User können Terminalserver trotz GPO herunterfahren
Guten Morgen,
ich habe bei uns im Betrieb ein eigenartiges Problem. Umgebung ist die folgende: Wir haben einen Domaincontroller (Server 2016) und einen Terminalserver (ebenfalls 2016).
Damit die User letzteren nicht herunterfahren können, habe ich ein GPO erstellt. In diesem Objekt habe ich unter Computerkonfiguration > Richtlinien > Sicherheitseinstellungen > Lokale Richtlinien / Zuweisen von Benutzerrechten die Richtlinie "Herunterfahren des Systems" so eingestellt, dass nur Administratoren hierfür berechtigt sind. Bei der Sicherheitsfilterung habe ich den Terminalserver eingetragen, denn nur für diesen soll das GPO ja gelten.
Das funktioniert aber leider nicht. Der Server wurde zwar neu gestartet und zieht sich die Richtlinie, aber die angemeldeten User könnten das Gerät weiterhin herunterfahren. Ich habe mir überlegt, ob ich evtl. noch die User bei der Sicherheitsfilterung eintragen muss, aber ich vermute mal, dann könnten sie ihre lokalen Clients auch nicht mehr herunterfahren, oder?
Bin für jeden Tip dankbar. ;)
Beste Grüße, freenode.
ich habe bei uns im Betrieb ein eigenartiges Problem. Umgebung ist die folgende: Wir haben einen Domaincontroller (Server 2016) und einen Terminalserver (ebenfalls 2016).
Damit die User letzteren nicht herunterfahren können, habe ich ein GPO erstellt. In diesem Objekt habe ich unter Computerkonfiguration > Richtlinien > Sicherheitseinstellungen > Lokale Richtlinien / Zuweisen von Benutzerrechten die Richtlinie "Herunterfahren des Systems" so eingestellt, dass nur Administratoren hierfür berechtigt sind. Bei der Sicherheitsfilterung habe ich den Terminalserver eingetragen, denn nur für diesen soll das GPO ja gelten.
Das funktioniert aber leider nicht. Der Server wurde zwar neu gestartet und zieht sich die Richtlinie, aber die angemeldeten User könnten das Gerät weiterhin herunterfahren. Ich habe mir überlegt, ob ich evtl. noch die User bei der Sicherheitsfilterung eintragen muss, aber ich vermute mal, dann könnten sie ihre lokalen Clients auch nicht mehr herunterfahren, oder?
Bin für jeden Tip dankbar. ;)
Beste Grüße, freenode.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 592030
Url: https://administrator.de/forum/user-koennen-terminalserver-trotz-gpo-herunterfahren-592030.html
Ausgedruckt am: 23.12.2024 um 06:12 Uhr
14 Kommentare
Neuester Kommentar
Moin.
Deine User scheinen lokale Admins zu sein. Schon per Default können normale User keine Server runterfahren - für die Einschränkung braucht es keine Richtlinie! Siehe https://docs.microsoft.com/en-us/windows/security/threat-protection/secu ...
@soe
Deine User scheinen lokale Admins zu sein. Schon per Default können normale User keine Server runterfahren - für die Einschränkung braucht es keine Richtlinie! Siehe https://docs.microsoft.com/en-us/windows/security/threat-protection/secu ...
@soe
was steht denn derzeit bei der Sicherheitsfilterung?
Die User müssen zumindest lese berechtigt sein.
Nee, das verwechselst Du. Dies ist eine Computer-GPO, keine User-GPO - hier brauchen User keine Leserechte.Die User müssen zumindest lese berechtigt sein.
Zitat von @DerWoWusste:
Moin.
Deine User scheinen lokale Admins zu sein. Schon per Default können normale User keine Server runterfahren - für die Einschränkung braucht es keine Richtlinie! Siehe https://docs.microsoft.com/en-us/windows/security/threat-protection/secu ...
@soe
Moin.
Deine User scheinen lokale Admins zu sein. Schon per Default können normale User keine Server runterfahren - für die Einschränkung braucht es keine Richtlinie! Siehe https://docs.microsoft.com/en-us/windows/security/threat-protection/secu ...
@soe
was steht denn derzeit bei der Sicherheitsfilterung?
Die User müssen zumindest lese berechtigt sein.
Nee, das verwechselst Du. Dies ist eine Computer-GPO, keine User-GPO - hier brauchen User keine Leserechte.Die User müssen zumindest lese berechtigt sein.
Ja stimmt, das war noch vor dem ersten Kaffee.
Wenn Du die GPO, welche es für den TS unpassend einstellt, nimmst, und in der Sicherheitsfilterung der GPO dem Computerkonto des TS das "apply GPO" (GPO anwenden) verweigerst, bist Du am Ziel (danach auf dem TS ein gpupdate machen und dann erneut mit dem letzten Kommando prüfen).
Es ist jedoch besser, gar nicht mit denials zu arbeiten und schon von jeher zu überlegen, ob nicht Server andere GPOs bekommen sollten als Clients. Daraus entsteht dann meist der Ansatz, (mindestens) 2 OUs mit Rechnern zu haben ("Server", "Clients"), auf die dann verschiedene Sets von GPOs verlinkt werden.
Es ist jedoch besser, gar nicht mit denials zu arbeiten und schon von jeher zu überlegen, ob nicht Server andere GPOs bekommen sollten als Clients. Daraus entsteht dann meist der Ansatz, (mindestens) 2 OUs mit Rechnern zu haben ("Server", "Clients"), auf die dann verschiedene Sets von GPOs verlinkt werden.
Für Terminalserver (Benutzerrichtlinien) gibt es den Loopback-Verarbeitungsmodus: https://www.gruppenrichtlinien.de/artikel/remote-desktop-server-terminal ...
Ist mir mittlerweile aber zu umständlich. Ich missbrauche dafür GPPs mit Zielgruppenadressierung
Ist mir mittlerweile aber zu umständlich. Ich missbrauche dafür GPPs mit Zielgruppenadressierung