DDESER

Ja , das ist korrekt, es wird ein zwischengespeichertes Profil angelegt. Dieses Profil kannst Du nach der Abmeldung löschen lassen .

Computerkonfiguration - Administrative Einstellungen - System - Benutzerprofile - "Zwischengespeicherte Kopien von servergespeicherten Profilen löschen"

Cool - Jetzt ist das so wie ich das haben muss :)

Danke vielmal - gehe jetzt schlafen

Das Profil wird nicht einfach kopiert , sondern mit dem entsprechenden Tool kopiert, womit man auch der Gruppe Jeder Zugriff auf das Profil geben kann (Rechtsklick Arbeitsplatz - Eigenschaften - Erweitert - Benutzerprofile/Einstellungen). Danach wird im Server-Profilordner NTUSER.DAT in NTUSER.MAN umbenannt. Das Profil wird in der Registerkarte Terminaldiensteprofil zugewiesen ...

Ok jetzt hab ich es kapiert.. funktioniert auch soweit.. Aber sobald der User Angemeldet ist, wird unter Documents and Settings ein neues Userprofil anhand der Basis des Userprofiles das ich unter Terminaldiensteprofil angegeben habe.. Ist das korrekt so??

ok ich habe einen Ordner erstellt z.B. Terminal_Profiles - auf diesen Ordner habe ich dann die Freigabe und NTFS Berechtigungen gesetzt. Dann habe ich das Profil aus dem Ordner "Document and Setting" in den Ordner Terminal_Profiles verschoben.

Anschliesend habe ich in den Usereigenschaften unter Profil eben den Pfad zum Userprofil angegeben. Das Gleiche habe ich auch beim zweiten User gemacht.

Wenn ich mich nun anmelde, erscheint beim ersten User der richtige Desktop und beim zweiten User eben nicht.

Was ich noch festgestellt habe, für beide User wird unter "Documents and Settings" wieder ein neuer Profilordner angelegt.. mhh

1. Die Benutzer müssen nur Lesen können, Freigabe wie NTFS, da man aber in der Freigabe möglichst keine einschränkenden Berechtigungen vergibt, Freigabe für Authentifizierte Benutzer auf Vollzugriff, NTFS für die entsprechende Gruppe auf Lesen und die Administratoren Vollzugriff (bezieht sich auf Mandatory Profiles NTUSER.MAN)

2. Ja, kannst Du, wenn es ein Mandatory Profile ist

Nun ja die Änderungen habe ich durchgeführt.. Dann einen neuen User erstellt, diesen in die Selbe Gruppe gepackt und dann habe ich beide User via RDP angemeldet.. Resultat: Bei der Anmeldung des neuen Users wird immer wieder ein neues Profil erstellt, obgleich der gleiche Profil Pfad angegeben ist wie beim ersten User.

Wo liegt mein Fehler??

ich habe mir die sache etwas ausführlicher durchgelesen aber zwei Dinge versteh ich nicht ganz

1. Wie muss ich exakt die Freigabeberechtigungen für den SharedFolder setzen? Was muss in der Freigabeberechtigung stehen und was in der NTFS-Berechtiung?

2. Kann ich denn jetzt für jeden User das Selbe Profil verwenden und können die das dann gleichzeitig Nutzen?

Du speicherst das Profil in einer Freigabe und weist diesen Pfad in den Benutzereinstellungen zu ...

\\<Server>\<Ordner der Profilfreigabe>

hmm. und wenn nun mehres User den selben Profilpfad haben, gibt es dann keine Probleme wenn diese dann zur gleichen Zeit angemeldet sind? Ausserdem habe ich gesehen, kann man in der GPO ein Standardprofil definieren, das jeder User erhält, wenn auf Ihn diese Richtlinie angewendet wird. Ist das korrekt?

Benutzerkonfiguration - Administrative Vorlagen - Windows-Komponenten - Windows-Explorer - Standardkontextmenü aus Windows-Explorer entfernen

Diese Richtlinie alleine wird Deine gesamten Anforderungen nicht erfüllen , vielleicht helfen Dir Mandatory Profiles bzw. das Anlegen der Verknüpfungen im Alluser Profil , musst Du mal ein bisschen "spielen" ...

