Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst User können Terminalserver trotz GPO herunterfahren

Mitglied: freenode

freenode (Level 2) - Jetzt verbinden

30.07.2020 um 07:52 Uhr, 561 Aufrufe, 14 Kommentare, 1 Danke

Guten Morgen,

ich habe bei uns im Betrieb ein eigenartiges Problem. Umgebung ist die folgende: Wir haben einen Domaincontroller (Server 2016) und einen Terminalserver (ebenfalls 2016).

Damit die User letzteren nicht herunterfahren können, habe ich ein GPO erstellt. In diesem Objekt habe ich unter Computerkonfiguration > Richtlinien > Sicherheitseinstellungen > Lokale Richtlinien / Zuweisen von Benutzerrechten die Richtlinie "Herunterfahren des Systems" so eingestellt, dass nur Administratoren hierfür berechtigt sind. Bei der Sicherheitsfilterung habe ich den Terminalserver eingetragen, denn nur für diesen soll das GPO ja gelten.

Das funktioniert aber leider nicht. Der Server wurde zwar neu gestartet und zieht sich die Richtlinie, aber die angemeldeten User könnten das Gerät weiterhin herunterfahren. Ich habe mir überlegt, ob ich evtl. noch die User bei der Sicherheitsfilterung eintragen muss, aber ich vermute mal, dann könnten sie ihre lokalen Clients auch nicht mehr herunterfahren, oder?

Bin für jeden Tip dankbar. ;)

Beste Grüße, freenode.
Mitglied: Spirit-of-Eli
30.07.2020 um 07:57 Uhr
Moin,

was steht denn derzeit bei der Sicherheitsfilterung?
Die User müssen zumindest lese berechtigt sein.

Gruß
Spirit
Bitte warten ..
Mitglied: DerWoWusste
30.07.2020, aktualisiert um 08:01 Uhr
Moin.

Deine User scheinen lokale Admins zu sein. Schon per Default können normale User keine Server runterfahren - für die Einschränkung braucht es keine Richtlinie! Siehe https://docs.microsoft.com/en-us/windows/security/threat-protection/secu ...
@SoE
was steht denn derzeit bei der Sicherheitsfilterung?
Die User müssen zumindest lese berechtigt sein.
Nee, das verwechselst Du. Dies ist eine Computer-GPO, keine User-GPO - hier brauchen User keine Leserechte.
Bitte warten ..
Mitglied: c0d3.r3d
30.07.2020 um 08:05 Uhr
... jeder sollte hier entweder Authentifizierte Benutzer, bzw. Domain-Computers mit Lese- und Richtlinie anwenden konfiguriert sein.
Bitte warten ..
Mitglied: Spirit-of-Eli
30.07.2020 um 08:08 Uhr
Zitat von DerWoWusste:

Moin.

Deine User scheinen lokale Admins zu sein. Schon per Default können normale User keine Server runterfahren - für die Einschränkung braucht es keine Richtlinie! Siehe https://docs.microsoft.com/en-us/windows/security/threat-protection/secu ...
@SoE
was steht denn derzeit bei der Sicherheitsfilterung?
Die User müssen zumindest lese berechtigt sein.
Nee, das verwechselst Du. Dies ist eine Computer-GPO, keine User-GPO - hier brauchen User keine Leserechte.

Ja stimmt, das war noch vor dem ersten Kaffee.
Bitte warten ..
Mitglied: Lochkartenstanzer
30.07.2020 um 08:17 Uhr
Moin,

wie DWW schon sagte: offensichtlich hast Du den Server oder die User-Einstellungen vermurkst. Per default darf kein normaler User Server herunterfahren. Das dürfen nur Admins.

