deniii

Hallo zusammen, erst einmal danke für eure Unterstützung. Mittlerweile greifen unsere Richtlinien so, wie sie es sollen. Ich habe allerdings ein Paar abschließende Fragen. Wie in einem der letzten Posts auch schon beschrieben, habe ich folgendes gemacht: -Eine OU wurde erstellt > Terminalserver und die Terminalserver User-Gruppe hinzugefügt (Ja, ich habe es schon soweit verstanden, dass die Gruppenrichtlinie nicht auf Gruppen angewandt wird. Habe es nur aus dem Grund gemacht, damit ich in einer OU alle betroffenen TS-Objekte habe) -Richtlinie für die OU erstellt > Sicherheitseinstellungen der Richtlinie > „Authentifizierte Benutzer – Gruppe“ raus genommen > Terminalserver und die Terminalserver User-Gruppe hinzugefügt > Lese-Berechtigungen und die Berechtigung „Gruppenrichtlichtlinien übernehmen“ wurden vergeben. -Richtlinie > Loopback aktiviert – Modus „ersetzten“ > Richtlinie (mit Benutzerkonfiguration) weiter konfiguriert -Terminalserver > konfiguriert nach „HowTo“ Und das war es auch schon. So wie es hier steht, war es gestern auch schon, gestern wurde allerdings nur vergessen „gpupdate“ durchzuführen bzw. habe an die 90 Minuten nicht gedacht, daher griff keine Richtlinie – heute Morgen griff die Richtlinie ohne weitere Veränderung der Konfiguration wie gewünscht. Es funktioniert nun auch mit den Usern, die in der Terminalserver User-Gruppe vorhanden sind. Der Vorteil ist jetzt der und das war auch das Ziel, dass die GPO nur für User greift, die auch Mitglied in der Gruppe sind. So können „Power-User“ bzw. die wissen was sie tun, auch andere Berechtigungen, über eine weitere GPO, erhalten. Nun frage ich mich, wieso es so funktioniert, obwohl der Norbert meint, es kann nicht gehen? Und wenn ich ehrlich bin kann ich mit folgendem nichts weiter anfangen: „Contose Standard auf Dom-Ebene“ die Bedeutung und der Zusammenhang dessen ist mir nicht bewusst. Das der Loopbackeffekt für jede GPO angewendet wird ist sehr gut zu wissen, für das Verständnis ist klar, dass das Ganze dann ein wenig anders behandelt werden muss, nur wie? Was stell ich wie und wo ein, damit alles reibungslos funktioniert und nur die GPO, die ich möchte, von dem Loopbackeffekt „angesprochen“ wird? Anscheinend habe ich es richtig konfiguriert denn es läuft ja alles wunderbar – ich habe es praktisch „ausversehen richtig gemacht“, wie es scheint. ;) Danke.

Hallo, okay okay – ich habe mir das Ganze noch mal in Ruhe angesehen und habe noch mal ein wenig verändert, nämlich folgendes: - Die Sicherheitsgruppe in der von mir erstellten OU habe ich verschoben. In der OU befindet sich jetzt nur noch unser Terminal-Server. - Dann wurde die Gruppe „Authentifizierte Benutzer“ aus der Sicherheitseinstellung der Richtlinie entfernt. Weitergehend wurde die Gruppe „Terminalserver-Benutzergruppe“ und der Terminalserver selbst dort hinzugefügt. Lese-Berechtigungen sowohl als auch die Berechtigung „Gruppenrichtlinien übernehmen“ wurden vergeben. (Habs’ nun entdeckt) - Der Terminal Server wurde genau nach Anleitung aus dem „HowTo von Mark“ konfiguriert. Bei einer Testanmeldung via RDP auf den TS greift die erstellte Richtlinie, die ich an sich unverändert gelassen habe, leider nicht. Die DNS-Konfiguration am Client wurde überprüft und ist korrekt. Habt Ihr nochmal einen Tipp für mich? Besten Dank.

