cebo

was war denn nun die lösung?

So wie ich das sehe, musste das Computerkonto verschoben werden. Nachdem ich dann SECEDIT /REFRESHPOLICY MACHINE_POLICY /ENFORCE ausgeführt hatte, meldete er sich mit den richtigen Richtlinien.

:jau::jau::jau::jau::jau::jau::jau::jau::jau::jau:

ich kann hier leider nicht mehr Symbole anklicken sonst würde ich die ganze Seite voll machen vor Freude.

Danke Dir und viele Grüsse aus Neuss

Cebo

GPUPDATE eingeben (auf dem TS), danach RSOP.MSC ausführen und nachschauen, ob die Richtlinien angewendet werden ...

bekomme die Fehlermeldung GPUPDATE konnte nicht gefunden werden

Ähm, funktioniert es jetzt, nachdem Du das Computerkonto des TS in die OU geschoben hast, in der die Richtlinie existiert ? Eventuell noch mit GPUDATE nachgeholfen ?

Habe das Computerkonto in OU_Terminalserver verschoben, funktioniert nicht.

Was meinst Du mit GPUDATE? Was muss ich machen?

THX

Eigentlich brauchst Du die Benutzer nur in die Gruppe Remotedesktopbenutzer stecken, damit sie sich am TS anmelden können. Die Gruppe Remotedesktopbenutzer hat das Benutzerrecht "Anmelden über Terminaldienste zulassen" und ist ebenso im RDP-TCP Verbindungsobjekt berechtigt. Diese beiden Dinge haben aber absolut nichts mit der Einschränkung via Richtlinie zu tun, dort geht es nur darum, wer sich überhaupt am TS anmelden kann.

Wo befindet sich das Computerkonto des TS im Active Directory und wo hast Du die Loopbackrichtlinie verknüpft ? Sind in der Loopbackrichtlinie auch Benutzereinstellungen definiert oder gibt es dafür eine eigene Richtlinie ? Wenn ja, wo ist diese verknüpft ?

Ahh..das Computerkonto des ts "Nadja" ist grundsätzlich unter Domäne/Computers angelegt. Der ist dort durch den Domänenbeitritt automatisch angelegt worden.

Die neue OU "OU_Terminalserver" ist unter Domäne/ angelegt. Dort wurde die Gruppenrichtlinie "Richtlinien_Terminalserver" implementiert. In dieser Richtlinie ist das Loopback aktiviert. In dieser Richtlinie sind unter Benutzerkonfiguration diverse Einstellungen nach dieser Vorlage So sperren Sie eine Windows 2000-Terminalserversitzung gemacht worden.

In dieser OU ist auch die neue globale Sicherheitsgruppe "TerminalServer User" angelegt worden. In diese Sicherheitsgruppe wurden einzelne Benutzer aus Domäne/User als Mitglieder aufgenommen.

In den Sicherheitseinstellungen der Richtlinien _Terminalserver sind DomänenAdmins, der TS, System, und die neue Gruppe "TerminalServer User" angelegt. Hier hat der TS und die neue Gruppe die Berechtigung "Lesen" und "Gruppenrichtlinie übernehmen". Bei den Anderen ist "Lesen, Schreiben, Objekte erstellen, Objekte löschen" aktiviert.

Die Berechtigung zur Anmeldung der Gruppe wurde in der Default Domain Policy realisiert.

Ich danke Dir für Deine Geduld.

Grüsse

Cebo

Ja, der TS ist in einer OU, in dieser OU wird die Loopbackrichtlinie gelinkt und ebenso die Benutzereinstellungen. Die Loopbackrichtlinie muss so konfiguriert werden, dass der TS diese Richtlinie lesen und übernehmen darf, die Benutzerrichtlinie muss von den Benutzern gelesen und angewednet werden dürfen ...

Wieso lokale Domänenrichtlinie und RDP-TCP Objekt ? Wegen der Anmeldung am TS ? Warum nicht die Remotedesktopbenutzer ?

Hi,

der TS ist in den Sicherheitseinstellungen der Richtline aufgeführt, das Häkchen Gruppenrichtlinie übernehmen ist gesetzt, ebenso lesen. Mit den gleichen Einstellungen ist die Sicherheitsgruppe dort eingetragen.

In RDP_TCP des TS ist die Sicherheitsgruppe auch eingetragen.... warum? k.A., weil es so in der Anleitung steht. Soll ich dort die einzelnen Benutzer eintragen?

Wie gesagt, anmelden können sich die in der Sicherheitsgruppe angemeldeten Mitglieder, nur die Richtlinie wird nicht berücksichtigt.

