6
PDC/Terminalserver auf einer Maschine - Probleme mit Gruppenrichtlinien und Profilen
Gibt es Möglichkeiten, auf einem PDC gleichzeitig einen Terminalserver zu betreiben und für Nutzer unterschiedliche Profile anzulegen, Termailserver sehr rigide - Domainanmeldung "normal"?
Nachdem ich nun unterdessen mehrere Tage vergeblich im Trüben gefischt habe, bleibt mir dieses Forum hier als "Rettungsanker".
Ich habe ein kleines Netzwerk mit 5 ThinClients und 5 "normalen" PCs.
Auf einer weiteren Maschine läuft Server 2003 Standard, 10er CAL-Version.
Diese ist jetzt zum PDC aufgestiegen, es wurden die Serverdienste
- DHCP
- DNS
- Dateiserver
- Druckserver
sowie
- Terminalserver
installiert.
Terminal-Lizenzserver mit 12 Gerätegebundenen CALs ist aktiviert.
Es funzt auch alles soweit, bis auf die "klitzekleine" Kleinigkeit, dass es mir nicht gelingt, für die Benutzer je nach Anmeldung (an der Domain als Client-Rechner oder am Terminalserver) klar unterschiedliche Profile und administrative Richtlinien zu erstellen.
Wenn die Nutzer in OUs eingestellt werden und dann zu dieser OU ne GrRL bspw. für Terminalserveranmeldung sehr rigid gemacht wird, haut das auch hin. Dieser Nutzer kann sich aber dann nicht mehr an der Domain anmelden.
Irgendwie steh ich da auf dem Schlauch, auch das HowTo von Gruppenrichtlinien.de zu Terminalserver bringt nix.
Sollte es wirklich so sein, dass dann für die Domainanmeldung ein neues Nutzerobjekt in einer andernen OU angelegt werden muss?
Ich hatte mir das einfach so vorgestellt:
- Nuzerobjekt mit NutzerName
Je nach Anmeldeart bekommt er entweder ein servergespeichertes Profil für seinen PC oder für die Terminalanmeldung
Vielleicht hat ja jemand nen Tipp, wie das zu realisieren wäre
Nachdem ich nun unterdessen mehrere Tage vergeblich im Trüben gefischt habe, bleibt mir dieses Forum hier als "Rettungsanker".
Ich habe ein kleines Netzwerk mit 5 ThinClients und 5 "normalen" PCs.
Auf einer weiteren Maschine läuft Server 2003 Standard, 10er CAL-Version.
Diese ist jetzt zum PDC aufgestiegen, es wurden die Serverdienste
- DHCP
- DNS
- Dateiserver
- Druckserver
sowie
- Terminalserver
installiert.
Terminal-Lizenzserver mit 12 Gerätegebundenen CALs ist aktiviert.
Es funzt auch alles soweit, bis auf die "klitzekleine" Kleinigkeit, dass es mir nicht gelingt, für die Benutzer je nach Anmeldung (an der Domain als Client-Rechner oder am Terminalserver) klar unterschiedliche Profile und administrative Richtlinien zu erstellen.
Wenn die Nutzer in OUs eingestellt werden und dann zu dieser OU ne GrRL bspw. für Terminalserveranmeldung sehr rigid gemacht wird, haut das auch hin. Dieser Nutzer kann sich aber dann nicht mehr an der Domain anmelden.
Irgendwie steh ich da auf dem Schlauch, auch das HowTo von Gruppenrichtlinien.de zu Terminalserver bringt nix.
Sollte es wirklich so sein, dass dann für die Domainanmeldung ein neues Nutzerobjekt in einer andernen OU angelegt werden muss?
Ich hatte mir das einfach so vorgestellt:
- Nuzerobjekt mit NutzerName
Je nach Anmeldeart bekommt er entweder ein servergespeichertes Profil für seinen PC oder für die Terminalanmeldung
Vielleicht hat ja jemand nen Tipp, wie das zu realisieren wäre
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 15940
Url: https://administrator.de/contentid/15940
Ausgedruckt am: 22.11.2024 um 17:11 Uhr
6 Kommentare
Neuester Kommentar
@ Erst mal Grüße ins Erzgebirge!!!
