obliterator
Goto Top

GPOs für Remote Desktop Service Windows Server 2012 R2

Guten Morgen zusammen,
wir möchten in unserem Unternehmen von Windows Server 2008 R2 (Terminalserver) auf Windows Server 2012 R2 (Remote Desktop Services) umstellen.

Habe eine Startlayout.xml erstellt, damit jeder User die gleiche Kacheloberfläche erhält. Das Funktioniert auch soweit alles super.
Allerdings habe ich das Problem das solche Funktionen wie (Verwaltung,Eingabeaufforderung usw.) noch angezeigt und wenn man in der Kacheloberfläche auf den Pfeil drückt und sogar ausgeführt werden können. Irgendwie bekomme ich das nicht ausgeblendet.
I

Nun hatte ich gelesen das es Administrative Templates (.admx) for Windows 8.1 und Windows Server 2012 R2 - Deutsch von der Microsoft Seite zum Download bereitgestellt werden.
http://www.microsoft.com/de-de/download/details.aspx?id=41193

Meine Frage ist nun wie spiele ich die admx. Files richtig ein?

Wenn ich über den Domaincontroller den Remote Desktop Services Server über eine GPO Verwalten möchte muss ich doch den Explorer öffnen und aus %systemroot% (idR C:\Windows\) den kompletten Ordner PolicyDefinitions nach \\meine.dom\SYSVOL\meine.dom\policies kopieren oder?

Alternativ halt local auf dem Remote Desktop Services Server?


Gruß Thomas

Content-ID: 255127

Url: https://administrator.de/forum/gpos-fuer-remote-desktop-service-windows-server-2012-r2-255127.html

Ausgedruckt am: 22.12.2024 um 17:12 Uhr

Chibisuke
Chibisuke 18.11.2014 um 10:31:43 Uhr
Goto Top
Moin Thomas,

die ADMX-Templates brauchst du nur auf dem Server mit dem du die GPOs anlegst/bearbeitest, nicht auf den Maschinen auf die sie wirken sollen.

Die .admx gehört nach C:\Windows\PolicyDefinitions, die zugehörige .adml in den jeweiligen Sprach-Unterordner. Das war's, GPMC neu öffnen und du solltest in deinen GPOs die neuen Vorlagen-Blöcke sehen.

~chibi
obliterator
obliterator 18.11.2014 um 10:40:54 Uhr
Goto Top
Moin Chibi,
danke für deine Hilfe.

Ich habe folgendes gemacht.

Schritt 1. Windows8.1-Server2012R2ADMX-RTM.msi installiert

Schritt 2. Auf dem Domaincontroller (Windows Server 2003) unter C:\WINDOWS\ den Ordner PolicyDefinitions angelegt und dann die Dateien die entpackt wurde hinein kopiert.
Also C:\WINDOWS\PolicyDefinitions\de-de

Schritt 3. Gruppenrichtlinen geöffnet leider nix zu sehen.

Schritt 4. Auf dem DC unter C:\WINDOWS\SYSVOL\sysvol\meine.domain\Policies den Ordner de-de kopiert. Ebenfalls kein erfolg.
DerWoWusste
DerWoWusste 18.11.2014 um 10:41:28 Uhr
Goto Top
Hi.