THX

Cebo

Also ich hab das so bei uns gelöst:

 

if /i %computername% == TS1 net use ...

mir ist nicht so ganz klar, welche Variabeln ich hier austauschen muss.

der WTS1 heisst nadja, WTS 2 heisst jana Das Script soll nur auf TS1 laufen.

Wäre es so richtig :

if /i %Jnadja% == TS1 net use LW: \\server\freigabe /pers:no

moin,

also ehrlich gesagt habe ich mich streng an diese So sperren Sie eine Windows 2000-Terminalserversitzung Anleitung i.V.m. dieser Gruppenrichtlinien - Übersicht, FAQ und Tutorials Anleitung gehalten.

Mehr habe ich eigentlich nicht eingetragen. Der TS ist nur ein Mitgliedsserver. Die lokalen Einstellungen sollten von den Gruppenrichtlinien doch überlagert werden. So isz es jedenfalls mit den lokalen Anmeldeberechtigungen.

THX

Hallo,

ich möchte mit der OU WTS Sitzungen sperren.

Die Richtlinie ist entsprechend eingerichtet, unter anderem ist Loopback aktiviert.

In den Sicherheitseinstellungen der Richtlinie ist u.a. eine Sicherheitsgruppe angelegt. Das Häkchen Gruppenrichtlinie übernehmen und schreiben ist gesetzt.

Unter der Registerkarte Mitglieder der Sicherheitsgruppe sind diverse User eingetragen.

Die Sicherheitsgruppe ist in der Lokalen Domänenrichtlinie und in Eigenschaften von RDP-Tcp eingetragen.

Die eingetragenen User können sich auch am TS anmelden aber die Richtlinien werden ncht angewendet.

habe jetzt die Batchdatei doch in den Netlogon-Ordner gelegt und per Domänen-GPO verlinkt. Das Problem ist, ich möchte im Zweifel 2 TS ansteuern, brauche das Script aber nur für einen der beiden.

Gibts dafür auch ne Lösung ?

THX

Cebo

kann ich nicht einfach eine Batchdatei in den Autostart legen ?

habe jetzt in jeder Terminalsitzung das Laufwerk... wo ist der Nachteil ?

Grüsse

ok und wo trage ich das Login-Skript ein bzw. wie erstelle ich das ?

habe mal eine subst.exe (%windir%\system32\subst.exe H: F:\) erstellt. Stelle mir vor, dass das ähnlich geht.

Oder liege ich völlig falsch ?

THX

Cebo

Hallo,

kann man auf einem WTS für all User ein Netzlaufwerk verbinden?

Also sobald sich ein neuer User anmeldet, soll das Netzlaufwerk mit verunden werden.

THX

Cebo

Bei dem DC handelt es sich um einen zusätzlichen DC in einer bestehenden Domäne.

Bisher stellte das erste physikalische Gerät sowohl den DC als auch den TS. Wegen der Sicherheit habe ich eine 2te Maschine angeschafft, die jetzt als TS arbeitet.

Wenn ich jetzt die 2te Maschine auch als zusätzlichen DC in der bestehenden Domäne hochstufe, habe ich dann eigentlich wesentlich an Sicherheit dazugewonnen?

Werden durch User bedingte mögliche Veränderungen am 2ten DC auf den ersten repliziert?

Alle User müssen sich ja weiterhin an einem DC anmelden. Kann man die Berechtigungen auf einen DC beschränken oder könnten sich alle User auch automatisch auf dem ersten DC anmelden ?

Kann der Loopbackverarbeitungsmodus auf diesem DC genauso implementiert werden wie auf einem Mitgliedsserver? Wo genau liegen die Einschränkungen ?

Könnte man vielleicht besser auf einem jetzigen Clienten einen weiteren DC installieren? Der Client wird selten frequentiert , 3 x die Woche a 8 Std. dann wird er ausgeschaltet. Oder macht das keinen Sinn ?

Viele Fragen, Danke schon mal für die Antworten

Cebo

Hallo,

ich habe einen zweiten WTS in die Domäne gesetzt.

Gibt es eine Möglichkeit, ausser den Port eines TS zu verändern, mit TSWeb von aussen über den ISA auf beide TS zuzugreifen ?.

Durch verändern des Ports kann man mit der Remotedesktopverbindung diesen TS nicht mehr nutzen.

THX

Installation eines zusätzlichen Domänencontroller in einer vorhandenen Domäne.