Also erstmal allen Usern die Berechtigung als Admin auf dem Terminalserver wegnehmen.

lks
Bitte warten ..
Mitglied: freenode
30.07.2020 um 08:49 Uhr
Hi,

danke schon mal für eure Antworten. Ich habs eben mal geprüft, die User haben keine Adminrechte auf dem Server. Mir ist eben noch eingefallen, dass evtl. eine andere GPO dafür verantwortlich sein könnte. Hierzu muss ich aber ein bisschen weiter ausholen:

Wir sind am Wochenende mit allen Geräten auf eine neue Domain umgezogen. Am Montag habe ich dann bemerkt, dass die User mit lokalen Clients (sind die wenigsten, die allermeisten arbeiten mit Thinclients auf dem Terminalserver) ihre Geräte nicht mehr herunterfahren können. Daraufhin habe ich folgendes GPO erstellt:
Computerkonfiguration > Richtlinien > Windows-Einstellungen > Lokale Richtlinien / Zuweisen von Benutzerrechten > Herunterfahren des Systems aktiviert für alle Domänenbenutzer.

Könnte es sein, dass diese GPO das Standardsetting auf dem Terminalserver von dem ihr erzählt habt überschreibt? Und wenn ja, wie kann ich den TS von der GPO ausschließen?

Danke vorab!
Bitte warten ..
Mitglied: DerWoWusste
LÖSUNG 30.07.2020 um 08:52 Uhr
Du scheinst unsicher, wie Du das prüfen kannst.

Öffne eine Kommandozeile (elevated) am TS und starte dort
In der erscheinenden Website kannst Du ablesen, welche Policy da was gesetzt hat.
Bitte warten ..
Mitglied: freenode
30.07.2020 um 09:02 Uhr
Danke, das hat mir schon mal weiter geholfen. Ich sehe hier, dass die Richtlinie "Herunterfahren des Systems" für Domänenbenutzer auch auf dem Terminalserver greift.

Jetzt die Frage: Wie kann ich diesen von einer GP ausschließen? Das GPO an sich hat in der Sicherheitsfilterung nur Athentifizierte Benutzer eingetragen.
Bitte warten ..
Mitglied: DerWoWusste
LÖSUNG 30.07.2020, aktualisiert um 09:48 Uhr
Wenn Du die GPO, welche es für den TS unpassend einstellt, nimmst, und in der Sicherheitsfilterung der GPO dem Computerkonto des TS das "apply GPO" (GPO anwenden) verweigerst, bist Du am Ziel (danach auf dem TS ein gpupdate machen und dann erneut mit dem letzten Kommando prüfen).

Es ist jedoch besser, gar nicht mit denials zu arbeiten und schon von jeher zu überlegen, ob nicht Server andere GPOs bekommen sollten als Clients. Daraus entsteht dann meist der Ansatz, (mindestens) 2 OUs mit Rechnern zu haben ("Server", "Clients"), auf die dann verschiedene Sets von GPOs verlinkt werden.
Bitte warten ..
Mitglied: freenode
30.07.2020 um 09:50 Uhr
Hat alles geklappt, vielen Danl für die Hilfe!

Und du hast Recht, das mit den verschiedenen GPOs macht schon Sinn. Habe direkt angefangen, eine eigene für Server zu bauen.
Bitte warten ..
Mitglied: Luci0815
30.07.2020, aktualisiert um 14:16 Uhr
Für Terminalserver (Benutzerrichtlinien) gibt es den Loopback-Verarbeitungsmodus: https://www.gruppenrichtlinien.de/artikel/remote-desktop-server-terminal ...

Ist mir mittlerweile aber zu umständlich. Ich missbrauche dafür GPPs mit Zielgruppenadressierung
Bitte warten ..
Mitglied: DerWoWusste
30.07.2020 um 14:28 Uhr
eh nicht anwendbar, da eine Computerrichtlinie.
Bitte warten ..
Mitglied: Luci0815
30.07.2020 um 14:46 Uhr
Warum nicht?

Erstellst eine Computer-GPP mit der Bedingung Computername != Terminalserver
Bitte warten ..
Mitglied: DerWoWusste
30.07.2020 um 15:19 Uhr
Den Loopbackmodus meine ich. Da schreibst Du "...zu umständlich" und ich dazu "eh nicht anwendbar".
GPP: ja, ist anwendbar.
Bitte warten ..
Ähnliche Inhalte
Windows Server
GPO User Computerconfiguration
Frage von stuckroseWindows Server1 Kommentar

Hallo, wenn in einer GPO User und Computereinstellungen entsprechend gesetzt sind, aber in der OU, worauf die GPO verlinkt ...

