"Abmeldung entfernen" per GPO greift nicht

[bersi23 10]

Hallo,

 

wie der Titel schon sagt, bringt diese GPO Einstellung in unserer Domäne nichts. Der Button "Abmelden" ist nach wie vor da und bei einem Mausklick wird man abgemeldet.

 

Das GPO wird auf eine OU angewendet, die den User beinhaltet, der sich trotzdem abmelden kann. Woran könnte das liegen?

 

Gruß,

bersi23

[NorbertFe 1.799]

Kannst du mal den Standort der Policy verraten, ehe ich hier alles durchsuche. :)

 

Bye

Norbert

[tesso 360]

User Configuration\Administrative Templates\System\STRG+ALT+ENTF (Optionen)\abmeldung entfernen

 

Ist die Policy mit der richtigen OU verknüpft?

[bersi23 10]

Danke fürs Verlinken, tesso. Ja, das ist das einzige GPO in einer frisch aufgesetzten Domäne, das mit einer OU verknüpft ist, die alle Terminaluser-Konten enthält. Alle anderen GPO-Restriktionen werden ordnungsgemäß angewendet, nur diese eine streikt komischerweise.

Kann es sein, dass diese Restriktion unter W2K8R2 gar nicht greifen kann und lediglich die Schaltfläche "User abmelden" im Startmenü älterer Windows-Versionen entfernt?

[testperson 1.528]

Hi,

 

ist mit der OU wo sich der Terminalserver befindet ggfs. eine GPO verknüpft, die im Loopbackverarbeitungsmodus läuft und etwas anderes konfiguriert hat bzw. der Loopbackverarbeitungsmodus auf ersetzen steht?

 

Was sagt denn ein rsop.msc?

 

Zu Terminalservern und GPOs:

 

http://www.gruppenrichtlinien.de/index.html?/howto/terminal_server.htm

http://www.gruppenrichtlinien.de/index.html?/Grundlagen/Loopback_Verarbeitungs_Modus.htm

[bersi23 10]

Hi testperson,

 

den Loopbackverarbeitungsmodus habe ich, zumindest wissentlich, nirgendwo aktiviert. Es stimmt, mit der den Terminalserver beinhaltenden OU ist ein weiteres kleines GPO verknüpft, das lediglich zwei Standardlinks von der Taskleiste entfernt, falls sich ein neuer User anmeldet:

Computerkonfiguration (Aktiviert)

Richtlinien

Windows-Einstellungen

Sicherheitseinstellungen

Dateisystem

%AllUsersProfile%\Microsoft\Windows\Start Menu\Programs\Administrative Tools\Server Manager.lnk

Datei oder Ordner konfigurieren und anschließend: vererbbare Berechtigungen auf alle Unterordner und Dateien übertragenBesitzer

BerechtigungenTyp Name Berechtigung Anwenden auf

Zulassen ERSTELLER-BESITZER Vollzugriff Nur Unterordner und Dateien

Zulassen NT-AUTORITÄT\SYSTEM Vollzugriff Dieser Ordner, Unterordner und Dateien

Zulassen VORDEFINIERT\Administratoren Vollzugriff Dieser Ordner, Unterordner und Dateien

Berechtigungen übergeordneter Objekte, sofern vererbbar, über alle untergeordneten Objekte verbreiten. Deaktiviert

Überwachung

Keine Überwachung angegeben

%AllUsersProfile%\Microsoft\Windows\Start Menu\Programs\Administrative Tools\Windows PowerShell Modules.lnk

Datei oder Ordner konfigurieren und anschließend: vererbbare Berechtigungen auf alle Unterordner und Dateien übertragenBesitzer

BerechtigungenTyp Name Berechtigung Anwenden auf

Zulassen ERSTELLER-BESITZER Vollzugriff Nur Unterordner und Dateien

Zulassen NT-AUTORITÄT\SYSTEM Vollzugriff Dieser Ordner, Unterordner und Dateien

Zulassen VORDEFINIERT\Administratoren Vollzugriff Dieser Ordner, Unterordner und Dateien

Berechtigungen übergeordneter Objekte, sofern vererbbar, über alle untergeordneten Objekte verbreiten. Deaktiviert

Überwachung

Keine Überwachung angegeben

Benutzerkonfiguration (Aktiviert)

Keine Einstellungen definiert

 

rsop.msc kann auf dem Thinclient aufgrund der stark restriktiven Umgebung gar nicht gestartet werden, weil u.a. sämtliche Shells gesperrt sind.

 

Die beiden Links schaue ich mir gleich an, danke dafür!

[Sunny61 773]

Danke fürs Verlinken, tesso. Ja, das ist das einzige GPO in einer frisch aufgesetzten Domäne, das mit einer OU verknüpft ist, die alle Terminaluser-Konten enthält.