Du hAST ALSO EINEN DC der zugleich Terminalserver ist?!
Richtig, du mußt noch eine neue OU z.B Arbeitsstationen erstellen und darauf und dann die Loopback-Funktion setzen.
Und dann sehen wir weiter...
P.s. Ein HowTo von Gruppenrichtlinien.de beschreibt genau das, was Du brauchst...
Mfg
schuladmin
http://www.73s.de
Du hAST ALSO EINEN DC der zugleich Terminalserver ist?!
Richtig, du mußt noch eine neue OU z.B Arbeitsstationen erstellen und darauf und dann die Loopback-Funktion setzen.
Und dann sehen wir weiter...
P.s. Ein HowTo von Gruppenrichtlinien.de beschreibt genau das, was Du brauchst...
Mfg
schuladmin
http://www.73s.de
Danke für die Antwort und die Grüße - wie biste denn auf das Erzgebirge gekommen?
Ja ich weiss, dass das nicht besonders "clever" war, alles auf einer Maschine zu machen, aber da war zum einen Zeitdruck und zum anderen der Kostenspardruck...
Die Anleitung von gruppenrichtlinien.de hab ich schon mal wie ein Computer-Bild-Leser genauestens befolgt, aber da greift leider nix...
Irgendwie schein ich das Prinzip noch nicht richtig begriffen zu haben...
Es gibt die Nutzer term1, term2, term3 - die dürfen nur auf den Terminalserver, sollen eine total reduzierte Arbeitsumgebung haben und sollen sich von keinem Rechner an der Domäne anmelden dürfen
Dann gibt es die Nutzer user1, user2, user3 - die dürfen sich am Terminalserver anmelden, sollen eine total reduzierte Arbeitsumgebung wie die "term"- User haben und dürfen sich aber zusätzlich an der Domain anmelden und sollen dort ein richtiges komplettes Userprofil als Domainuser haben.
Meine Versuche haben nun ergeben, dass eine OU "TerminalUser" mit der Gruppe "TerminalUser" und ner eigenen GRL nicht greift, trotz dass die user und die term Mitglieder dieser Gruppe sind.
Wenn ich aber die term direkt in diese OU ziehe, dann greift die GRL. Nun können aber aus gegebenen Gründen die user nicht in dies OU gezogen werden, denn dann greift die GRL auch bei der "normalen" Domainanmeldung.
Ich setz morgen mal alle GRLs zurück und mach das nochmal so wie es das tut sagt, dann melde ich mich nochmal.
Viele Grüße und Dank für Tipps
BTW - gibt es bei Einsatz eines DCs nur noch die Gruppe Benutzer, die Gruppe Hauptbenutzer ist weggefallen?
Ja ich weiss, dass das nicht besonders "clever" war, alles auf einer Maschine zu machen, aber da war zum einen Zeitdruck und zum anderen der Kostenspardruck...
Die Anleitung von gruppenrichtlinien.de hab ich schon mal wie ein Computer-Bild-Leser genauestens befolgt, aber da greift leider nix...
Irgendwie schein ich das Prinzip noch nicht richtig begriffen zu haben...
Es gibt die Nutzer term1, term2, term3 - die dürfen nur auf den Terminalserver, sollen eine total reduzierte Arbeitsumgebung haben und sollen sich von keinem Rechner an der Domäne anmelden dürfen
Dann gibt es die Nutzer user1, user2, user3 - die dürfen sich am Terminalserver anmelden, sollen eine total reduzierte Arbeitsumgebung wie die "term"- User haben und dürfen sich aber zusätzlich an der Domain anmelden und sollen dort ein richtiges komplettes Userprofil als Domainuser haben.
