User können Terminalserver trotz GPO herunterfahren

freenode
Goto Top
Guten Morgen,

ich habe bei uns im Betrieb ein eigenartiges Problem. Umgebung ist die folgende: Wir haben einen Domaincontroller (Server 2016) und einen Terminalserver (ebenfalls 2016).

Damit die User letzteren nicht herunterfahren können, habe ich ein GPO erstellt. In diesem Objekt habe ich unter Computerkonfiguration > Richtlinien > Sicherheitseinstellungen > Lokale Richtlinien / Zuweisen von Benutzerrechten die Richtlinie "Herunterfahren des Systems" so eingestellt, dass nur Administratoren hierfür berechtigt sind. Bei der Sicherheitsfilterung habe ich den Terminalserver eingetragen, denn nur für diesen soll das GPO ja gelten.

Das funktioniert aber leider nicht. Der Server wurde zwar neu gestartet und zieht sich die Richtlinie, aber die angemeldeten User könnten das Gerät weiterhin herunterfahren. Ich habe mir überlegt, ob ich evtl. noch die User bei der Sicherheitsfilterung eintragen muss, aber ich vermute mal, dann könnten sie ihre lokalen Clients auch nicht mehr herunterfahren, oder?

Bin für jeden Tip dankbar. ;)

Beste Grüße, freenode.

Content-Key: 592030

Url: https://administrator.de/contentid/592030

Ausgedruckt am: 13.08.2022 um 04:08 Uhr

Mitglied: Spirit-of-Eli
Spirit-of-Eli 30.07.2020 um 07:57:31 Uhr
Goto Top
Moin,

was steht denn derzeit bei der Sicherheitsfilterung?
Die User müssen zumindest lese berechtigt sein.

Gruß
Spirit
Mitglied: DerWoWusste
DerWoWusste 30.07.2020 aktualisiert um 08:01:17 Uhr
Goto Top
Moin.

Deine User scheinen lokale Admins zu sein. Schon per Default können normale User keine Server runterfahren - für die Einschränkung braucht es keine Richtlinie! Siehe https://docs.microsoft.com/en-us/windows/security/threat-protection/secu ...
@soe
was steht denn derzeit bei der Sicherheitsfilterung?
Die User müssen zumindest lese berechtigt sein.
Nee, das verwechselst Du. Dies ist eine Computer-GPO, keine User-GPO - hier brauchen User keine Leserechte.
Mitglied: c0d3.r3d
c0d3.r3d 30.07.2020 um 08:05:46 Uhr
Goto Top
... jeder sollte hier entweder Authentifizierte Benutzer, bzw. Domain-Computers mit Lese- und Richtlinie anwenden konfiguriert sein.
Mitglied: Spirit-of-Eli
Spirit-of-Eli 30.07.2020 um 08:08:29 Uhr
Goto Top
Zitat von @DerWoWusste:

Moin.

Deine User scheinen lokale Admins zu sein. Schon per Default können normale User keine Server runterfahren - für die Einschränkung braucht es keine Richtlinie! Siehe https://docs.microsoft.com/en-us/windows/security/threat-protection/secu ...
@soe
was steht denn derzeit bei der Sicherheitsfilterung?
Die User müssen zumindest lese berechtigt sein.
Nee, das verwechselst Du. Dies ist eine Computer-GPO, keine User-GPO - hier brauchen User keine Leserechte.

Ja stimmt, das war noch vor dem ersten Kaffee.
Mitglied: Lochkartenstanzer
Lochkartenstanzer 30.07.2020 um 08:17:34 Uhr
Goto Top
Moin,

wie DWW schon sagte: offensichtlich hast Du den Server oder die User-Einstellungen vermurkst. Per default darf kein normaler User Server herunterfahren. Das dürfen nur Admins.