 

Die Einstellung betrifft aber IMHO nur die Möglichkeit wenn Du STRG, ALT + ENTF drückst. Mit der Taskleiste und/oder dem Startmenü hat die Einstellung nichts zu tun.

 

Userkonfig > Admin Vorlagen > Startmenü und Taskleiste > Option Abmelden aus Menü Start entfernen trifft es IMHO besser.

[bersi23 10]

Leider ist das Ganze nicht so einfach :(

 

Du hast wohl recht, diese Einstellung "Abmeldung entfernen" im GPO unter STRG, ALT + ENTF betrifft wohl wirklich nur die angezeigten Optionen wenn man den Affengriff macht.

 

Aber, hier ist ein Ausschnitt aus der Beschreibung von "Userkonfig > Admin Vorlagen > Startmenü und Taskleiste > Option Abmelden aus Menü Start":

 

Wenn Sie diese Einstellung aktivieren, wird im Menü "Start" der Eintrag "<Benutzername> abmelden" nicht angezeigt. Gleichzeitig wird die Option "Abmeldung anzeigen" aus den Startmenüoptionen entfernt. So wird verhindert, dass Benutzer den Eintrag "<Benutzername> abmelden" im Menü "Start" wiederherstellen.

 

Ich glaube, damit ist nur der Startmenüeintrag "<Benutzername> abmelden" z.B. unter Windows XP gemeint. So wie es in der Beschreibung steht. Allem Anschein nach wird der neue Button im Startmenü von Windows 7/2008 dadurch gar nicht beeinflusst.

[OliverHu 19]

Moin!

 

Ich glaube, damit ist nur der Startmenüeintrag "<Benutzername> abmelden" z.B. unter Windows XP gemeint. So wie es in der Beschreibung steht. Allem Anschein nach wird der neue Button im Startmenü von Windows 7/2008 dadurch gar nicht beeinflusst.

 

Die Mindestanforderung ist Windows 2000, es sollte also auf Windows 7/2008R2 funktionieren.

Du solltest dich mit dem Loopbackverarbeitungsmodus bei Einsatz eines RDS-Hosts auseinandersetzen!

[tesso 360]

Was du suchst ist eher folgende GPO

User Configuration\Administrative Templates\startmenü und Taskleiste\Option "abmelden" aus dem menü "start" entfernen

[bersi23 10]

Moin!

Du solltest dich mit dem Loopbackverarbeitungsmodus bei Einsatz eines RDS-Hosts auseinandersetzen!

 

Moin,

 

ich bin schon dabei :)

[bersi23 10]

Was du suchst ist eher folgende GPO

User Configuration\Administrative Templates\startmenü und Taskleiste\Option "abmelden" aus dem menü "start" entfernen

 

ja, das stimmt, allerdings greift auch diese Einstellung nicht... Hier hab ich es etwas genauer beschrieben:

http://www.mcseboard.de/active-directory-forum-79/abmeldung-entfernen-per-gpo-greift-187819.html#post1159408

[tesso 360]

Sorry, deinen letzten Post verstehe ich nicht.

[Sunny61 773]

Leider ist das Ganze nicht so einfach :(

 

Man kann es auch sich selbst schwer machen.

 

Ich glaube, damit ist nur der Startmenüeintrag "<Benutzername> abmelden" z.B. unter Windows XP gemeint. So wie es in der Beschreibung steht. Allem Anschein nach wird der neue Button im Startmenü von Windows 7/2008 dadurch gar nicht beeinflusst.

 

Glauben tut der Pfarrer in der Kirche, schreibt Yusuf immer. Hast Du es denn auch ausprobiert? Wenn es nicht funktioniert, überprüfe mit RSOP.MSC als betroffener angemeldeter Benutzer am TS ob die Einstellung überhaupt ankommt. Alternativ ein gpresult /v auf der Commandline. Gibt es Fehlermeldungen im Eventlog auf dem TS? Werden denn andere Einstellungen übernommen? Hast Du die Konfiguration gem. diesem HowTo eingestellt? Einsatz von Gruppenrichtlinien auf einem Terminal Server Wenn nein, weshalb nicht? Am besten wird sein, Du erstellst dir eine saubere Testumgebung, darin kannst Du dann jeden einzelnen Schritt prüfen.

[bersi23 10]

Danke für die vielen nützlichen Anhaltspunkte, ich melde mich später!

 

/EDIT

Der RDS Host liegt in einer eigenen OU und wird folglich nur von der Default Domain Policy beeinflusst, die unverändert ist. Das mit diesem Container verlinkte GPO "RDS Host" entfernt lediglich zwei Links von der Taskleiste, der Rest ist nicht konfiguriert. Die TS User liegen auch alle in einer eigenen OU, die mit dem eigentlichen GPO "RDS User" verlinkt ist, das sämtliche Konfiguration im Benutzerabschnitt setzt. Der Computerabschnitt ist leer.

Vielleicht hilft das bei der Problemanalyse.

bearbeitet 1. August 2012 von bersi23