-
Gesamte Inhalte
230 -
Registriert seit
-
Letzter Besuch
Beiträge erstellt von cebo
-
-
Du könntest ein vordefiniertes, verpflichtendes Profil für Deine User zur Verfügung stellen, in denen alle Icons und so weiter schon zur Verfügung stehen. Dieses Profil ist vom Benutzer nur temporär änderbar, nach dem Erneuten Anmelden ist das Ursprungsprofil wieder gültig (also habe alle eine Oberfläche) ...
Wie geht denn das ? wie gesagt, grundsätzlich ist die Oberfläche ok wie sie ist. Es müsste nur Outlook express und IE weg. Dem einen oder anderen User kann ich ja dann die Verknüpfung auf den Desktop legen. Bei diesen Usern ist das nach oben hangeln zwar nicht wirklich gefährlich aber wenn anders ginge, würde ich es tun.
-
Wieso sollten die Admins keine MSI-Dateien installieren können, wenn der Windows-Installer läuft und der Admin keine Einschränkungen hat ?
Keine Ahnung, steht halt so in der ARtikel ID 278295 von MS.
Ich weiss ja noch nicht mals was MSI Daten sind.
Schau Dir mal die Berechtigung der Verknüpfung an, darf der User diese Verknüpfung lesen ? Darf er auch auf das Ziel zugreifen ? Warum nicht in das Alluser Profil ?Ich möchte nicht allen Mitarbeitern die gleichen Daten an die Hand geben. Es gibt hier auch externe, die geht das nix an. Die kommen dann über TSWeb. Die Verrknüpfungen im Desktopordner der Mitarbeiter am TS sind auch dauerhaft oder? Ich habe in den Sicherheitseinstellungen der Verküpfung jedem Vollzugriff gegeben und jetzt klappts. Kann i ch es irgendwie verhindern, dass der User sich durch die Verknüpfung in der Dateistruktur des verbundenen Servers nach oben hangelt ?
Man erstellt nicht 2 oder mehr OUs, sondern 2 oder mehr Richtlinien, die unterschiedlich sicherheitsgefiltert werden.alles klar.
Man kann für die Terminalserver-Benutzer auf mehrere Arten vordefinierte Profile definieren, in denen nur noch die Einträge vorhanden sind, die benötigt werden. Weiterhin kann man über Softwareeinschränkungsrichtlinien z.B. Programme verbietenDas beziehst du sicherlich auf den Exploer usw.
Was würdest du mir empfehlen zu tun ?
THX
-
Ein kleineres und ein größeres Problem bleibt jetzt fürs erste noch.
1.Bei allen Usern des WTS ist die Schnellstartleiste geöffnet. Dort können sie den Internetexploer und Outlook Express anwählen. Der Exploer ist auch noch unter Start/Programme da. Kann man das Nutzen dieser Programmen irgendwie unterbinden ?
2. Wenn ich als Admin am TS über C:\Dokumente und Einstellungen\user\Desktop einem User eine Verknüpfung eines an einem anderen Server freigegebenen Ordners auf den Desktop lege, kann er sie nicht öffnen. Gibts dafür ne lösung ?
THX
-
Ja, in der Anweisung steht abr drin, dass admins selbst bei expliziter Anweisung "Verweigern" keine MSI Pakete installieren können.
-
Kann man eigentlich auch 2 oder mehr OUs für einen TS erstellen, diese mit unterschiedlichen Richtlinien verknüpfen und verschiedene User zuweisen ?
-
alles klar, dann steht in der Microsoft Anweisung noch drin, dass wenn man die Systemsteuerung deaktiviert auch Admins keine MSI Pakete installieren könnten. Wasn das ?
-
wenn ichs jetzt aber doch für User einschränken möchte, welche option aus windows installer sollte ich dann aktivieren?
Grüsse
Cebo
-
Ich hab das Übel jetzt dingfest gemacht, obwohls mir unlogisch erscheint.
Ich hatte das gleiche Problem gerade wieder. d.h. die Admins konnten auf dem TS kein Programm installieren.
In der Gruppenrichtlinie gibt es unter Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Windows Installer die Einstellung Windows Installer deaktivieren, immer. Das "immer" ist hier offensichtlich wörtlich zu nehmen.
Wenn ich das aktiviere, dann können auch die Admins nicht mehr installieren. Alle anderen in der Richtlinie gesetzten Einschränkungen scheinen für Admins nicht zu gelten.
Habe die o.g. Einstellung wieder deaktiviert, den TS neu gestartet und konnte als admin wieder installieren.
Wie kann das sein ?
-
soweit, ich aktiviere jetzt mal alle gewünschten Optionen in der neuen Richtlinie. Muss ich denn die Sicherheitsgruppe nicht anlegen ?
