Ordnerumleitung auf RDS
Hi zusammen,
ich möchte eine Ordnerumleitung einrichten. Die User sollen auf dem Client und im RDS ihre gleichen Eigenen Dateien haben.
Ich hab mir hierzu eine OU angelegt in der der RDS Server drin ist.
Ich habe eine Gruppenrichtlinie erstellt und diese entsprechend verknüpft.
Ich habe zusätzlich die Loopbackverarbeitung aktiviert.
ich habe als filter die authentifizierten benutzer eingestellt gelassen
wenn ich mich nun als admin anmelde werden die änderungen auch auf das admin konto angewendet
wie verhindere ich das?
wenn ich die entsprechende user Gruppe als sicherheitsfilter angebe propduziert das wohl eine
"unendlich schleife" der ram läuft voll und die vm stürzt ab...
ich würde also gerne verhindern das nur die verarbeitung durch den user administrator bzw die gruppe administratoren stattfindet
wie bekomme ich das hin?
danke für die Hilfe =)
ich möchte eine Ordnerumleitung einrichten. Die User sollen auf dem Client und im RDS ihre gleichen Eigenen Dateien haben.
Ich hab mir hierzu eine OU angelegt in der der RDS Server drin ist.
Ich habe eine Gruppenrichtlinie erstellt und diese entsprechend verknüpft.
Ich habe zusätzlich die Loopbackverarbeitung aktiviert.
ich habe als filter die authentifizierten benutzer eingestellt gelassen
wenn ich mich nun als admin anmelde werden die änderungen auch auf das admin konto angewendet
wie verhindere ich das?
wenn ich die entsprechende user Gruppe als sicherheitsfilter angebe propduziert das wohl eine
"unendlich schleife" der ram läuft voll und die vm stürzt ab...
ich würde also gerne verhindern das nur die verarbeitung durch den user administrator bzw die gruppe administratoren stattfindet
wie bekomme ich das hin?
danke für die Hilfe =)
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 292359
Url: https://administrator.de/contentid/292359
Ausgedruckt am: 22.11.2024 um 13:11 Uhr
6 Kommentare
Neuester Kommentar
Hallo,
Welches OS hat denn der RDS und welches haben die Clients?
Was heißt "entsprechend verknüpft"? Aus dem Kontext schließe ich mit der OU, in der sich der RDS befindet, richtig?
Wenn ja verstehe ich dann die Aktivierung des Loopbackverarbeitungsmodus nicht, wenn auf den Clients auch die Ordnerumleitung für die Benutzer angewendet werden soll. Entweder du deaktivierst den Modus wieder oder du musst die GPO mit der Ordnerumleitung mit jeder OU verknüpfen, in der sich die angesprochenen Benutzerkonten befinden (Ordnerumleitung ist eine Benutzerkonfiguration). Vielleicht informierst du dich nochmal genau darüber: http://www.gruppenrichtlinien.de/artikel/loopbackverarbeitungsmodus-loo ...
Achja, du darfst auch nicht vergessen, dass es unterschiedliche Profilversionen (.V2 für Windows 7 z.b.) gibt. Leitest du Ordner um und man meldet sich an unterschiedlichen Betriebssystemen an kann es zu Problemen kommen.
Das zu dem.
Wenn der Administrator eine GPO nicht anwenden soll musst du in der Gruppenrichtlinienverwaltung unter dem Reiter Delegierung -> Erweitert (unten rechts im Fenster) entweder der Gruppe Domänen-Admins das Recht "Gruppenrichtlinie anwenden" verweigern, was unschön ist, oder du entfernst die Gruppe Authentifizierte Benutzer und ersetzt sie durch die Gruppe(n), in der die angesprochenen Benutzer sind. Der Administrator wird nicht nur durch die Gruppe Domänen-Admins angeprochen sondern auch durch die Schattengruppen Authentifizierte Benutzer, Jeder, Selbst und durch die Gruppe Domänen-Benutzer, sofern er noch darin ist, was er auch bleiben sollte.
An welcher Stelle hängt denn sich die Maschine auf? Was sagt die Ereignisanzeige? Haben die Benutzerkonten bereits ein servergepeichertes Profil? Bisher hatte ich immer nur Probleme mit Profilen die servergespeichert sind UND einzelne Ordner umgeleitet bekommen. Seitdem mache ich diese Mischung nicht mehr.
