cebo

wenn alle Stricke reissen, kann mannicht einfach den exploer und Outlook express mit ner lokal installierten Firewall blockieren ?

Wie geht denn das ? wie gesagt, grundsätzlich ist die Oberfläche ok wie sie ist. Es müsste nur Outlook express und IE weg. Dem einen oder anderen User kann ich ja dann die Verknüpfung auf den Desktop legen. Bei diesen Usern ist das nach oben hangeln zwar nicht wirklich gefährlich aber wenn anders ginge, würde ich es tun.

Keine Ahnung, steht halt so in der ARtikel ID 278295 von MS. Ich weiss ja noch nicht mals was MSI Daten sind. Ich möchte nicht allen Mitarbeitern die gleichen Daten an die Hand geben. Es gibt hier auch externe, die geht das nix an. Die kommen dann über TSWeb. Die Verrknüpfungen im Desktopordner der Mitarbeiter am TS sind auch dauerhaft oder? Ich habe in den Sicherheitseinstellungen der Verküpfung jedem Vollzugriff gegeben und jetzt klappts. Kann i ch es irgendwie verhindern, dass der User sich durch die Verknüpfung in der Dateistruktur des verbundenen Servers nach oben hangelt ? alles klar. Das beziehst du sicherlich auf den Exploer usw. Was würdest du mir empfehlen zu tun ? THX

Ein kleineres und ein größeres Problem bleibt jetzt fürs erste noch. 1.Bei allen Usern des WTS ist die Schnellstartleiste geöffnet. Dort können sie den Internetexploer und Outlook Express anwählen. Der Exploer ist auch noch unter Start/Programme da. Kann man das Nutzen dieser Programmen irgendwie unterbinden ? 2. Wenn ich als Admin am TS über C:\Dokumente und Einstellungen\user\Desktop einem User eine Verknüpfung eines an einem anderen Server freigegebenen Ordners auf den Desktop lege, kann er sie nicht öffnen. Gibts dafür ne lösung ? THX

Ja, in der Anweisung steht abr drin, dass admins selbst bei expliziter Anweisung "Verweigern" keine MSI Pakete installieren können.

Kann man eigentlich auch 2 oder mehr OUs für einen TS erstellen, diese mit unterschiedlichen Richtlinien verknüpfen und verschiedene User zuweisen ?

alles klar, dann steht in der Microsoft Anweisung noch drin, dass wenn man die Systemsteuerung deaktiviert auch Admins keine MSI Pakete installieren könnten. Wasn das ?

wenn ichs jetzt aber doch für User einschränken möchte, welche option aus windows installer sollte ich dann aktivieren? Grüsse Cebo

Ich hab das Übel jetzt dingfest gemacht, obwohls mir unlogisch erscheint. Ich hatte das gleiche Problem gerade wieder. d.h. die Admins konnten auf dem TS kein Programm installieren. In der Gruppenrichtlinie gibt es unter Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Windows Installer die Einstellung Windows Installer deaktivieren, immer. Das "immer" ist hier offensichtlich wörtlich zu nehmen. Wenn ich das aktiviere, dann können auch die Admins nicht mehr installieren. Alle anderen in der Richtlinie gesetzten Einschränkungen scheinen für Admins nicht zu gelten. Habe die o.g. Einstellung wieder deaktiviert, den TS neu gestartet und konnte als admin wieder installieren. Wie kann das sein ?

soweit, ich aktiviere jetzt mal alle gewünschten Optionen in der neuen Richtlinie. Muss ich denn die Sicherheitsgruppe nicht anlegen ?

die neuen Gruppenrichtlinien sind aktiv und ich kann auch adobe installieren

habs so gemacht. es gibt aber noch keine Gruppe in dieser OU aber authentifizierte Benutzer steht drin

alles klar

zu 1 yes zu2 yes zu3 soll ich hier lesen schreiben, erstellen und löschen die Häkchen weg nehmen ? zu 4 habe ich bisher nicht zu 5 yes zu 6 Meinst Du die bisher eingestellten Richtlinien in der erstellten OU? Was ich da eingestellt habe, kannst du hier sehen So sperren Sie eine Windows 2000-Terminalserversitzung

unter lokale anmeldung verweigern steht im WTS Computername\ASPnet bedseitig gehakt

Habe gerade mal in die lokalen sicherheitsrichtlinien des TS selber geschaut. Es gibt einstellung der lokalen Richtlinie und Einstellung der effektiven Richtlinie. Die Domänenadministratoren sind effektiv gehagt. lokal nicht. Der lokale admin, also Computername/administrator ist nicht aufgeführt. administratoren ist lokal und effektiv gehakt

unter AD Benutzer und Computer meine Domäne Das Gruppenrichtlinienobjekt heisst Default Domain Policy

administratoren habe ich der lokalen Anmeldung hinzugefügt . der lokale Admin lässt sich trotzdem nicht anmelden. Fehlermeldung: die lokale Richtlinie erlaubt es Ihnen nicht sich interaktiv anzumelden

Domänen Admins lesen, schreiben erstellen löschen ..... Gruppenrichtlinie übernehmen verweigert Organisationsadmins und System wie oben ohne übernehmen verweigert TS lesen, übernehmen Sicherheitsgruppe lesen übernehmen

die Installation von Adobe klappt immer noch nicht

ok, habs dazugefügt. muss da auch authentifizierter Benutzer rein ? Die Sicherheitsgruppe des TS muss da garnicht rein oder ?

Hi, seitdem ich die Einstellungen in lokale Anmeldung in der Default Domain Policy gemacht habe, konnte der lokale admin sich am WTS nicht mehr anmelden. War bestimmt nicht ok oder ? ich habe da auch Einträge gelöscht. Was müsste denn drin stehen Grüsse Cebo

Hallo, hatte gerade per Gruppenrichtlinie und Loopback den TS gesperrt. Obwohl ich mich als domänenadmin direkt am server angemeldet habe, ließ er mich den Adobe Reader nicht installieren. Als Fehlermeldung erschien, dass Richtlinien erlassen wurden, um diese installation zu verhindern. Eigentlich waren Admins doch aus den Richtlinien ausgeschlossen ? Grüsse Cebo wie bekomme ich es eigentlich wieder hin, dass der Administrator/WTS sich an diesem anmelden kann ?

Kann ich auch den Internet Exploer per Loopback deaktivieren ? Ich hab da auch noch ein par Leichen unter Start/Programme/Zubehör. Da steht noch der Windows Exploer, Editor, Eingabeaufforderung, imaging... kann man das noch irgendwie rund machen ? THX

Das klappt jetzt auch .... THX all :D