Doch genau die war es.. jetzt ist kein Rechtsklick mehr möglich :)

Jetzt habe ich noch ein Problem.. ich möchte nun dass jeder externe User genau das von mir erstellte Profil erhält.. Also zum besseren Verständnis das Profil vom User A soll künftig die Vorlage für User B, C, D, E, usw. sein. Wie ich das Profil vor Änderungen schütze weiß ich.. ntuser.dat in ntuser.man umbenennen.

Windows Server 2003 Standard R2 (englisch)

Wenn der user sich via RDP mit dem Server verbindet, hat er die Möglichkeit durch einen Rechtsklick im CONTEXTMENÜ eine neue Datei oder ein Dokument zu erstellen.

Öffnet man dann dieses Dokument und geht dann bspw. im MS Word auf Datei - öffnen, dann hat man die Möglichkeit Dokumente auf dem Server zu öffnen die einem nichts angehen.

Ziel soll es sein, dass ein User der sich via RDP anmeldet eben diese Möglichkeit nicht besitzt - er soll also keinen Rechtsklick ausführen können, kein vorgegebenes Desktop-Icon löschen bzw. keine Veränderungen am Desktop vornehmen können.

Hat jemand eine gezielte Antwort darauf?? Bitte nicht - Da musst Du Dich mit den Gruppenrichtlinen befassen.. das habe ich bereits getan jedoch leider ohne Erfolg..

Weil diese Einstellungen für Benutzer gelten, durch die Loopbackverarbeitung für Benutzer, die sich am TS anmelden, obwohl sie sich gar nicht in der OU befinden. Der DC muss in der Sicherheitsfilterung in dem GPO in der Domain Controllers OU vorhanden sein, damit die Loopbackverarbeitung aktiviert werden kann und die Benutzereinstellungen in diesem GPO überhaupt wirken. Normalerweise wirken die Einstellungen in der Benutzerkonfiguration nur, wenn sich auch solche Objekte in der Reichweite des GPOs befinden (in der Domain Controllers OU ist aber kein solches Objekt, sondern nur das Computerkonto des DCs) und daher die Loopbackverarbeitung. Durch die Sicherheitsfilterung lege ich fest, auf welche Benutzer (wenn sie denn betroffen sind) dieses GPO bzw. dessen Einstellungen anwenden (nur den Benutzerteil) ...

Die Einschränkung für die Windows-Sicherheit gilt auch, wenn der Admin sich interaktiv anmeldet ...

Ich werde bezüglich des Rechtsklicks ein neues Thema starten.. danke erst mal

Deaktiviere mal den Zugriff auf die Systemsteuerung...

Ansonsten kann ich Dir nur empfehlen, dich im mit den Richtlinien und deren Auswirkungen mal etwas genauer zu beschäftigen. Es gibt ausführliche Erläuterungen in den Eigenschaften der jeweiligen Richtlinien.

Ich habe nun jede einzelne Richtline durch und auch den Zugriff auf die Systemsteuerung deaktiviert.. kein Weg es gibt immer noch den Rechtsklick..

Dann hast Du noch nicht alle restriktiven Einstellungen, die für den Desktop möglich sind aktiviert. Du kannst das Kontextmenü komplett deaktivieren bzw. es so einstellen, dass die Nutzer mit einer Fehlermeldung bombardiert werden. Die Server Laufwerke kannst Du mit Hidecalc über ein ADM File ausblenden...

Ok, kannst Du mir evtl. sagen welche Einstellungen das genau sind und wo ich diese exakt finde?? Bsp. Unser Configuration - Administrative Vorlagen - ....

Weil diese Einstellungen für Benutzer gelten, durch die Loopbackverarbeitung für Benutzer, die sich am TS anmelden, obwohl sie sich gar nicht in der OU befinden. Der DC muss in der Sicherheitsfilterung in dem GPO in der Domain Controllers OU vorhanden sein, damit die Loopbackverarbeitung aktiviert werden kann und die Benutzereinstellungen in diesem GPO überhaupt wirken. Normalerweise wirken die Einstellungen in der Benutzerkonfiguration nur, wenn sich auch solche Objekte in der Reichweite des GPOs befinden (in der Domain Controllers OU ist aber kein solches Objekt, sondern nur das Computerkonto des DCs) und daher die Loopbackverarbeitung. Durch die Sicherheitsfilterung lege ich fest, auf welche Benutzer (wenn sie denn betroffen sind) dieses GPO bzw. dessen Einstellungen anwenden (nur den Benutzerteil) ...

