bersi23

Die Loopbackverarbeitung wurde bisher nicht konfiguriert. Es ist vllt. wichtig zu sagen, dass die OU mit dem RDS Host durch keine zusätzlichen GPOs konfiguriert wird. (Nur ein GPO, das zwei Links von der taskleiste entfernt). Die komplette GPO-seitige Konfiguration wird über ein GPO "RDS User" vorgenommen, das auf die OU mit den TS Usern angewendet wird. Dort ist aber nur der Benutzerabschnitt konfiguriert.

Gulp, wir sind Menschen und Menschen sind keine Machinen. Ein Mensch spürt, wenn sein Gesprächspartner aggressiv oder unfreundlich gesinnt ist, unabhängig davon was er sagt. Du und NilsK seid leider unfreundlich gesinnt. Solche Hilfe kann ich nicht gebrauchen und bin NilsK dankbar, dass er mich mit seiner "Hilfe" nicht mehr belästigen wird. Danke für eure Zeit, die ihr für mein Problem aufgewendet habt, aber bitte lasst es einfach sein, wenn ihr euch nur profilieren wollt oder just for fun trollmäßig aufführt. Ich bin in diesem Forum nicht aus Spaß unterwegs, sondern weil ich dringend Hilfe bei der Problemlösung benötige. Ich bin jedem verbindlich dankbar, der nett und freundlich hilft. @tesso: Es ist jetzt nicht so, dass ich aus Faulheit in diesem Forum etwas poste, weil ich nicht googeln will oder keinen Bock hab, mich mit der Materie außeinander zu setzen. Das will und tu ich. Und ich danke euch allen für eure Zeit. Ich kenne sämtliche Einstellungsmöglichkeiten im GPO. Ich habe sie alle mehrfach getestet. Ich habe stundenlang gegoogelt. Und erst nachdem ich nicht mehr weiter gekommen bin, habe ich hier Threads erstellt. Bitte berücksichtigt das bei euren Antworten. Sonst sieht es in meinen Augen lachhaft aus, wenn z.B. Gulp nach meinem Problem mal eben googelt, etwas findet und dann postet "hey du hättest einfach mal googeln können". Ich habe das Problem, dass eine GPO Einstellung nicht greift. Wahrscheinlich hängt das mit der Loopbackverarbeitung zusammen, wahrscheinlich mit etwas anderem. Aber mit Sicherheit nicht damit, weil ich zu dumm oder zu faul war, mich damit ausreichend im Vorfeld vor dem Posten beschäftigt zu haben. Ich glaube nicht, dass NilsK mir helfen wollte, er hat sich wie ein typischer Forumtroll benommen, wie ich es in zig anderen Foren zig mal gelesen und erlebt habe. Tesso will wirklich helfen und das weiss ich zu schätzen. Jetzt aber Back To Topic: Ich werde wohl etwas Troubleshooting betreiben müssen und nach der Problemquelle suchen. Jeglicher Ratschlag bringt mich dabei weiter.

Danke für die vielen nützlichen Anhaltspunkte, ich melde mich später! /EDIT Der RDS Host liegt in einer eigenen OU und wird folglich nur von der Default Domain Policy beeinflusst, die unverändert ist. Das mit diesem Container verlinkte GPO "RDS Host" entfernt lediglich zwei Links von der Taskleiste, der Rest ist nicht konfiguriert. Die TS User liegen auch alle in einer eigenen OU, die mit dem eigentlichen GPO "RDS User" verlinkt ist, das sämtliche Konfiguration im Benutzerabschnitt setzt. Der Computerabschnitt ist leer. Vielleicht hilft das bei der Problemanalyse.

Ich bin für Ratschläge dankbar. Jedoch darf es nicht sein, dass statt einer Antwort auf die gestellte Frage ausschliesslich Ratschläge gemacht werden, u. a. über einen Tellerrand hinaus zu denken. Wenn es eine Schaltfläche gibt, dann lässt sie sich auch ausblenden - Fakt. Wenn ein Fachmann nicht weiss, wie das zu erreichen ist, bedeutet das in meinen Augen lediglich, dass dieser Fachmann es eben nicht weiss. Aber keinesfalls, dass es nicht geht.

ja, das stimmt, allerdings greift auch diese Einstellung nicht... Hier hab ich es etwas genauer beschrieben: http://www.mcseboard.de/active-directory-forum-79/abmeldung-entfernen-per-gpo-greift-187819.html#post1159408

Moin, ich bin schon dabei :)