Das Verhalten hat mit der Kacheloberfläche nichts zu tun. Da es keine Gefahr birgt, schaltet Microsoft es nicht ab. Willst Du den Zugang zur cmd verbieten, setze passende Rechte auf cmd.exe. Selbiges gilt für die administrativen Tools.
obliterator
obliterator 18.11.2014 um 10:45:49 Uhr
Goto Top
Hmm.
Ich habe eine TSServer GPO. Wo ich die Richtlinie "Prevent access to the command prompt" aktiviert habe. Sollte das nicht funktionieren?
DerWoWusste
DerWoWusste 18.11.2014 aktualisiert um 10:52:15 Uhr
Goto Top
Ich vermute, Du hast die genannte Richtlinie - eine Userrichtlinie - fälschlicherweise nicht auf die Benutzer, sondern auf die OU mit dem TS angewendet (wo ein Computerobjekt drin ist, welches sich nicht für Userrichtlinien interessiert). Du müsstest sie in der lokalen Richtlinie des TS setzen, also über gpedit am Server, oder, falls Du das wünscht, einen WMI-Filter domänenweit nur am TS anwenden.
Chibisuke
Chibisuke 18.11.2014 um 10:52:42 Uhr
Goto Top
Oh, dass ihr noch einen 2003er-DC habt hast du leider bisher nicht erwähnt. Soweit ich das im Kopf habe funktionieren ADMx-Templates erst seit Vista/Server 2008 da sie damit erst eingeführt wurden, davor gab es nur ADM-Templates.

Falls du keinen DC mit 2008 oder höher zur Verfügung hast sollte es auch gehen die entsprechenden Gruppenrichtlinien-Verwaltungswerkzeuge auf einem PC mit Vista oder höher zu installieren und dich mit dem Domänen-Admin anzumelden. Dann wie beschrieben die ADMx und adml-Dateien kopieren.

Und unter Sysvol (und seinen Unterordnern) haben die Templates nichts zu suchen! Die gehören nur in den (lokalen) PolicyDefinitions-Ordner.
obliterator
obliterator 18.11.2014 aktualisiert um 10:58:20 Uhr
Goto Top
hmm ich habe es Anhand diesen Artikels gemacht:
Quelle: http://www.gruppenrichtlinien.de/artikel/central-store-fuer-administrat ...


Wie erzeuge ich den Central Store oder wie kann er automatisiert erstellt werden?

Der einfache Weg:
Explorer öffnen und aus %systemroot% (idR C:\Windows\) den kompletten Ordner PolicyDefinitions nach \\meine.dom\SYSVOL\meine.dom\policies kopieren
obliterator
obliterator 18.11.2014 um 10:58:43 Uhr
Goto Top
Zitat von @DerWoWusste:

Ich vermute, Du hast die genannte Richtlinie - eine Userrichtlinie - fälschlicherweise nicht auf die Benutzer, sondern auf
die OU mit dem TS angewendet (wo ein Computerobjekt drin ist, welches sich nicht für Userrichtlinien interessiert). Du
müsstest sie in der lokalen Richtlinie des TS setzen, also über gpedit am Server, oder, falls Du das wünscht, einen
WMI-Filter domänenweit nur am TS anwenden.

jap so ist es face-smile
Also versuche ich es direkt am RDS 2012 R2 richtig?
Allerdings verstehe ich noch nicht wie ich die administrativen Tools unterbinden kann?
Chibisuke
Chibisuke 18.11.2014 um 11:06:11 Uhr
Goto Top
Ok, man lernt nie aus. Ich revidiere meine Aussage bezüglich ADMx nur lokal. Ändert aber nichts daran dass du trotzdem eine Maschine mit Vista/Server 2008 oder höher brauchst um mit dem ADMx-Templates auch arbeiten zu können.
obliterator
obliterator 18.11.2014 um 11:14:03 Uhr
Goto Top
Ich versuche nun folgendes. Ich installiere auf dem Win2012R2 Server die Gruppenrichtlinienverwaltung und versuche darüber dann die benötigten Richtlinen zu definieren. Insgesamt aber eher eine Notlösung. Denn schöner wäre es natürlich alle Gruppenrichtlinien weiterhin über den DC zu konfigurieren. Das bedeutet wohl ich muss meinen DC mal Migrieren!

Zitat von @Chibisuke:

Ok, man lernt nie aus. Ich revidiere meine Aussage bezüglich ADMx nur lokal. Ändert aber nichts daran dass du trotzdem
eine Maschine mit Vista/Server 2008 oder höher brauchst um mit dem ADMx-Templates auch arbeiten zu können.
obliterator
obliterator 18.11.2014 um 11:25:33 Uhr
Goto Top
Wenn ich über gpedit am WIN2012 aber die Benuter Richtlinen ändere beziehen die sich doch auch auf die Administratoren Accounts. Oder habe ich da einen Denkfehler?