Wenn ich ein Profil mittels Ordnerumleitung komplett in eine Freigabe lege und mich zum ersten Mal anmelde, dauert die Anmeldung je nach Netzwerk eine Weile, da erst die Ordner erstellt werden müssen und das Schreiben in eine Freigabe meist länger dauert als auf eine lokale Festplatte; nur so als Info.
Grüße Winary
Welches OS hat denn der RDS und welches haben die Clients?
Was heißt "entsprechend verknüpft"? Aus dem Kontext schließe ich mit der OU, in der sich der RDS befindet, richtig?
Wenn ja verstehe ich dann die Aktivierung des Loopbackverarbeitungsmodus nicht, wenn auf den Clients auch die Ordnerumleitung für die Benutzer angewendet werden soll. Entweder du deaktivierst den Modus wieder oder du musst die GPO mit der Ordnerumleitung mit jeder OU verknüpfen, in der sich die angesprochenen Benutzerkonten befinden (Ordnerumleitung ist eine Benutzerkonfiguration). Vielleicht informierst du dich nochmal genau darüber: http://www.gruppenrichtlinien.de/artikel/loopbackverarbeitungsmodus-loo ...
Achja, du darfst auch nicht vergessen, dass es unterschiedliche Profilversionen (.V2 für Windows 7 z.b.) gibt. Leitest du Ordner um und man meldet sich an unterschiedlichen Betriebssystemen an kann es zu Problemen kommen.
Das zu dem.
Wenn der Administrator eine GPO nicht anwenden soll musst du in der Gruppenrichtlinienverwaltung unter dem Reiter Delegierung -> Erweitert (unten rechts im Fenster) entweder der Gruppe Domänen-Admins das Recht "Gruppenrichtlinie anwenden" verweigern, was unschön ist, oder du entfernst die Gruppe Authentifizierte Benutzer und ersetzt sie durch die Gruppe(n), in der die angesprochenen Benutzer sind. Der Administrator wird nicht nur durch die Gruppe Domänen-Admins angeprochen sondern auch durch die Schattengruppen Authentifizierte Benutzer, Jeder, Selbst und durch die Gruppe Domänen-Benutzer, sofern er noch darin ist, was er auch bleiben sollte.
An welcher Stelle hängt denn sich die Maschine auf? Was sagt die Ereignisanzeige? Haben die Benutzerkonten bereits ein servergepeichertes Profil? Bisher hatte ich immer nur Probleme mit Profilen die servergespeichert sind UND einzelne Ordner umgeleitet bekommen. Seitdem mache ich diese Mischung nicht mehr.
Wenn ich ein Profil mittels Ordnerumleitung komplett in eine Freigabe lege und mich zum ersten Mal anmelde, dauert die Anmeldung je nach Netzwerk eine Weile, da erst die Ordner erstellt werden müssen und das Schreiben in eine Freigabe meist länger dauert als auf eine lokale Festplatte; nur so als Info.
Grüße Winary
Das musst du ja nicht. Der Loopbackverarbeitungsmodus für RDS-Computerkonten ist schon eine gute Sache. Nur kann man sich damit verhaspeln wenn GPO's angewendet werden sollen, die auch auf den Clients angewendet werden sollen. Speziell das mit den Ordnerumleitungen macht es nicht unmöglich sondern nur etwas komplizierter.
Unabhängig davon wird das dein Problem mit der Schleife höchstwahrscheinlich nicht lösen. Zudem darf man nicht vergessen, dass einige Einstellungen, die man mit GPO's verteilt nicht rückgängig gemacht werden, indem man die entsprechende GPO einfach nur entfernt. Nein, man muss dieselbe GPO ändern: ist eine Einstellung aktiviert muss man sie deaktivieren oder umgekehrt. Ist die Einstellung dann überall angewendet worden, kann sie wieder auf "nicht konfiguriert" gesetzt werden oder man löscht die GPO einfach oder entfernt die Verknüpfung in der OU. Aus dem verändertem Standard muss man alo wieder manuell den Standard machen. GPO löschen oder Verknüpfung entfernen reicht nicht immer.
Was ist mit meinen anderen Gegenfragen? Ereignisanzeige etc.?