Windows Server
GPO auf User-OU greift nicht
gelöst Frage von eastfrisianWindows Server2 Kommentare

hey, bräuchte mal kurz eine Hilfestellung. wahrscheinlich bin ich irgendwo auf dem Holzweg, aber ich komme einfach nicht drauf. ...

Windows Server
GPO greift nicht bei jedem User
gelöst Frage von LockjawWindows Server2 Kommentare

Hallo, ich habe gerade das Problem, dass verlinkte Bilder, die bestimmte Windows-Explorer öffnen sollen, nicht so funktionieren wie sie ...

Windows Server

GPO für Drucker auch für lokale User

Frage von HerrenhausWindows Server3 Kommentare

Moin zusammen, ich habe einen Druckserver auf meinem Windows Server 2016 laufen, die Drucker werden über GPO für Benutzer ...

Neue Wissensbeiträge
Erkennung und -Abwehr

Liste ungeschützter Pulse-VPN-Server veröffentlicht

Information von Visucius vor 8 StundenErkennung und -Abwehr

bzw. Der tiefe Blick in die Profi-Administratoren-Welt ;-)

Windows 10

Windows Defender verhindert Telemetrieblocking via hosts-Datei

Information von BirdyB vor 9 StundenWindows 102 Kommentare

Für diejenigen, die keine Daten an MS senden wollten, war die hosts-Datei manchmal eine Option.

Monitoring

Unabhängiger Ansatz - IoT (frei von Cloud- oder Appzwang) - Hier mit Schaltsteckdosen

Anleitung von beidermachtvongreyscull vor 2 TagenMonitoring2 Kommentare

Tach Kollegen, ich erzähle Euch mal von meiner Ausgangslage und den/m Problem(chen) Ich benutze ein NAS zur Lagerung meiner ...

Microsoft
Microsoft Advanced Threat Protection for Linux
Information von Dani vor 5 TagenMicrosoft

Microsoft Defender Advanced Threat Protection (MD ATP) support for Linux with kernel version 3.10.0-327 or later, including the following ...

Heiß diskutierte Inhalte
Windows 10
Windows "Home" Version im Unternehmen legal?
gelöst Frage von BosnigelWindows 1024 Kommentare

Hallo, ich habe hier einen Kleinstunternehmer der überall sparen muss. Die Frage: Ist Windows 10 (also nicht Pro) für ...

Hyper-V
Hardware Empfehlung Hyper-V Host
Frage von TraxxTecHyper-V20 Kommentare

Hi, ich habe keine Ahnung was aktuell an Hardware unterwegs ist, deshalb bräuchte ich eine grobe Empfehlung für einen ...

Batch & Shell
Doppelte If Anweisung - check if file exist
Frage von chkdskBatch & Shell12 Kommentare

Hello Again :-) Ich habe hier ein Skript, welches zu zu Beginn überprüft ob eine Datei vorhanden ist. Falls ...

Windows 10
Gruppenrichtlinenen Anzeigen lassen ohne Administrator rechte ?
gelöst Frage von DavidHergWindows 1011 Kommentare

Guten Abend zusammen, kann ich mir die Gruppenrichtlinien ohne Administrator Rechte anzeigen lassen ? MFG DavidHerg

Weniger Werbung?
Administrator Magazin
07 | 2020 In der Juli-Ausgabe beleuchtet das IT-Administrator Magazin den Themenschwerpunkt "Monitoring & Support". Darin zeigt die Redaktion unter anderem, wie Sie die Leistung von Terminalservern im Blick behalten und welche Neuerungen das Ticketsystem OTRS 8 mitbringt. Auch die Überwachung von USV-Anlagen darf nicht fehlen. In ...