Christoph_A4

Gude,

folgendes Problem:

Ziel ist es, den Zugriff über den Internetexplorer auf eine Seite zu beschränken. Das funktioniert wiefolgt schonmal wunderbar:

Extras --> Internetoptionen --> Inhalte --> Inhaltsratgeber

Dort kann unter dem Reiter "gebilligte Sites" die gewünschte Site eingetragen werden. Daraufhin wird man aufgefordert ein Kennwort zu vergeben, welches nötig ist, um auf andere Sites zuzugreifen. Anschließend muss unter Extras --> Internetoptionen --> Inhalte lediglich der "Aktivieren"-Button gesetzt werden und schon fragt der Internet Explorer beim Zugriff auf eine nicht autorisierte Site nach einem Kennwort. Wunderbar!

So, Problem an der Sache ist, dass ich diese Einstellung über eine GPO regeln will. Die ensprechende Konfiguration kann dort vorgenommen werden unter Benutzerkonfiguration --> Windows Einstellung --> Internet Explorer Wartung --> Sicherheit --> Sicherheitszonen und Inhaltsfilter --> Inhaltsfilter.

Leider greifen die Einstellungen dort nicht. Mir fällt auch auf, dass der vorhin angesprochene "Aktivieren"-Button in der GPO fehlt, welcher unter Extras --> Internetoptionen --> Inhalte jedoch verfügbar ist und zumindest dort auch gesetzt werden muss. Ich vermute einfach, dass ich die Einstellung in der GPO an der richtigen Stelle vornehme, ich aber an einer anderen Stelle der GPO diese auch explizit aktivieren muss. Weiß jemand an welche Stelle??

Gruß

Christoph

Lass mal den ProcessMonitor mitlaufen, ich vermute es fehlen NTFS-Berechtigungen in der Registry.

Kraftzwerg: Habe dasselbe Problem.

Sunny61: Lok. Adminrechte sind doch vorhanden..

XP Service Pack 2 - inkl. aller Updates

Das ist definitiv ein Widerspruch in sich. ;)

Wie Lukas, SP3 wäre mittlerweile empfehlenswert.

Hast du die Möglichkeit das Backup temporär mal auf ein anderes Ziel-Medium zu erstellen?

Schieb doch einfach mal einen Testuser in die Gruppe "Remotedesktopbenutzer" und teste es mit diesem.

Hmm, ich weiß nur mit Sicherheit, dass es zu Problemem kommt, wenn du bei Clients ein Backup zurückspielst, welches älter als 30 Tage ist. Das Computerkonto an sich beinhaltet ja ebenfalls ein Kennwort, welches sich alle besagten 30 Tage aktualisiert.

Wie das beim AD-Controller aussieht und was man dahingehend noch beachten muss, kann ich dir nicht wirklich sagen.

Da es auf dem Server gar keine Berechtigungstruktur gibt sollte das nicht so schmerzen. Die Anwender melden sich alle als Admin an und arbeiten.

Ja gut, aber soll das in Zukunft auch so bleiben? Haben die Benutzer keine Domänenkonten, mit denen sie sich zukünftig anmelden sollen?

Richtig. Profile werden neu erstellt und die komplette Berechtigungsstruktur "darfst" du dann halt neu erstellen.

Das klingt nach "Endlich mal ein Fall für die Überwachung der Objektzugriffsversuche per GPO" ;)

90 Tage werden die Lizenzen meines Wissens nach blockiert. Du kannst also den temporären PC UND den eigentlichen PC mit der Zugriffslizenz ausstatten. Der temporäre PC verliert seine dann eben nach den angesprochenen 90 Tagen.

Aus dem Herzen von Europa, Frankfurter Bubb :)

Und, haste es mal probiert?

Was sagt das Hardware-Monitoring?

--> ...und was das eventlog?

Also die Authentifizierung hast du via "domain\user" bzw. "user@domain" vorgenommen? Nur mal ganz **** nachgefragt...

Gude,

Die Reihenfolge beim TS ist richtig.

Allerdings würde ich es mir gut überlegen den DC gleichzeitig als Fileserver zu nutzen.

Kunden überzeugen, dass defragmentieren mindestens genauso effektiv ist, wie die Erde durch Feinstaubplaketten zu retten.

Ansonsten bin ich auf diese eher aufwendige Lösung gestoßen:

http://www.winhelpline.info/forum/tipps-und-tricks-windows-2000/76304-defrag-ohne-administratorrechte-ausfuehren.html

Spontan fällt mir da gerad das Einbinden eines Bereitstellungspunktes ein. Mit der Datenträgerverwaltung kannst du dem Laufwerk einen Bereitstellungspunkt-Ordnerpfad (statt eines Laufwerkbuchstabens) zuweisen. Wobei man sich wirklich sehr gut überlegen sollte das einzusetzen, falls das bei dir überhaupt ansatzweise in Frage kommt.

Klingt irgendwie komisch.

 

Gruß,

Mattes

Klingt komisch, ist aber so. ;)

Sollte der Drucker nicht auch auf dem TS installiert sein, bedient sich die TS-Session am alphabetisch ersten Drucker.

Gude,

naja, die Wahnsinnserfahrungen habe ich net, aber Grundlagen würde ich mir schon zusprechen. :)

Richtig, ich hätte es mal mit dem kompletten Pfad versucht. Gib mal Bescheid über das Eregbnis.

Bei Technet wird es detailliert erklärt, ist keine große Sache. Ich hoffe damit ist dir geholfen:

Bereitstellen von Zertifikaten mithilfe einer Gruppenrichtlinie

In erster Linie wird der Standarddrucker des Clients auch als Standarddrucker auf dem TS deklariert, insofern wird diese Einstellung immer wieder vom Client übermittelt.

Dein Vorhaben hört sich doch vielversprechend an. Ich denke allerdings, dass du den kompletten Pfad eintragen musst (C:\Dokumente und Einstellungen\%username%\Eigene Dateien; C:\Dokumente und Einstellungen\%username%\Eigene Dateien\Eigene Bilder).

Gude,

leider konnte ich auf die Schnelle net herausbekommen, an welcher Stelle das in den GPOs gesteuert wird, jedoch kenne ich den Speicherort in der Registry, vielleicht hilft dir das weiter...

Speicherort der Richtlinienwerte für Vertrauenswürdige Sites:

Software\Policies\Microsoft\Windows

\CurrentVersion\Internet Settings\Zones\2

Ist der funktionierende User auf die gleiche Weise am TS berechtigt?

Bei einem Windows-Client hätte ich mal vorgeschlagen mal den Client-Cache zu löschen (C:\Dokumente und Einstellungen\"Benutzername"\Lokale Einstellungen\Anwendungsdaten\Microsoft\Terminal Server Client). Wie das bei Linux ausseiht weiß ich leider net.

Hast du die Gruppenzugehörigkeit der einzelnen Benutzerkonten, respektive die allgemeinen Freigabe- und NTFS-Berechtigungen auf den Zielressourcen überprüft? Heisst es "der Netzwerkpfad wurde nicht gefunden" oder "Zugriff verweigert..."?

Ist eminent wichtig, dass du uns aufklärst und ausschließen kannst, dass es kein rechtetechnisches Problem ist.

Klingt doch eindeutig nach einem Fall für die Ordnerumleitung via GPO und des allseits unbeliebten Offline-Dateien-Mechanismus. Oder spricht etwas dagegen?