Die Einschränkung für die Windows-Sicherheit gilt auch, wenn der Admin sich interaktiv anmeldet ...

Im Klartext, ich kann machen was ich will.. Sobald ich an der Computerkonfiguration etwas ändere, gilt das für alle User die sich am TS via RDP anmelden. Anders wäre es, wenn sich die internen User normal am Server anmelden und nicht via RDP. Echt ziemlich ungünstig diese Geschichte..

Nur mal so als Gedanke, ohne Gewähr, dass es funktioniert.

 

Theoretisch kannst Du einen zweiten "RPD Listener" in der Terminaldienstekonfiguration einrichten und diesen mit den gewünschten Eigenschaften versehen (bspw. wird nur ein Programm für den neuen Listener bei Verbindungsaufbau gestartet). Damit würdest Du den Desktop umgehen und den externen Nutzern nur die Anwendung bereitstellen. GPOs müsstest Du dann nicht so restirktiv einstellen.

Die Externen Nutzer verbinden sich dann auf den RDP Listener 2 und interne Nutzer auf den ersten. Als voraussetzung sollten allerdings zwei NICs im Server stecken.

Mein kurzer Test hat allerdings auch mit zwei NICs nicht geklappt. Angeblich, weil ich keine eindeutige Netzwerkverbindung angegeben habe... Hab mich allerdings auch nicht mehr hinter geklemmt...

Ich habe das gerade getestet.. naja das funktioniert schon.. jetzt ist es so, dass die externen User sich eben nur noch über die externe Netzwerkkarte anmelden können und nicht mehr über das lokale LAN. Jedoch bin ich im Grunde wieder da wo ich schon war - ein Rechtsklick auf den Desktop ist immer noch möglich. Wenn ich dann zum bsp. auf Neu klicke und dann ein Textdokument erstelle, dieses dann öffne und dann unter DATEI auf durchsuchen klicke, dann kann ich die gesamte Festplatte C:\ durchforsten und komme an Dateien ran, die den externen User nichts angehen..

Anders wird das nicht zu regeln sein (ich wüsste zumindest nicht wie) , da es eine Computereinstellung ist, die sich auf den TS bezieht (und demzufolge auf alle dort angemeldeten Benutzer). Mit der Siherheitsfilterung kann man auch nicht arbeiten. Da der Administrator nicht eingeschränkt wird, kann er die Funktionen der Windows-Sicherheit auch über Strg-Alt-Entf erreichen

Wenn ich das also richtig sehe - sobald ich Einschränkungen in den Computereinstellungen vornehme, gelten diese für alle User die sich am Terminal via RDP anmelden. Der Grund liegt hiefür wars***einlich darin, dass in den Sicherheitseinstellungen das Computerkonto des Domänencontrollers hinterlegt ist und dieser die Policy übernimmt.

Jetzt frage ich mich, warum kann ich dann in den verschiedenen policies also externe user und interne user unterschiedliche Einstellungen in der Computerkonfiguration vornehmen?

Hmm. ich werde da ein wenig damit herum spielen :)

Zunächst vielen Dank für Deine ausführlich Anleitung - Ich habe nun die entsprechenden Schritte durchgeführt und komme nun zu folgendem Ergebnis.

Das Symbol "Windows Sicherheit" ist zwar jetzt nicht mehr vorhanden aber dafür eben bei allen Usern eben auch beim Administrator - das ist nicht ganz optimal.

Beim Administrator soll natürlich das Symbol vorhanden sein.

Dann habe ich immer noch das Problem, dass ich einen Rechtsklick auf dem Desktop ausführen kann, den eben ausschließlich der externe User nicht ausführen darf.

Ansonsten funktionieren die restriktiven Einschränkungen.