Grüße
Unabhängig davon wird das dein Problem mit der Schleife höchstwahrscheinlich nicht lösen. Zudem darf man nicht vergessen, dass einige Einstellungen, die man mit GPO's verteilt nicht rückgängig gemacht werden, indem man die entsprechende GPO einfach nur entfernt. Nein, man muss dieselbe GPO ändern: ist eine Einstellung aktiviert muss man sie deaktivieren oder umgekehrt. Ist die Einstellung dann überall angewendet worden, kann sie wieder auf "nicht konfiguriert" gesetzt werden oder man löscht die GPO einfach oder entfernt die Verknüpfung in der OU. Aus dem verändertem Standard muss man alo wieder manuell den Standard machen. GPO löschen oder Verknüpfung entfernen reicht nicht immer.
Was ist mit meinen anderen Gegenfragen? Ereignisanzeige etc.?
Grüße
Hi Winary,
ich habe folgende Ausgangssituation: virtuelle Server (jeweils) Windows 2012R2 Std. 1x als DomainController ,
1x als RDS-Server , 1x als Fileserver (wo sich auch die servergespeicherten Profile befinden). Clients/
Domain-PCs alle Windows 10 Pro 64x. Im AD habe ich ein OU erstellt, die den RDS sowie die User-Gruppe RDS-User
enthält. Für diese OU habe ich eine Gruppenrichtlinie erstellt und aktiviert ("GrRichtlienienobjekt hier erstellen
und verknüpfen"). Damit soll eine Ordnerumleitung erfolgen, die es für den Benutzer auf dem RDS ermöglicht, auf seine Dokumente + Desktop zuzugreifen. Als Sicherheitsfilterung ist die Gruppe RDS-User eingetragen.
Unter Benutzerkonfiguration\Richtlinien\Windows-Einstellungen\Ordnerumleitung\Desktop habe ich folgende Einstellungen vorgenommen: "Leitet alle Ordner auf den gleichen Pfad um" + "Einen Ordner für jeden Benutzer im Stammpfad erstellen". Als Stammverzeichnung die Profile-Freigabe \\FS\PROFILES (Als Beispiel wird unten auch korrekt USER.V6\Desktop angezeigt). Unter dem Reiter "Erweitert" sind aktiviert "Inhalt von Desktop an den neuen Ort Verschieben" + "Ordner nach Entfernen der Richtlinie an den Ort des lokalen Profils umleiten".
Ist diese Vorgehensweise so korrekt?
Durch diverse Tests, habe ich aktuell den Zustand, das bei manchen Usern am Client sowie am RDS Server via Datei-Explorer Ordner Desktop-> Eigenschaften der Speicherort als \\FS\PROFILES\USER.V6\Desktop angezeigt wird, und bei manchen C:\Users\User\Desktop. Aber das sei erstmal zweitrangig.
Danke für Hinweise und Korrekturen.
ich habe folgende Ausgangssituation: virtuelle Server (jeweils) Windows 2012R2 Std. 1x als DomainController ,
1x als RDS-Server , 1x als Fileserver (wo sich auch die servergespeicherten Profile befinden). Clients/
Domain-PCs alle Windows 10 Pro 64x. Im AD habe ich ein OU erstellt, die den RDS sowie die User-Gruppe RDS-User
enthält. Für diese OU habe ich eine Gruppenrichtlinie erstellt und aktiviert ("GrRichtlienienobjekt hier erstellen
und verknüpfen"). Damit soll eine Ordnerumleitung erfolgen, die es für den Benutzer auf dem RDS ermöglicht, auf seine Dokumente + Desktop zuzugreifen. Als Sicherheitsfilterung ist die Gruppe RDS-User eingetragen.
Unter Benutzerkonfiguration\Richtlinien\Windows-Einstellungen\Ordnerumleitung\Desktop habe ich folgende Einstellungen vorgenommen: "Leitet alle Ordner auf den gleichen Pfad um" + "Einen Ordner für jeden Benutzer im Stammpfad erstellen". Als Stammverzeichnung die Profile-Freigabe \\FS\PROFILES (Als Beispiel wird unten auch korrekt USER.V6\Desktop angezeigt). Unter dem Reiter "Erweitert" sind aktiviert "Inhalt von Desktop an den neuen Ort Verschieben" + "Ordner nach Entfernen der Richtlinie an den Ort des lokalen Profils umleiten".
Ist diese Vorgehensweise so korrekt?
