dass komischerweise nur noch der Internetexplorer in der Kacheloberfläche erscheint alles andere ist nicht auswählbar und das vorher erstellte Startlayout zieht auch nicht mehr...
Das einzige was mich gerade extrem aufregt ist dass komischerweise nur noch der Internetexplorer in der Kacheloberfläche erscheint alles andere ist nicht auswählbar und das vorher erstellte Startlayout zieht auch nicht mehr...
Zitat von @DerWoWusste:
Was Du sichern willst, musst Du zunächst darlegen. Bei uns ist ein Terminalserver nicht anders gehärtet als Desktops und
das sind meistens eh defaults, außer vielleicht applocker.
Was Du sichern willst, musst Du zunächst darlegen. Bei uns ist ein Terminalserver nicht anders gehärtet als Desktops und
das sind meistens eh defaults, außer vielleicht applocker.
Dein Startlayout kann nur anzeigen, was noch installiert ist - hast Du zufällig anderweitig bei den Metroapps "die Axt kreisen lassen" und ein paar zuviel erwischt?
Nein habe ich nicht. Die Administratoren Accounts ziehen auch das Layout, nur die User nicht.
Das komische ist das mir die Andwendungen auch garnicht mehr angezeigt werden. Ich setze mal bei einem User Administrator Rechte und schau nochmal ob es dann gehen würde...
Das komische ist das mir die Andwendungen auch garnicht mehr angezeigt werden. Ich setze mal bei einem User Administrator Rechte und schau nochmal ob es dann gehen würde...
Zitat von @DerWoWusste:
Dein Startlayout kann nur anzeigen, was noch installiert ist - hast Du zufällig anderweitig bei den Metroapps "die Axt
kreisen lassen" und ein paar zuviel erwischt?
Dein Startlayout kann nur anzeigen, was noch installiert ist - hast Du zufällig anderweitig bei den Metroapps "die Axt
kreisen lassen" und ein paar zuviel erwischt?
Ja super sobald ich einem User Admin Rechte gebe wird das Layout gezogen?!?! Sobald ich die Rechte wieder wegnehme verschwieden die Icons nach einer Zeit...
Das sind meine Einstellungen für die Terminalservervon Windows Server 2008R2 bei Windowsserver 2012R2 läuft das anscheind noch nicht so super.
[Computerkonfiguration\Administrative Vorlagen\System\Gruppenrichtlinien]
- Loopbackverarbeitungsmodus für Benutzergruppenrichtlinie
[Computerkonfiguration\WindowsEinstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen]
- Geräte: Zugriff auf CD-ROM Laufwerke auf lokale angemeldete Benutzer beschränken
- Geräte: Zugriff auf Diskettenlaufwerke auf lokale angemeldete Benutzer beschränken
- Interaktive Anmeldung: Letzten Benutzernamen nicht anzeigen
[Computerkonfiguration\Administrative Vorlagen\Windowskomponenten\Windows Installer]
- Deaktiviere Windows Installer
[Benutzerkonfiguration\Windowseinstellungen\Ordnerumleitung]
- Anwendungsdaten
- Desktop
- Eigene Dateien
- Startmenü
[Benutzerkonfiguration\Administrative Vorlagen\Windowskomponenten\Windows Explorer]
- Blendet den Menü-Eintrag "Verwalten" im Windows Explorer-Kontextmenü aus
- Diese angegebenen Datenträger im Fenster "Arbeitsplatz" ausblenden
- Optionen "Netzwerklaufwerk verbinden" und "Netzwerklaufwerk trennen" entfernen
- Registerkarte "Hardware" ausbelnden
- Schaltfläche "Suchen" aus Windows Explorer entfernen
- Standardkontextmenü des Windows Explorers entfernen
- Zugriff auf Laufwerke vom Arbeitsplatz nicht zulassen
[Benutzerkonfiguration\Administrative Vorlagen\Windowskomponenten\Taskplaner]
- Ausführen und Beenden von einem Tasks verhindern
- Erstellen von neuen Tasks nicht zulassen
[Benutzerkonfiguration\Administrative Vorlagen\Startmenü und Taskleiste]
- "Netzwerkverbindungen" aus dem Startmenü entfernen
- Ändern der Einstellungen für die Taskleiste und das Startmenü verhindern
- Befehl "Herunterfahren" entfernen und Zugriff darauf verweigern
- Menü "Suchen" aus dem Startmenü entfernen
- Menüeintrag "Hilfe" aus dem Startmenü entfernen
- Menüeintrag "Ausführen" aus dem Startmenü entfernen
- Option "Abmelden" dem Startmenü hinzufügen
- Programme im Menü "Einstellungen" entfernen
- Standardprogrammgruppen aus dem Startmenü entfernen
- Verknüpfung und Zugriff auf Windows-Update entfernen
[Benutzerkonfiguration\Administrative Vorlagen\Desktop]
- Desktopsymbol "Netzwerkumgebung" ausblenden
- Pfadänderung für den Ordner "Meine Dateien" nicht zulassen
[Benutzerkonfiguration\Administrative Vorlagen\Systemsteuerung]
- Zugriff auf Systemsteuerung nicht zulassen
[Benutzerkonfiguration\Administrative Vorlagen\System]
- Zugriff auf Eingabeaufforderung verhindern (Für Scriptverarbeitung: Nein einstellen)
- Zugriff auf Programme zum Bearbeiten der Registrierung verhindern
[Benutzerkonfiguration\Administrative Vorlagen\System\Strg+Alt+Entf-Optionen]
- Sperren des Computers entfernen
- Task-Manager entfernen
Das sind meine Einstellungen für die Terminalservervon Windows Server 2008R2 bei Windowsserver 2012R2 läuft das anscheind noch nicht so super.