Das kannst Du machen, dann bekommst Du mal eine Schritt für Schritt Anleitung, wie man das grundsätzlich macht (mal davon abgesehen, dass man Terminaldienste nicht auf einem DC aktiviert ;) )

Hallo da bin ich wieder.. Nun noch einmal etwas ausführlicher..

1. Ich habe einen Server auf dem Windows 2003 Standard (englisch) R2 installiert ist.

Im Grunde befinden sich im internen LAN 2 Computer die diesen Server als Terminal Server nutzen. Derzeit ist dieser Server als DC konfiguriert und es werden eben die Terminaldienste genutzt. Die Clients melden sich intern via RDP am Server an. Alle nötige Software die zum arbeiten benötigt wird ist bereits installiert und konfiguriert.

2. Es gibt auf dem Server eine Aplikation die für den externen Zugriff gedacht ist. Die User die sich extern am Server anmelden nutzen ebenfalls RDP über Port 3389 und dyndns.

3. Die externen User sollen lediglich 2 Symbole erhalten - zum einen Log Off und zum anderen eben dieses Programm. Alle anderen Windows Funktionen inkl. Drucken und Rechtsklick sollen deaktiviert sein. Es muss absolut sichergestellt sein, dass keiner von den externen Usern schaden an der Konfiguration anrichtet bzw. Zugriff auf Daten des Servers hat. - Nur das Programm bzw. zwei Programme sind es, dürfen geöffnet werden.

Wie gehe ich das Problem nun an? Und was muss ich nun Schritt für Schritt am Server rückgängig machen ohne dass ich die bereits eingerichteten User Profile verliere oder wieder von vorne anfangen muss??

Ich hab das auch probiert, dieser Punkt lässt sich mit der oben genannten Richtlinie entfernen , auch ohne die Punkte unter Einstellungen oder Einstellungen komplett auszublenden

Hallo Jungs hier nochmal Daniel, bevor ich los muss.. ich verfolge mit großem Interesse eure Meldungen und bin sehr dankbar für eure Hilfe :) Vielleicht sollte ich euch nochmals das Gesamtkonzept so ausführlich wie möglich schildern und da ich davon überzeugt bin einiges Falsch gemacht zu haben werde ich zuerst einmal den Urzutand wieder herstellen damit eine vernünftige Ausgangsbasis geschaffen ist. Dann werde ich gerne mit eurer Hilfe zu dem gewünschten Ergebnis kommen.

Bin ab 21.30 Uhr wieder an der Kiste - danke

@Wolke2k4

Hab´s auch erst nicht gefunden, es erscheint, wenn nicht das klassische Startmenü aktiv ist , wenn man via RDP verbunden ist ...

@DDESER

Führe, wenn Du am TS angemeldet bist, RSOP.MSC aus ...

Hallo nochmal.. wollte mich nur kurz abmelden.. weil ich nochmal los muss.. bin aber ab 21.30 Uhr wieder an der Kiste.. dann melde ich mich wieder..

Dann musst Du Deine Richtlinien so konfigurieren, dass sie nur wirken, wenn die User sich am Terminalserver anmelden und gezielt über die Sicherheitsfilterung verhindern, dass gewisse Benutzer eingeschränkt werden. Wenn Du in der Domain Controllers OU ein GPO platzierst, in dem die Loopbackverarbeitung auf Ersetzen steht und weiterhin in diesem GPO die Benutzerkonfiguration vornimmst, dann werden die User ausschliesslich eingeschränkt, wenn sie sich am DC/TS anmelden. Durch die Sicherheitsfilterung dieses GPOs erreichst Du , dass z.B. der Admin nicht eingeschränkt wird (was passieren würde, wenn er sich lokal oder via RDP am DC anmeldet). Dazu stellst Du die Berechtigung "Gruppenrichtlinie übernehmen" für die Domänenadmins beispielsweise auf verweigern ...

Sorry ich habe damit zu wenig Erfahrung wenn Du Lust hast können wir das gerne einmal Schritt für Schritt durchgehen. Mein aktuelles Problem ist im Augenblick der Rechtsklick und das Symbol Windows Sicherheit.

Was muss ich nun genau machen um heraus zu finden, warum das Symbol Windows Sicherheit immer noch vorhanden ist obwohl ich die Richtlinie entsprechend deiner Anweisung konfiguriert habe??