Hier noch mal mein Feedback bzw. Situation. Zunächst wurde eine OU erstellt, die den Namen „Terminalserver Objects“ trägt. In dieser OU habe ich eine globale Sicherheitsgruppe angelegt, welche wiederum „Terminalserver-Benutzergruppe“ heißt und die betroffenen TS-User beinhaltet. Folgende Schritte bin ich durchgegangen: - OU (Terminalserver Objects) erstellt > globale Sicherheitsgruppe (Terminalserver-Benutzergruppe) erstellt > TS User in die Gruppe - Eigenschaften der OU > Sicherheitseinstellungen der „Terminalserver-Benutzergruppe“ > „Authentifizierte Benutzer“ aus den Sicherheitseinstellungen der Gruppe entfernt > dem Terminalserver als Computerkonto und die Gruppe hinzugefügt > Lese-Berechtigung erteilt Anmerkung: Dort sind noch viele andere Gruppen (Domänencontroller, Exchange Enterprise Servers etc.) hinterlegt, müssen diese gelöscht werden? Oder müssen die Sicherheitseinstellungen nicht auf der Gruppe selbst, sondern auf der OU angepasst werden? Habe es eigentlich so verstanden, dass man dies auf der Gruppe selbst machen muss. Die Berechtigung „Gruppenrichtlinien übernehmen“, wie sie auf folgendem Link beschrieben ist (Gruppenrichtlinien - Übersicht, FAQ und Tutorials) konnte ich dort nicht finden und somit auch nicht vergeben. Zwischenfrage: Gibt es diese Berechtigung unter W2k3 SP2? Wo finde ich sie? - Register Gruppenrichtlinien der OU > Neu > Name „Terminalserver_Loopback“ > Optionen keine ausgewählt - Bearbeiten > Aktivierung folgender Richtlinien Computerkonfiguration\Administrative Vorlagen\System\Gruppenrichtlinien > Loopbackverarbeitungsmodus für Benutzergruppenrichtlinie > Aktiviert > Ersetzen Des Weiteren habe ich dort einige zusätzliche Einstellungen vorgenommen, wie sie auch in dem o.g. Link zu finden sind und habe es anschließend übernommen. - Testanmeldung via RDP am TS > kein „Loopbackeffekt“ - TS-User, welcher auch in der Terminalserver-Benutzergruppe als Mitglied hinterlegt ist, direkt von Users in die OU (Terminalserver Objects) verschoben - Testanmeldung via RDP am TS > Richtlinie greift - Testanmeldung an einer Workstation > die selbe Richtlinie greift, was aber nicht sein soll/darf. Was ich auch nicht verstehe, warum greift die Gruppenrichtlinie nicht bei der Gruppe, sondern nur, wenn ich den User direkt in die OU verschiebe Muss es eine lokale Sicherheitsgruppe sein? Und warum tritt der Loopbackeffekt nicht ein? Wo könnte das Problem liegen? Und übrigens: Danke für eure Rückmeldungen :)

Hallo, ich beschäftige mich momentan auch mit der Loopback-Geschichte. Und ich bin da auf eine Seite gestoßen, die allgemeine Klarheit schaffen sollte was den Loopbackmodus und Gruppenrichtlinien an sich angeht. Hier erstmal der Link -> MSXFAQ.DE - Gruppenrichtlinien Ich habe allerdings auch eine Frage dazu. Zunächst einmal wie ich das Ganze verstanden habe - und ich bin absoluter Anfänger (Azubi) : Also zunächst einmal besteht eine Richtlinie aus einem Computeranteil und einem Benutzeranteil - im Folgenden CA und BA abgekürzt. Es gibt Richtlinien für User sowohl als auch für die Rechner selbst - was sicherlich bekannt sein sollte. Wird nun ein Rechner gestartet, verbindet sich dieser mit der AD und list die für 'Ihn' zutreffenden Richtlinien ein. Allerdings nur den Computeranteil (CA) seiner Richtlinie. Der Benutzeranteil (BA) wird praktisch nicht vom Rechner beachtet. Loggt sich ein User dann auf diesem Rechner ein, so durchläuft er die selbe Prozedur, allerdings wird hier nicht der CA sondern der BA der User-Richtlinie "geladen". Das ist der Normalfall, so habe ich es auf jedem Fall verstanden. Nun zu meiner Situation/Frage: Ich melde mich als User an einem lokalen Rechner oder ThinClient an - dort soll keine spezielle Richtlinie, außer die der Domain-Policy und evtl. anderen zugewiesenen, greifen. Doch melde ich mich doch am Terminal-Server via RDP- oder ICA-Session an, soll z.B. die Systemsteuerung ausgeblendet werden. Nur ich frage mich, was ist wenn ich direkt vor dem TS sitze, ohne RDP, ICA oder sonstwas anmelde, wie verhält sich dann das Ganze? Welche Richtlinie greift? Was ich auch noch nicht ganz verstanden habe, was der Unterschied zwischen ersetzen und verbinden ist. Hier hänge ich auch noch ein wenig. Brauche ich dazu 2 neue/eigene Policys oder kann ich es in einer Zusammenfassen und es wird sich nur der CA bzw. BA Anteil gezogen? Normal ist es ja so, dass ich die Policy auf einer OU anwende, in der User- oder Gruppen- oder Computerkonten vorhanden sind. Im Loopbackmodus stellt sich für mich nur die Frage, auf welche OU wende ich denn die Policy an? Auf der, in der der Terminal-Server ist oder auf der sich der/die User/Gruppen befinden. Habe in der Testumgebung eine OU angelegt, die eine Gruppe beinhaltet, an die ich einige Benutzer hinzugefügt habe. Stelle es mir eigentlich so vor, wenn sich ein Benutzer, der Mitglied dieser TerminalUser Gruppe ist und wenn sich genau ein User aus dieser Gruppe an dem Terminal-Server anmeldet, dass dann Systemsteuerung etc. ausgeblendet wird. Wenn ein Benutzer nicht Mitglied dieser Gruppe ist, dann soll genauso wenig passieren, als wenn er sich lokal an seinem Rechner anmeldet. Hoffe ich sorge nicht für soviel Verwirrung und jemand von euch hat noch den zündenden Hinweis für mich. Gruß Denii