[Computerkonfiguration\Administrative Vorlagen\System\Gruppenrichtlinien]
- Loopbackverarbeitungsmodus für Benutzergruppenrichtlinie
[Computerkonfiguration\WindowsEinstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen]
- Geräte: Zugriff auf CD-ROM Laufwerke auf lokale angemeldete Benutzer beschränken
- Geräte: Zugriff auf Diskettenlaufwerke auf lokale angemeldete Benutzer beschränken
- Interaktive Anmeldung: Letzten Benutzernamen nicht anzeigen
[Computerkonfiguration\Administrative Vorlagen\Windowskomponenten\Windows Installer]
- Deaktiviere Windows Installer
[Benutzerkonfiguration\Windowseinstellungen\Ordnerumleitung]
- Anwendungsdaten
- Desktop
- Eigene Dateien
- Startmenü
[Benutzerkonfiguration\Administrative Vorlagen\Windowskomponenten\Windows Explorer]
- Blendet den Menü-Eintrag "Verwalten" im Windows Explorer-Kontextmenü aus
- Diese angegebenen Datenträger im Fenster "Arbeitsplatz" ausblenden
- Optionen "Netzwerklaufwerk verbinden" und "Netzwerklaufwerk trennen" entfernen
- Registerkarte "Hardware" ausbelnden
- Schaltfläche "Suchen" aus Windows Explorer entfernen
- Standardkontextmenü des Windows Explorers entfernen
- Zugriff auf Laufwerke vom Arbeitsplatz nicht zulassen
[Benutzerkonfiguration\Administrative Vorlagen\Windowskomponenten\Taskplaner]
- Ausführen und Beenden von einem Tasks verhindern
- Erstellen von neuen Tasks nicht zulassen
[Benutzerkonfiguration\Administrative Vorlagen\Startmenü und Taskleiste]
- "Netzwerkverbindungen" aus dem Startmenü entfernen
- Ändern der Einstellungen für die Taskleiste und das Startmenü verhindern
- Befehl "Herunterfahren" entfernen und Zugriff darauf verweigern
- Menü "Suchen" aus dem Startmenü entfernen
- Menüeintrag "Hilfe" aus dem Startmenü entfernen
- Menüeintrag "Ausführen" aus dem Startmenü entfernen
- Option "Abmelden" dem Startmenü hinzufügen
- Programme im Menü "Einstellungen" entfernen
- Standardprogrammgruppen aus dem Startmenü entfernen
- Verknüpfung und Zugriff auf Windows-Update entfernen
[Benutzerkonfiguration\Administrative Vorlagen\Desktop]
- Desktopsymbol "Netzwerkumgebung" ausblenden
- Pfadänderung für den Ordner "Meine Dateien" nicht zulassen
[Benutzerkonfiguration\Administrative Vorlagen\Systemsteuerung]
- Zugriff auf Systemsteuerung nicht zulassen
[Benutzerkonfiguration\Administrative Vorlagen\System]
- Zugriff auf Eingabeaufforderung verhindern (Für Scriptverarbeitung: Nein einstellen)
- Zugriff auf Programme zum Bearbeiten der Registrierung verhindern
[Benutzerkonfiguration\Administrative Vorlagen\System\Strg+Alt+Entf-Optionen]
- Sperren des Computers entfernen
- Task-Manager entfernen
ich habe es rausgefunden woran es lag... oh man!
auf:
c:\ProgramData\Microsoft\Windows\Start Menü\Programme
hatten die TSUSER keine Berechtigung...
auf:
c:\ProgramData\Microsoft\Windows\Start Menü\Programme
hatten die TSUSER keine Berechtigung...
Tja, wie so oft hausgemacht 
ja weil Verwaltung NTFS Rechte vergaben etc... du hast schuld :D!