Meine Versuche haben nun ergeben, dass eine OU "TerminalUser" mit der Gruppe "TerminalUser" und ner eigenen GRL nicht greift, trotz dass die user und die term Mitglieder dieser Gruppe sind.
Wenn ich aber die term direkt in diese OU ziehe, dann greift die GRL. Nun können aber aus gegebenen Gründen die user nicht in dies OU gezogen werden, denn dann greift die GRL auch bei der "normalen" Domainanmeldung.
Ich setz morgen mal alle GRLs zurück und mach das nochmal so wie es das tut sagt, dann melde ich mich nochmal.
Viele Grüße und Dank für Tipps
BTW - gibt es bei Einsatz eines DCs nur noch die Gruppe Benutzer, die Gruppe Hauptbenutzer ist weggefallen?
Hallo,
guckst Du mal in den Benutzereinstellungen im AD. Da gibt es extra einen Pfad für ein Terminaldiensteprofil.
Gruß
Egbert
guckst Du mal in den Benutzereinstellungen im AD. Da gibt es extra einen Pfad für ein Terminaldiensteprofil.
Gruß
Egbert
Hi,
ein weiteres Dokument für die Einrichtung von Terminalservern ist bei der Datev eG zu finden unter http://www.datev.de.
Dort auf Service & Support klicken, dann auch Systemplattform und unterhalb der Technischen Fachschriften findest du das Dokument "Integration von Microsoft Terminalservern in eine Windows 2000 Domäne". Das Dokument enthält auch ein paar Vorschläge für zu ändernde Gruppenrichtlinien.
PS: Die anderen Dokument sollten sich "Teilzeit" Administratoren mal genauer angucken
mfg
DrOktagon
ein weiteres Dokument für die Einrichtung von Terminalservern ist bei der Datev eG zu finden unter http://www.datev.de.
Dort auf Service & Support klicken, dann auch Systemplattform und unterhalb der Technischen Fachschriften findest du das Dokument "Integration von Microsoft Terminalservern in eine Windows 2000 Domäne". Das Dokument enthält auch ein paar Vorschläge für zu ändernde Gruppenrichtlinien.
PS: Die anderen Dokument sollten sich "Teilzeit" Administratoren mal genauer angucken
mfg
DrOktagon
@hempelr Elterl liegt doch im erzgebirge Ich komme ursprünglich auch aus der ecke.
Den Kostenspardruck kenne ich nur zu gut...
Also du legts eine Gruppe, deine "termuser" und für demzufolge auch eine OU auf der du die Termuser-GRL setzt, bis deine reduzierte Arbeitsumgebung für diese User passt.
Jetzt soll sich eine Teil deiner Terminaluser sich nicht an den normalen Arbeitststationen anmelden dürfen. Das kannst Du durch die LOKALEN Richtlinien der Arbeitsstationen erreichen. Füge diese term1, term2 zu einer Gruppe zusammen und verweigere diesen die lokale Anmeldung an den Arbeitsstationen.
Jetzt meldet sich die termUser nutzer1, nutzer2 an den Arbeitststationen an, haben aber eine reduzierte Arbeitsumgebung, das willst du vermeiden, Sie sollen ja normal arbeiten können als Domänenuser. Demzufolge eine neue OU für die Arbeitsstationen anlegen und dort die Loopback-Funktion setzen.
Wenn du soweit bist - poste wieder!
Und noch was anderes aus persönlichen Intresse heraus:
Mit welchen Thinclients hast Du im Einsatz und bist Du mit denen zufrieden???
Ich hoffe, ich habe Deine Anforderungen richtig verstanden?!
Mfg
schuladmin
P.S.: Auf keinen Fall die Default Domian Police ändern, denn diese greift immer wie Du schon gemerkt hast. Und beachte es dauert immer eine gewisse Zeit bis die GRL greift!
Ich komme ursprünglich auch aus der ecke.Den Kostenspardruck kenne ich nur zu gut...
Also du legts eine Gruppe, deine "termuser" und für demzufolge auch eine OU auf der du die Termuser-GRL setzt, bis deine reduzierte Arbeitsumgebung für diese User passt.