Durch diverse Tests, habe ich aktuell den Zustand, das bei manchen Usern am Client sowie am RDS Server via Datei-Explorer Ordner Desktop-> Eigenschaften der Speicherort als \\FS\PROFILES\USER.V6\Desktop angezeigt wird, und bei manchen C:\Users\User\Desktop. Aber das sei erstmal zweitrangig.
Danke für Hinweise und Korrekturen.
Hallo, es wäre besser gewesen einen neuen Thread zu eröffnen, da es hätte sein können, dass ich deine Anfrage nicht bemerke. Ich bin derzeit nicht wirklich aktiv hier.
Das klingt soweit ganz gut.
Wenn alle Nutzer, die sich in der OU befinden, auf die die GPO wirkt, die Ordnerumleitung bekommen sollen, dann ist die Verwendung der Sicherheitsgruppe nicht notwendig. Vielmehr könnte passieren, dass ein neuer Nutzer aus Versehen nicht in der Sicherheitsgruppe ist und die Ordnerumleitung nicht erhält.
Wenn mit Sicherheitsgruppen gefiltert wird, muss die Gruppe "Authentifizierte Benutzer" entfernt werden, da sonst ohnehin alle die Richtlinie erhalten würden, denn die Gruppe umfasst alle angemeldeten Benutzer- und Computerkonten.
Da die Ordnerumleitung teil der Benutzerkonfiguration ist, muss das Computerkonto des RDH nicht unbedingt in der OU sein, in der sich auch die RDS-Nutzer befinden.
Wenn ein Benutzer- und Computerkonto eine Einstellung nicht anwendet, muss man erst einmal prüfen, ob die GPO überhaupt auf das entsprechende Konto wirkt. Dazu lege ich, wenn nicht vorhanden in C:\ den Ordner "Temp" an, da meistens in C:\ direkt nicht geschrieben werden kann und führe im Benutzerkontext auf dem RDH (also der Nuter, der die Einstellung nicht erhält) folgendes aus:
(Bei zweimaliger Ausführung wird die alte Datei nicht überschrieben, also entweder gpo2.html verwenden oder die alte Datei vorher löschen)
In der HTML-Datei kannst du dann nachsehen ob die GPO unter den angewendeten Gruppenrichtlinienobjekten steht oder nicht. Steht es in den nicht angewendeten, so steht dort auch der Grund, wie z.B. Sicherheitsfilterung.
Übrigens: Wenn es um RDH geht kannst du dich auch mit dem Thema Benutzerkontendatenträger oder mit FSLogix beschäftigen.
Grüße Winary
Das klingt soweit ganz gut.
Wenn alle Nutzer, die sich in der OU befinden, auf die die GPO wirkt, die Ordnerumleitung bekommen sollen, dann ist die Verwendung der Sicherheitsgruppe nicht notwendig. Vielmehr könnte passieren, dass ein neuer Nutzer aus Versehen nicht in der Sicherheitsgruppe ist und die Ordnerumleitung nicht erhält.
Wenn mit Sicherheitsgruppen gefiltert wird, muss die Gruppe "Authentifizierte Benutzer" entfernt werden, da sonst ohnehin alle die Richtlinie erhalten würden, denn die Gruppe umfasst alle angemeldeten Benutzer- und Computerkonten.
Da die Ordnerumleitung teil der Benutzerkonfiguration ist, muss das Computerkonto des RDH nicht unbedingt in der OU sein, in der sich auch die RDS-Nutzer befinden.
Wenn ein Benutzer- und Computerkonto eine Einstellung nicht anwendet, muss man erst einmal prüfen, ob die GPO überhaupt auf das entsprechende Konto wirkt. Dazu lege ich, wenn nicht vorhanden in C:\ den Ordner "Temp" an, da meistens in C:\ direkt nicht geschrieben werden kann und führe im Benutzerkontext auf dem RDH (also der Nuter, der die Einstellung nicht erhält) folgendes aus:
gpresult -r c:\temp\gpo.html
In der HTML-Datei kannst du dann nachsehen ob die GPO unter den angewendeten Gruppenrichtlinienobjekten steht oder nicht. Steht es in den nicht angewendeten, so steht dort auch der Grund, wie z.B. Sicherheitsfilterung.
Übrigens: Wenn es um RDH geht kannst du dich auch mit dem Thema Benutzerkontendatenträger oder mit FSLogix beschäftigen.
Grüße Winary