Also erstmal allen Usern die Berechtigung als Admin auf dem Terminalserver wegnehmen.

lks
Mitglied: freenode
freenode 30.07.2020 um 08:49:57 Uhr
Goto Top
Hi,

danke schon mal für eure Antworten. Ich habs eben mal geprüft, die User haben keine Adminrechte auf dem Server. Mir ist eben noch eingefallen, dass evtl. eine andere GPO dafür verantwortlich sein könnte. Hierzu muss ich aber ein bisschen weiter ausholen:

Wir sind am Wochenende mit allen Geräten auf eine neue Domain umgezogen. Am Montag habe ich dann bemerkt, dass die User mit lokalen Clients (sind die wenigsten, die allermeisten arbeiten mit Thinclients auf dem Terminalserver) ihre Geräte nicht mehr herunterfahren können. Daraufhin habe ich folgendes GPO erstellt:
Computerkonfiguration > Richtlinien > Windows-Einstellungen > Lokale Richtlinien / Zuweisen von Benutzerrechten > Herunterfahren des Systems aktiviert für alle Domänenbenutzer.

Könnte es sein, dass diese GPO das Standardsetting auf dem Terminalserver von dem ihr erzählt habt überschreibt? Und wenn ja, wie kann ich den TS von der GPO ausschließen?

Danke vorab!
Mitglied: DerWoWusste
Lösung DerWoWusste 30.07.2020 um 08:52:01 Uhr
Goto Top
Du scheinst unsicher, wie Du das prüfen kannst.

Öffne eine Kommandozeile (elevated) am TS und starte dort
In der erscheinenden Website kannst Du ablesen, welche Policy da was gesetzt hat.
Mitglied: freenode
freenode 30.07.2020 um 09:02:55 Uhr
Goto Top
Danke, das hat mir schon mal weiter geholfen. Ich sehe hier, dass die Richtlinie "Herunterfahren des Systems" für Domänenbenutzer auch auf dem Terminalserver greift.

Jetzt die Frage: Wie kann ich diesen von einer GP ausschließen? Das GPO an sich hat in der Sicherheitsfilterung nur Athentifizierte Benutzer eingetragen.
Mitglied: DerWoWusste
Lösung DerWoWusste 30.07.2020 aktualisiert um 09:48:49 Uhr
Goto Top
Wenn Du die GPO, welche es für den TS unpassend einstellt, nimmst, und in der Sicherheitsfilterung der GPO dem Computerkonto des TS das "apply GPO" (GPO anwenden) verweigerst, bist Du am Ziel (danach auf dem TS ein gpupdate machen und dann erneut mit dem letzten Kommando prüfen).

Es ist jedoch besser, gar nicht mit denials zu arbeiten und schon von jeher zu überlegen, ob nicht Server andere GPOs bekommen sollten als Clients. Daraus entsteht dann meist der Ansatz, (mindestens) 2 OUs mit Rechnern zu haben ("Server", "Clients"), auf die dann verschiedene Sets von GPOs verlinkt werden.
Mitglied: freenode
freenode 30.07.2020 um 09:50:51 Uhr
Goto Top
Hat alles geklappt, vielen Danl für die Hilfe!

Und du hast Recht, das mit den verschiedenen GPOs macht schon Sinn. Habe direkt angefangen, eine eigene für Server zu bauen.
Mitglied: Inf1d3l
Inf1d3l 30.07.2020 aktualisiert um 14:16:51 Uhr
Goto Top
Für Terminalserver (Benutzerrichtlinien) gibt es den Loopback-Verarbeitungsmodus: https://www.gruppenrichtlinien.de/artikel/remote-desktop-server-terminal ...

Ist mir mittlerweile aber zu umständlich. Ich missbrauche dafür GPPs mit Zielgruppenadressierung face-smile
Mitglied: DerWoWusste
DerWoWusste 30.07.2020 um 14:28:28 Uhr
Goto Top
eh nicht anwendbar, da eine Computerrichtlinie.
Mitglied: Inf1d3l
Inf1d3l 30.07.2020 um 14:46:55 Uhr
Goto Top
Warum nicht?

Erstellst eine Computer-GPP mit der Bedingung Computername != Terminalserver
Mitglied: DerWoWusste
DerWoWusste 30.07.2020 um 15:19:28 Uhr
Goto Top
Den Loopbackmodus meine ich. Da schreibst Du "...zu umständlich" und ich dazu "eh nicht anwendbar".
GPP: ja, ist anwendbar.