Zitat von @DerWoWusste:

Ich vermute, Du hast die genannte Richtlinie - eine Userrichtlinie - fälschlicherweise nicht auf die Benutzer, sondern auf
die OU mit dem TS angewendet (wo ein Computerobjekt drin ist, welches sich nicht für Userrichtlinien interessiert). Du
müsstest sie in der lokalen Richtlinie des TS setzen, also über gpedit am Server, oder, falls Du das wünscht, einen
WMI-Filter domänenweit nur am TS anwenden.
DerWoWusste
DerWoWusste 18.11.2014 um 11:30:03 Uhr
Goto Top
zu den administrativen Tools: das ist ein Ordner, vergib passende NTFS_Rechte darauf.
Central Store: nimm lieber RSAT, als den Central Store, das macht am wenigsten Arbeit. RSAT enthält die GPMC, und, wie Chibisuke auch schon sagte, Du musst RSAT auf einem neuen OS ausführen, am besten auf Windows 8.1, dann hast Du auch alle GPOs für 2012 R2 zur Verfügung.
obliterator
obliterator 18.11.2014 um 13:41:38 Uhr
Goto Top
Hat einer von euch so ne Art Sicherheitsrichtlinen die ihr auf Terminalserver/RemotedesktopServices einrichtet?
DerWoWusste
DerWoWusste 18.11.2014 aktualisiert um 13:48:30 Uhr
Goto Top
Was Du sichern willst, musst Du zunächst darlegen. Bei uns ist ein Terminalserver nicht anders gehärtet als Desktops und das sind meistens eh defaults, außer vielleicht applocker.
obliterator
obliterator 18.11.2014 um 14:10:12 Uhr
Goto Top
Naja grundsätzlich hast du schon recht.Eigentlich funktioniert auch alles.
Das einzige was mich gerade extrem aufregt ist dass komischerweise nur noch der Internetexplorer in der Kacheloberfläche erscheint alles andere ist nicht auswählbar und das vorher erstellte Startlayout zieht auch nicht mehr...

Zitat von @DerWoWusste:

Was Du sichern willst, musst Du zunächst darlegen. Bei uns ist ein Terminalserver nicht anders gehärtet als Desktops und
das sind meistens eh defaults, außer vielleicht applocker.
DerWoWusste
DerWoWusste 18.11.2014 um 14:15:31 Uhr
Goto Top
Dein Startlayout kann nur anzeigen, was noch installiert ist - hast Du zufällig anderweitig bei den Metroapps "die Axt kreisen lassen" und ein paar zuviel erwischt?
obliterator
obliterator 18.11.2014 um 14:17:48 Uhr
Goto Top
Nein habe ich nicht. Die Administratoren Accounts ziehen auch das Layout, nur die User nicht.
Das komische ist das mir die Andwendungen auch garnicht mehr angezeigt werden. Ich setze mal bei einem User Administrator Rechte und schau nochmal ob es dann gehen würde...


Zitat von @DerWoWusste:

Dein Startlayout kann nur anzeigen, was noch installiert ist - hast Du zufällig anderweitig bei den Metroapps "die Axt
kreisen lassen" und ein paar zuviel erwischt?
obliterator
obliterator 18.11.2014 aktualisiert um 14:36:40 Uhr
Goto Top
Ja super sobald ich einem User Admin Rechte gebe wird das Layout gezogen?!?! Sobald ich die Rechte wieder wegnehme verschwieden die Icons nach einer Zeit...

Das sind meine Einstellungen für die Terminalservervon Windows Server 2008R2 bei Windowsserver 2012R2 läuft das anscheind noch nicht so super.