Jetzt soll sich eine Teil deiner Terminaluser sich nicht an den normalen Arbeitststationen anmelden dürfen. Das kannst Du durch die LOKALEN Richtlinien der Arbeitsstationen erreichen. Füge diese term1, term2 zu einer Gruppe zusammen und verweigere diesen die lokale Anmeldung an den Arbeitsstationen.
Jetzt meldet sich die termUser nutzer1, nutzer2 an den Arbeitststationen an, haben aber eine reduzierte Arbeitsumgebung, das willst du vermeiden, Sie sollen ja normal arbeiten können als Domänenuser. Demzufolge eine neue OU für die Arbeitsstationen anlegen und dort die Loopback-Funktion setzen.
Wenn du soweit bist - poste wieder!
Und noch was anderes aus persönlichen Intresse heraus:
Mit welchen Thinclients hast Du im Einsatz und bist Du mit denen zufrieden???
Ich hoffe, ich habe Deine Anforderungen richtig verstanden?!
Mfg
schuladmin
P.S.: Auf keinen Fall die Default Domian Police ändern, denn diese greift immer wie Du schon gemerkt hast. Und beachte es dauert immer eine gewisse Zeit bis die GRL greift!
Hallo, Schuladmin,
so - nachdem ich nun wir verrückt experimentiert habe, der Stand:
- Nutzer mit der Möglichkeit sowohl an Domäne als auch am Terminalserver anzumelden hab ich nicht hinbekommen (hab mich auch an deine Tipps gehalten, aber geht nicht so wie ich ursprünglich wollte)
- Hab jetzt einfach Terminaluser in ner eigenen OU mit ner eigenen GRL mit dem Suffix -t für vorhandenen Usernamen (damit sich die User das auch merken können) und dem gleichen Passwort angelegt, an den Clients hab ich einfach sowohl im lokalen Profil als auch im Domänenprofil eine Startdatei für die RPC-Verbindung zur Terminalserver-Anmeldung angelegt, die dann mit diesem Namen und dem Passwort automatisch angemeldet werden und somit immer über eine authentifizierte Anmeldung auf den Terminalserver kommen.
- wenn die User nicht in der OU stehen, greift die GRL trotz Gültigkeitszuweisung für die Terminalusergruppe als auch für die Terminalrechner überhaupt nicht, gleichgültig ob der Loopbackmodus aktiviert ist oder nicht.
Aber das ist momentan egal, ich muss ja mal fertig werden - deshalb bleibt es vorerst so wies ist, wei es doch ganz gut geht.
Na dann, man hört bestimmt wieder voneinander
so - nachdem ich nun wir verrückt experimentiert habe, der Stand:
- Nutzer mit der Möglichkeit sowohl an Domäne als auch am Terminalserver anzumelden hab ich nicht hinbekommen (hab mich auch an deine Tipps gehalten, aber geht nicht so wie ich ursprünglich wollte)
- Hab jetzt einfach Terminaluser in ner eigenen OU mit ner eigenen GRL mit dem Suffix -t für vorhandenen Usernamen (damit sich die User das auch merken können
) und dem gleichen Passwort angelegt, an den Clients hab ich einfach sowohl im lokalen Profil als auch im Domänenprofil eine Startdatei für die RPC-Verbindung zur Terminalserver-Anmeldung angelegt, die dann mit diesem Namen und dem Passwort automatisch angemeldet werden und somit immer über eine authentifizierte Anmeldung auf den Terminalserver kommen.- wenn die User nicht in der OU stehen, greift die GRL trotz Gültigkeitszuweisung für die Terminalusergruppe als auch für die Terminalrechner überhaupt nicht, gleichgültig ob der Loopbackmodus aktiviert ist oder nicht.
Aber das ist momentan egal, ich muss ja mal fertig werden - deshalb bleibt es vorerst so wies ist, wei es doch ganz gut geht.
Na dann, man hört bestimmt wieder voneinander