-
die neuen Gruppenrichtlinien sind aktiv und ich kann auch adobe installieren
-
habs so gemacht. es gibt aber noch keine Gruppe in dieser OU aber authentifizierte Benutzer steht drin
-
-
Jetzt mal in Kürze
1. OU erstellen, in diese OU den Terminalserver schieben
2. In diese OU eine Richtlinie verknüpfen, in der die Loopbackverarbeitung auf Ersetzen steht und die Einschränkungen in der Benutzerkonfiguration vorgenommen werden
3. In der Sicherheitsfilterung dieses GPOs den Domänenadmins "Gruppenrichtlinie übernehmen - Verweigern" anklicken, nichts weiter (die Authentifizierten Benutzer dürfen die Gruppenrichtlinie übernehmen, dazu zählt auch die Gruppe und der TS selbst) ...
4. In dieser Richtlinie das Benutzerrecht "Lokale Anmeldung zulassen" konfigurieren, falls notwendig (muss man eigentlich nicht machen, da die lokale Richtlinie die Anmeldung zulässt, wenn es ein Memberserver ist)
5. Im RDP-TCP Verbindungsobjekt die Gruppe eintragen, die sich anmelden soll, falls notwendig
6. Die bisher eingestellten Richtlinien wieder entfernen
zu 1 yes
zu2 yes
zu3 soll ich hier lesen schreiben, erstellen und löschen die Häkchen weg nehmen ?
zu 4 habe ich bisher nicht
zu 5 yes
zu 6 Meinst Du die bisher eingestellten Richtlinien in der erstellten OU? Was ich da eingestellt habe, kannst du hier sehen So sperren Sie eine Windows 2000-Terminalserversitzung
-
unter lokale anmeldung verweigern steht im WTS Computername\ASPnet bedseitig gehakt
-
Habe gerade mal in die lokalen sicherheitsrichtlinien des TS selber geschaut. Es gibt einstellung der lokalen Richtlinie und Einstellung der effektiven Richtlinie.
Die Domänenadministratoren sind effektiv gehagt. lokal nicht. Der lokale admin, also Computername/administrator ist nicht aufgeführt. administratoren ist lokal und effektiv gehakt
-
unter AD Benutzer und Computer meine Domäne Das Gruppenrichtlinienobjekt heisst Default Domain Policy
-
administratoren habe ich der lokalen Anmeldung hinzugefügt . der lokale Admin lässt sich trotzdem nicht anmelden.
Fehlermeldung: die lokale Richtlinie erlaubt es Ihnen nicht sich interaktiv anzumelden
-
Domänen Admins lesen, schreiben erstellen löschen ..... Gruppenrichtlinie übernehmen verweigert
Organisationsadmins und System wie oben ohne übernehmen verweigert
TS lesen, übernehmen
Sicherheitsgruppe lesen übernehmen
-
die Installation von Adobe klappt immer noch nicht
-
Auf jeden Fall "Administratoren" ...
ok, habs dazugefügt. muss da auch authentifizierter Benutzer rein ?
Die Sicherheitsgruppe des TS muss da garnicht rein oder ?
-
...
Was meinst Du mit "wieder anmelden" ? Welche Richtlinien hast Du verändert ? Was steht in "Lokale Anmeldung zulassen" (ist doch ein W2K-Server) ?
Hi, seitdem ich die Einstellungen in lokale Anmeldung in der Default Domain Policy gemacht habe, konnte der lokale admin sich am WTS nicht mehr anmelden.
War bestimmt nicht ok oder ? ich habe da auch Einträge gelöscht. Was müsste denn drin stehen
Grüsse
Cebo
-
Hallo,
hatte gerade per Gruppenrichtlinie und Loopback den TS gesperrt. Obwohl ich mich als domänenadmin direkt am server angemeldet habe, ließ er mich den Adobe Reader nicht installieren. Als Fehlermeldung erschien, dass Richtlinien erlassen wurden, um diese installation zu verhindern. Eigentlich waren Admins doch aus den Richtlinien ausgeschlossen ?
Grüsse
Cebo
wie bekomme ich es eigentlich wieder hin, dass der Administrator/WTS sich an diesem anmelden kann ?
-
Kann ich auch den Internet Exploer per Loopback deaktivieren ? Ich hab da auch noch ein par Leichen unter Start/Programme/Zubehör. Da steht noch der Windows Exploer, Editor, Eingabeaufforderung, imaging...
kann man das noch irgendwie rund machen ?
THX
-
Das klappt jetzt auch .... THX all :D
wegen Richtlinien keine Installation möglich
in Windows Server Forum
Geschrieben
wenn alle Stricke reissen, kann mannicht einfach den exploer und Outlook express mit ner lokal installierten Firewall blockieren ?