[Computerkonfiguration\Administrative Vorlagen\System\Gruppenrichtlinien]
- Loopbackverarbeitungsmodus für Benutzergruppenrichtlinie

[Computerkonfiguration\WindowsEinstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen]
- Geräte: Zugriff auf CD-ROM Laufwerke auf lokale angemeldete Benutzer beschränken
- Geräte: Zugriff auf Diskettenlaufwerke auf lokale angemeldete Benutzer beschränken
- Interaktive Anmeldung: Letzten Benutzernamen nicht anzeigen

[Computerkonfiguration\Administrative Vorlagen\Windowskomponenten\Windows Installer]
- Deaktiviere Windows Installer

[Benutzerkonfiguration\Windowseinstellungen\Ordnerumleitung]
- Anwendungsdaten
- Desktop
- Eigene Dateien
- Startmenü

[Benutzerkonfiguration\Administrative Vorlagen\Windowskomponenten\Windows Explorer]
- Blendet den Menü-Eintrag "Verwalten" im Windows Explorer-Kontextmenü aus
- Diese angegebenen Datenträger im Fenster "Arbeitsplatz" ausblenden
- Optionen "Netzwerklaufwerk verbinden" und "Netzwerklaufwerk trennen" entfernen
- Registerkarte "Hardware" ausbelnden
- Schaltfläche "Suchen" aus Windows Explorer entfernen
- Standardkontextmenü des Windows Explorers entfernen
- Zugriff auf Laufwerke vom Arbeitsplatz nicht zulassen

[Benutzerkonfiguration\Administrative Vorlagen\Windowskomponenten\Taskplaner]
- Ausführen und Beenden von einem Tasks verhindern
- Erstellen von neuen Tasks nicht zulassen

[Benutzerkonfiguration\Administrative Vorlagen\Startmenü und Taskleiste]
- "Netzwerkverbindungen" aus dem Startmenü entfernen
- Ändern der Einstellungen für die Taskleiste und das Startmenü verhindern
- Befehl "Herunterfahren" entfernen und Zugriff darauf verweigern
- Menü "Suchen" aus dem Startmenü entfernen
- Menüeintrag "Hilfe" aus dem Startmenü entfernen
- Menüeintrag "Ausführen" aus dem Startmenü entfernen
- Option "Abmelden" dem Startmenü hinzufügen
- Programme im Menü "Einstellungen" entfernen
- Standardprogrammgruppen aus dem Startmenü entfernen
- Verknüpfung und Zugriff auf Windows-Update entfernen

[Benutzerkonfiguration\Administrative Vorlagen\Desktop]
- Desktopsymbol "Netzwerkumgebung" ausblenden
- Pfadänderung für den Ordner "Meine Dateien" nicht zulassen

[Benutzerkonfiguration\Administrative Vorlagen\Systemsteuerung]
- Zugriff auf Systemsteuerung nicht zulassen

[Benutzerkonfiguration\Administrative Vorlagen\System]
- Zugriff auf Eingabeaufforderung verhindern (Für Scriptverarbeitung: Nein einstellen)
- Zugriff auf Programme zum Bearbeiten der Registrierung verhindern

[Benutzerkonfiguration\Administrative Vorlagen\System\Strg+Alt+Entf-Optionen]
- Sperren des Computers entfernen
- Task-Manager entfernen
obliterator
obliterator 18.11.2014 um 14:46:04 Uhr
Goto Top
ich habe es rausgefunden woran es lag... oh man!
auf:
c:\ProgramData\Microsoft\Windows\Start Menü\Programme
hatten die TSUSER keine Berechtigung...
DerWoWusste
DerWoWusste 18.11.2014 um 14:48:37 Uhr
Goto Top
Tja, wie so oft hausgemacht face-smile
obliterator
obliterator 18.11.2014 um 14:51:00 Uhr
Goto Top
ja weil Verwaltung NTFS Rechte vergaben etc... du hast schuld :D!

Zitat von @DerWoWusste:^^

Tja, wie so oft hausgemacht face-smile