2
Windows 2008R2 Remote Desktop - Erstellung des Profils - Bei Erster Anmeldung mit Roaming Profiles Sicherheitswarnungen und Berechtigungen?
Hallo an alle!
Erstmal Gratulation an das beste deutschsprachige Forum im Internet! Dass ich noch nicht viel Beiträge gepostet habe, liegt daran, dass Lösung für die meisten Probleme, mit denen ich zu kämpfen hatte, bereits in div. Threads zu finden war
Infos zu unserer Konfiguration:
- Wir haben bei unseren beiden Windows 2008R2 Remote Desktop Servern Roaming Profiles inkl. Folder Redirection implementiert.
- Die beiden RDS Server sind mit Sitzungsbroker und NL Balancing laut Microsoft und Best Practices Anleitungen konfiguriert worden.
Die Profile werden in einen DFS Share gespeichert und von dort auf einem der beiden RDS Server je nach Auslastung geladen, sobald sich ein Benutzer am Sitzungsbroker anmeldet. Bei Abmeldung werden die Profile lokal gelöscht, laut Group Policy.
Auf die Profile selbst haben wir Berechtigungen für den Benutzer selbst, (Domain)admins und System rekursiv laut GP Einstellungen für Roaming Profiles und Folder Redirection implementiert. Es werden nachträglich keine Berechtigungen geändert bzw. hinzugefügt oder entfernt.
Der DFS Share, wo die Profile gespeichert werden, ist laut Group Policy in den Computereinstellungen in der Liste der Site zu Zonenzuweisungen zugewiesen und mit der OU der RDS Server verknüpft.
- Default Profile für die Benutzer ist laut diversen Best Practices erstellt und konfigiert worden und mit sysprep zurückgesetzt worden.
- Loopback Modus ersetzen in der RDS OU (Benutzerrichtlinien ziehen die Benutzer dann von dieser OU explizit)
- Internet Explorer 11 ist auf den RD Servern installiert
- Intranetseiten wurden in der entsprechenden Computer-GPO als solche ausgewiesen
- Einige Anwendungen werden von einem DFS Share gespeichert und benutzern so zu Verfügung gestellt (DFS Share ist wie gesagt in der Site zu Zonenzuweisungen zugewiesen)
Funktioniert alles, soweit so gut.
Ich komme allerdings bei folgendem Problem nicht weiter:
- Beim ersten Anmelden eines neuen Benutzers, d.h. wenn das Profil noch nicht vorhanden ist/war, wird das Profil angelegt. ok passt.
- Richtlinien werden angewendet, dh Folder Redirection, user Skripts, etc. werden angewendet.
- sobald das Profil geladen ist, erscheint beim "neuen" Benutzer allerdings diverse Sicherheitswarnungen:
Intranetseite liegt nicht im Intranetbereich - Sicherheitsmeldung
- Beim Zugriff auf eine Software, welche im besagten DFS Share liegt erscheinet die Sicherheitswarnung "Datei öffnen - Sicheitswarnung"
Meldet sich dieser Benutzer nun ab (Profil wird lokal auf dem RDS Server gelöscht) und erneut an (Profil wird vom DFS Share auf den zugewiesenen RDS Server geladen), erscheinen diese Meldungen nicht mehr und alles funktioniert einwandfrei...
Es sieht so aus, als ob ein gerade erstelltes Profil die Site zu Zonenzuweisungen und die Intraneteinstellungen der betreffenden GPO's nicht "sieht", obwohl dies Computer- und keine Benutzer GPO's sind...
gpresult und rsop alles schun durchforstet... kein Ergebnis
Ist das jemandem von Euch schon passiert bzw. hat jemand von Euch vielleicht eine Idee?
BTW: ist auch schon mit dem IE9 und dem IE10 passiert, also daran kanns glaube ich nicht liegen
Danke im Voraus und sorry für den ewig langen Text...
Erstmal Gratulation an das beste deutschsprachige Forum im Internet! Dass ich noch nicht viel Beiträge gepostet habe, liegt daran, dass Lösung für die meisten Probleme, mit denen ich zu kämpfen hatte, bereits in div. Threads zu finden war
Infos zu unserer Konfiguration:
- Wir haben bei unseren beiden Windows 2008R2 Remote Desktop Servern Roaming Profiles inkl. Folder Redirection implementiert.
- Die beiden RDS Server sind mit Sitzungsbroker und NL Balancing laut Microsoft und Best Practices Anleitungen konfiguriert worden.
Die Profile werden in einen DFS Share gespeichert und von dort auf einem der beiden RDS Server je nach Auslastung geladen, sobald sich ein Benutzer am Sitzungsbroker anmeldet. Bei Abmeldung werden die Profile lokal gelöscht, laut Group Policy.
Auf die Profile selbst haben wir Berechtigungen für den Benutzer selbst, (Domain)admins und System rekursiv laut GP Einstellungen für Roaming Profiles und Folder Redirection implementiert. Es werden nachträglich keine Berechtigungen geändert bzw. hinzugefügt oder entfernt.
Der DFS Share, wo die Profile gespeichert werden, ist laut Group Policy in den Computereinstellungen in der Liste der Site zu Zonenzuweisungen zugewiesen und mit der OU der RDS Server verknüpft.
- Default Profile für die Benutzer ist laut diversen Best Practices erstellt und konfigiert worden und mit sysprep zurückgesetzt worden.