Kann ich den zusätzlichen DC so wie hier Microsoft Corporation

beschrieben installieren oder muss ich bei meinen Voraussetzungen etwas beachten.

Vielleicht wäre es ein Gedanke, 2 phys. Maschinen mit je 2 VMs zu betreiben. Auf einem Host laufen der WTS und ein DC in je einer VM und auf dem 2. Host der ISA und ein 2. DC in VMs.

Christoph

Wenn hierzu keine Einwände mehr kommen, würde ich es so planen.

Worauf kommt es bei der Einrichtung des 2ten DC im Vergleich zum ersten denn an. Gibt es zu dem Thema einen gute Seite? Muss es das gleiche Betriebssystem sein ?

..... Ein einziger DC in einer Domäne ist ebenfalls ein ziemliches Risiko und sollte mit einem guten Backup und Desaster Recovery Plan abgesichert sein. Schmiert ...

Meinst Du damit, dass man ja eigentlich vier Server bräuchte oder kann man den 2ten DC irgendwo integrieren ?

Warum sollte TSWeb nicht durch den ISA-Server funktionieren?

 

Wie du ne Web- bzw. Serververöffentlichung bei nem ISA machst, weißt du hoffentlich ;-)

.... ich bin da nicht wirklich so versiert ;) Wenn du da nen Link hättest wäre das super.

Hälst du denn diese Konstellation überhaupt für akzeptabel oder würdest du mir dringend raten den DC mit einer Netzwerkkarte zu betreiben und den WTS mit dem ISA zu bestücken.

Grüsse

Bisher nutze ich VPN nicht in Verbindung mit WTS. Clienten von außen nutzen TSWeb. Funktioniert prima. Nur ob Tsweb durch den ISA auf den neuen WTS funktioniert ?

VPN wird nur von "internen" WLan clienten genutzt, da der WLAN Accesspoint aussen vor dem ISA sitzt.

Es ist schon klar, dass sich bei dem Thema Anmeldung von WTS Clients an einem DC bei jedem hier die Nackenhaare sträuben. Wie gesagt, ich möchte das ja auch durch einen zusätzlichen WTS ändern. Die Frage ist nur, wie ich das am Besten hinkriege und das möglichst ohne meinen DC zu schrotten. Also wohin setze ich den neuen WTS.

... Aber ein ISA auf einem DC erst recht nicht.

Ich weiss nicht warum Du das schreibst, kann mit meiner Erfahrung sicherlich nicht mithalten aber das System läuft so schon seit rund nem Jahr völlig problemlos und zuverlässig. Zusätzlich arbeitet er noch als Fileserver und Exchange 2k läuft auch noch mit.

Ist denn eine andere Lösung nicht denkbar ? Gerade weil der DC so rund läuft, würde ich ihn ungerne neu aufsetzen.

Grüsse

Cebo

Mit Netzplan meine ich, wie soll ich das Netwerk aufbauen. Kann ich den WTS2K3 aussen vor die Domäne setzen ? Oder soll ich den ISA runternehmen und den DC mit einer Netzwerkkarte betreiben?

cebo

Hallo zusammen.

Zur Zeit arbeitet mein win2k DC mit isa 2k als alleiniger Server im Netzwerk.

Intern sind 8 Clients angeschlossen. Extern sitzt der Router mit der Internetanbindung fürs Netzwerk.

Alle internen Clients arbeiten auf dem vom DC bereitgestellten WTS.

Die Anzahl der Mitarbeiter die sich von aussen über das Internet mit dem WTS verbinden nimmt immer mehr zu.

Ich möchte jetzt einen zusätzlichen WTS für externe Zugriffe bereitstellen. Zu diesem Zweck habe ich den Win2k3 Server angeschafft. Meines Wissens lassen sich die Benutzerrechte des WTS2K3 gegenüber dem WTS2K besser einschränken.

Welcher Netzplan ist für diesen Zweck der Beste .

Grüsse

Cebo

du hast völlig Recht mit Deiner Vermutiung ich habs gerade auprobiert :D Wenn ich localhost hier veröffentliche läufts. Kann ich das problemlios machen ?.

Ich habe eine Webveröffentlichungsregel Freigabe für alle Externen. Wenn ich die herausnehme, kann man mich nicht mehr von aussen (dyndns) erreichen. Dann bekomm ich auch dort die Fehlermeldung des ISA .

(wenn diese Freigabe deaktiviert ist, funzt localhost ohne Webfreigabe trotzdem nicht.)

Kann ich das so lassen oder bringt das zuviele Probleme mit sich ?

Grüsse

Cebo