Log off = Abmelden, jeweils unterschiedlich je nachdem, welche Sprachversion man installiert hat....

 

Den ganzen Krempel im Startmenü kannst Du über die GPO "Administrative Vorlagen" --> "Startmenü und Taskleiste" ausblenden. Auch den Rechsklick bzw. das Kontextmenü kannst Du über "Administrative Vorlagen" verhindern. Schau Dir die Einstellungen mal Stück für Stück an...

 

Übrigens muss ein TS kein Domain Controller sein, um Gruppenrichtlinien auf ihm anzuwenden. Die Konstellation DC=TS ist eher ungünstig und oftmals mit vielen Problemen verbunden...

Guten morgen :o - nun auf ein neues das mit dem Domänencontroller lässt sich leider nicht umgehen, wenn die internen die User auch als Terminal-User arbeiten, da die restriktiven Gruppenrichtlinien sich auf alle Terminal-User auswirken würden..

Das mit dem rechtsklick kann ich einfach nicht finden und das Symbol "Windows Sicherheit" habe ich ebenfalls noch.. werde mir das aber am Nachmittag nochmal vornehmen, wenn ich wieder vor der Kiste bin..

Gruß

GPUPDATE durchgeführt ? Ab- und wieder angemeldet ? Benutzt Du den Loopbackverarbeitungsmodus ? Dieser Eintrag blendet die Windows-Sicherheit aus. Für den Punkt Abmelden gibt es eine Richtlinie in der Benutzerkonfiguration unter "Startmenü und Taskleiste" ...

GPUPDATE habe ich durchgeführt - Ab und wieder angemeldet ist geschehen - Falls ich den Loopbackverarbeitungsmodus richtig aktiviert habe, ja dann verwende ich diesen..

was ich allerdings mit dem Punkt Abmelden anstellen soll weiss ich jetzt nicht ganz.. - was meinst Du damit??

Wo hat er das Symbol "Windows-Sicherheit" ? Du arbeitest mit dem einfachen und nicht mit dem klassischen Startmenü ?

Computerkonfiguration - Administrative Vorlagen - System - Windows-Komponenten - Terminaldienste - "Eintrag Windows-Sicherheit aus dem Startmenü entfernen"

Ich verbinde mich via RDP Client - wenn ich auf Start klicke dann sehe ich nur noch das Symbol "Log Off" und das Symbol "Windows Security"

Ich möchte aber dass der user eben dieses Symbol nicht hat sondern eben nur noch das Symbol "Log Off".. Die Änderungen habe ich durchgeführt aber leider habe ich das Symbol immer noch.. was nun?? Ach da habe ich ja noch eine Frage an Dich - Wie kann ich es verhindern, dass der User auf dem Desktop einen rechtsklick ausführen und somit ein Contextmenü erhält..

Gruß DDeser

Hallo kann mir hier jemand helfen?? Ich habe einen Windows 2003 R2 Server der als Terminalserver fungiert. Dieser Server wurde zugleich als Domänencontroller konfiguriert um in den Genuss von Group Policies zu gelangen. Nun habe ich noch ein lästiges Problem.. Wenn der User sich anmeldet, hat er als einziges noch das Symbol "Windows Sicherheit" dieses möchte ich gerne entfernen aber in den Policies konnte ich dieses einfach nicht finden.

HILFE, HILFE, HILFE :-)

Hallo zusammen, wenn ich fritzfax dazu veranlasse alle eingehenden faxe als e-mail weiterzuleiten, dann kommt von outlook die meldung: ein anderes programm versucht in ihrem namen eine mail zu versenden... zugriff gestallte.. bla bla bla

nun das nervt.. gibt es irgend eine möglichkeit das abzustellen??

Hallo zusammen, ich bin auf der Suche nach einem Tool oder einer Möglichkeit um automatisch ein Laufwerk nach Dateien mit der Endung *.tmp zu durchsuchen und diese endgültig automatisch löschen zu lassen. Dieses möchte ich über einen Task in regelmäßigen Zeitabständen durführen lassen und zwar so, dass kein weiterer Benutzereingriff nötig ist. Hat irgend jemand hier eine Idee??