- Loopback Modus ersetzen in der RDS OU (Benutzerrichtlinien ziehen die Benutzer dann von dieser OU explizit)
- Internet Explorer 11 ist auf den RD Servern installiert
- Intranetseiten wurden in der entsprechenden Computer-GPO als solche ausgewiesen
- Einige Anwendungen werden von einem DFS Share gespeichert und benutzern so zu Verfügung gestellt (DFS Share ist wie gesagt in der Site zu Zonenzuweisungen zugewiesen)
Funktioniert alles, soweit so gut.
Ich komme allerdings bei folgendem Problem nicht weiter:
- Beim ersten Anmelden eines neuen Benutzers, d.h. wenn das Profil noch nicht vorhanden ist/war, wird das Profil angelegt. ok passt.
- Richtlinien werden angewendet, dh Folder Redirection, user Skripts, etc. werden angewendet.
- sobald das Profil geladen ist, erscheint beim "neuen" Benutzer allerdings diverse Sicherheitswarnungen:
Intranetseite liegt nicht im Intranetbereich - Sicherheitsmeldung
- Beim Zugriff auf eine Software, welche im besagten DFS Share liegt erscheinet die Sicherheitswarnung "Datei öffnen - Sicheitswarnung"
Meldet sich dieser Benutzer nun ab (Profil wird lokal auf dem RDS Server gelöscht) und erneut an (Profil wird vom DFS Share auf den zugewiesenen RDS Server geladen), erscheinen diese Meldungen nicht mehr und alles funktioniert einwandfrei...
Es sieht so aus, als ob ein gerade erstelltes Profil die Site zu Zonenzuweisungen und die Intraneteinstellungen der betreffenden GPO's nicht "sieht", obwohl dies Computer- und keine Benutzer GPO's sind...
gpresult und rsop alles schun durchforstet... kein Ergebnis
Ist das jemandem von Euch schon passiert bzw. hat jemand von Euch vielleicht eine Idee?
BTW: ist auch schon mit dem IE9 und dem IE10 passiert, also daran kanns glaube ich nicht liegen
Danke im Voraus und sorry für den ewig langen Text...
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 260067
Url: https://administrator.de/contentid/260067
Ausgedruckt am: 25.11.2024 um 23:11 Uhr
2 Kommentare
Neuester Kommentar
Moin,
Wird die gewünschte Internetseite manuell aufgerufen oder wird diese durch den Autostart geöffnet?
Gruß,
Dani
sobald das Profil geladen ist, erscheint beim "neuen" Benutzer allerdings diverse Sicherheitswarnungen: Intranetseite liegt nicht im Intranetbereich - Sicherheitsmeldung
Hast du gleich im Anschluss bei dem Benutzer kontrolliert, ob die Site im Internet Explorer unter Intranet aufgelistet wird?Wird die gewünschte Internetseite manuell aufgerufen oder wird diese durch den Autostart geöffnet?
Gruß,
Dani
Guten Morgen Dani,
Konnte aufgrund deiner Frage und anschliessenden Tests mit Intranetseiten im Autostart nachvollziehen, dass der Internet Explorer bei servergespeicherten Profilen eine gewisse Zeit braucht, biss er die als Computerrichtlinien eingetragenen Zonenzuweisungen sieht. Gleich nach Anlegen/Laden des Profils erscheint die Sicherheitsmeldungen. Nach ca. 1 Minute (vielleicht auch vorher) erscheinen die Sicherheitsmeldungen des IE beim Aufruf einer Intranetseite nicht mehr.
Was die DFS Share Sicherheit (also das Öffnen von Dateien / Anwendungen, etc.) betrifft, dort erscheint die Sicherheitsmeldung trotzdem, auch nach längerer Wartezeit
Zur Info hier mein Eintrag der Sites zu Zonenzuweisungen: (Computerrichtlinien):
(domänennamen geändert)
domain.local - Wert 1
*.domain.local - Wert 1
file://domain.local - Wert 1
Zusätzlich noch folgende Einstellung (Computerrichtlinien):
Administrative Vorlagen - Windows-Komponenten - Internet Explorer - Internetsystemsteuerung - Sicherheitsseite - Intranetzone
Sicherheitswarnung bei potenziell unsicheren Dateien anzeigen -> aktiviert, Programme und unsichere Dateien starten auf Aktivieren gesetzt
Danke,
Butsch
Konnte aufgrund deiner Frage und anschliessenden Tests mit Intranetseiten im Autostart nachvollziehen, dass der Internet Explorer bei servergespeicherten Profilen eine gewisse Zeit braucht, biss er die als Computerrichtlinien eingetragenen Zonenzuweisungen sieht. Gleich nach Anlegen/Laden des Profils erscheint die Sicherheitsmeldungen. Nach ca. 1 Minute (vielleicht auch vorher) erscheinen die Sicherheitsmeldungen des IE beim Aufruf einer Intranetseite nicht mehr.
Was die DFS Share Sicherheit (also das Öffnen von Dateien / Anwendungen, etc.) betrifft, dort erscheint die Sicherheitsmeldung trotzdem, auch nach längerer Wartezeit
Zur Info hier mein Eintrag der Sites zu Zonenzuweisungen: (Computerrichtlinien):
(domänennamen geändert)
domain.local - Wert 1
*.domain.local - Wert 1
file://domain.local - Wert 1
Zusätzlich noch folgende Einstellung (Computerrichtlinien):
Administrative Vorlagen - Windows-Komponenten - Internet Explorer - Internetsystemsteuerung - Sicherheitsseite - Intranetzone
Sicherheitswarnung bei potenziell unsicheren Dateien anzeigen -> aktiviert, Programme und unsichere Dateien starten auf Aktivieren gesetzt
Danke,
Butsch