owei *gg* und wass wenn ich mal in ne' nische mit dem teil rein muss? pass wohl kaum *g* schwachsinn so etwas, wie ich finde.

Guten morgen, folgendes Problem: Nachdem ich am Lappi meiner Schwester Windows Vista (Home Premium) neuinstalliert habe, ist der Lappi von alleine aus gegangen. Zu dem Zeitpunkt, war der Installationsstatus auf "Installation wird abgeschlossen", dann - ohne Vorwarnung - wie gesagt das automatische Abschalten. Ist das so richtig? Ich hab in dem Moment nix am Rechner gemacht hab nur (sehnsüchtig) drauf gewartet das die Install. fertig wird. Das Problem is, der Lappi geht immernoch nicht an. Er war ans Netz angeschlossen (Strom) und ja... viel mehr gibts' auch nicht zu sagen. Hm, vill. doch. Ich hab Windows mit ner' Recovery DVD neu raufgehauen. Nicht über den 'normalen' Weg... Ideen? *Edit: Wieso ich das ins' Vista-Forum reinschreib: Ich hab Vista persönlich noch nie neuinstalliert und, daher weiß ich nicht ob das bei Vista so normal is oder so. Was mir jetzt grad einfällt: Vill. is der CPU zu heiß gelaufen? Eig. nich so erdenklich, ist nämlich n' Core²Duo, der ziemlich gut läuft. – OWEI!!! Hat sich erledigt :D:D:D Akku war tot und das Netzteil doch nich richtig angeschlossen :D

Das hab ich von meinem Chef auch zu hören bekommen, nur auch hier muss ich sagen, dass alles richtig konfiguriert ist. D.h. hier komm ich nicht weiter, der Neustart nach einem Fehler ist aktiviert. Hmm. Ich werde kämpfen um diesen Fehler noch zu beseitigen, er stört mich gewaltig *g* Sobald ich was weiß, melde ich mich umgehend. ;) greetz deniii

Okay, ich werd mir Mühe geben - ich als unwissender Praktikang :p Falls' ich es nicht mehr hinbekomme frag ich nochmal meinen Chef *g* Danke für deine Hilfe @ schwarzwild :) Edit: @Xp-Fan: Okay, aber ich finde den Fehler trotzdem unschön, meinste ich bekomm den noch irgendwie weg? Ansonsten werd ich den Dienst erstma testen, danke. :) – netdom query fsmo zeigt mir alles so, wie ich es haben möchte! Das sieht eig. ganz gut aus, nur wieso der Fehler, wie änder ich die Startupreihenfolge? Verwaltung > Dienste ? So in der Art irgendwie *g* ? deniii

Ich hab keine :p Und wat machn' wa nun? *g*

Hm danke für den Ansatz, nur der Betriebsmaster is so, wie er sein soll. Nochmal eine Bemerkung 'nebenbei' : Der Fehler tritt nur beim' Neustart des Servers auf. Starte ich DHCP nochmal 'per Hand' neu, sagt mir das Ereignissprotokoll, dass alles in Ordnung sei, er autorisiert sei und den Clientdienst erfolgreich gestartet hat. deniii – Es gibt doch sicherlich eine Möglichkeit um den DHCP-Dienst zu testen oder? (Support Tools?) deniii

Hm, wie übertrage ich die Schemarolle? :rolleyes: Danke schonmal.

Moin, die letzte ANtwort ist zwar schon etwas her, jedoch habe ich genau das selbe DHCP Promlem. Der Server ist autosrisiert; und nach 'Neuautorisierung' hat sich das Ganze leider nicht geändert. Und DHCP neu aufsetzten würde ich nur ungern, hatte arge Probleme das Ereignissprotokoll zu säubern - ich habs' jedoch geschafft (abgesehen von diesem DHCP-Problem) und das würde ich mir nur ungern wieder versauen. *g* Also.. DC, AD, DNS, DHCP, WINS @w2k3 dazu einen 2. DC; AD, DNS (bislang) Es handelt sich übrigens nur um eine Testumgebung, bin Praktikant ;-) Also wenn ihr noch Ansätze im Bezug auf den DHCP-Fehler habt - her damit, danke :-) Edit: Hier nochmal der Fehler. deniii