NilsK, ich vertrete nur eine einzige Ansicht und keine anderen: In einem Diskussionsforum stellt man Fragen, diese Fragen werden beantwortet oder eben nicht beantwortet, weil das hierzu erforderliche Wissen nicht vorhanden ist. Die Registry von Windows ist der zentrale Knotenpunkt, über den sich zumindest 99% aller optischen Änderungen an der UI vornehmen lassen. Ich habe eine Frage gestellt, wie man über die Registry eine Schaltfläche entfernen kann. Entschuldige meine evtl. direkte Art, aber: Warum interessiert dich eigentlich, was wie und warum? Ich habe keine Frage nach den allgemeinen Sicherheitskonzepten bei der Implementierung von RDS Umgebungen gestellt. Es mag ja sein, dass es in vielen Fällen erforderlich ist, den Hintergrund eines Problem zu verstehen, um eine kompetente Antwort darauf zu geben. Aber in diesem Fall ist das nicht so. In diesem Fall geht es nur um eine Schaltfläche, um NICHTS anderes. Mich interessiert ganz einfach, nicht mehr und nicht weniger, wie man diese Schaltfläche daraus kriegt. Warum versuchst du, "NilsK", meine Absichten zu hinterfragen und mischst dich in fremde Angelegenheiten ein? Ich werde für meine Arbeit bezahlt und verrichte sie so, wie ich es für richtig halte. Und ich würde sehr gerne wissen, wo man in der Registry oder durch eine alternative Lösung eine Schaltfläche in Windows entfernt. Nicht mehr und nicht weniger.

Leider ist das Ganze nicht so einfach :( Du hast wohl recht, diese Einstellung "Abmeldung entfernen" im GPO unter STRG, ALT + ENTF betrifft wohl wirklich nur die angezeigten Optionen wenn man den Affengriff macht. Aber, hier ist ein Ausschnitt aus der Beschreibung von "Userkonfig > Admin Vorlagen > Startmenü und Taskleiste > Option Abmelden aus Menü Start": Ich glaube, damit ist nur der Startmenüeintrag "<Benutzername> abmelden" z.B. unter Windows XP gemeint. So wie es in der Beschreibung steht. Allem Anschein nach wird der neue Button im Startmenü von Windows 7/2008 dadurch gar nicht beeinflusst.

Was genau soll das denn bringen?

Hi testperson, den Loopbackverarbeitungsmodus habe ich, zumindest wissentlich, nirgendwo aktiviert. Es stimmt, mit der den Terminalserver beinhaltenden OU ist ein weiteres kleines GPO verknüpft, das lediglich zwei Standardlinks von der Taskleiste entfernt, falls sich ein neuer User anmeldet: rsop.msc kann auf dem Thinclient aufgrund der stark restriktiven Umgebung gar nicht gestartet werden, weil u.a. sämtliche Shells gesperrt sind. Die beiden Links schaue ich mir gleich an, danke dafür!

Danke fürs Verlinken, tesso. Ja, das ist das einzige GPO in einer frisch aufgesetzten Domäne, das mit einer OU verknüpft ist, die alle Terminaluser-Konten enthält. Alle anderen GPO-Restriktionen werden ordnungsgemäß angewendet, nur diese eine streikt komischerweise. Kann es sein, dass diese Restriktion unter W2K8R2 gar nicht greifen kann und lediglich die Schaltfläche "User abmelden" im Startmenü älterer Windows-Versionen entfernt?

Die Leserechte einzuschränken ist auf alle Fälle eine gute Idee, ich werds mir morgen auf der Arbeit etwas genauer im AD anschauen. Danke, dass du nach diesen Stichwörtern mal eben gegoogelt hast, aber das hab ich auch schon gemacht, mehrere Stunden lang, bevor ich diesen Thread hier erstellt hab. Die z.B. hier beschriebenen Einstellungen bewirken unter W2K8R2 nichts. Soweit ich weiss, ist "Active Directory Durchsuchen" unter Windows 2000/2003/XP als ein Ordner dargestellt und nicht als eine Schaltfläche unterhalb der Menüleiste im W2K8R2. Deswegen kann das auch nicht klappen - genau wie z.B. die Registry-Einstellung zum Ausblenden der Schaltfläche "User abmelden". Gibts im W2K8R2 nicht und lässt sich auch nicht ausblenden. Ich hab diesen Thread hier schon nicht ohne Grund erstellt und bitte um weitere Ideen :)

Leute, die Frage ist doch ganz veständlich gestellt. Wir können hier über Gott und die Welt diskutieren, finde ich auch gut so. Aber es wäre doch schön, wenn mir jemand die Frage nach den Registry-Einträgen beantworten würde, die ich im Topic gestellt habe. Warum muss ich denn begründen warum ich das so machen will oder gar mich rechtfertigen oder meinen Standpunkt verteidigen? Gebt mir bitte eine Antwort auf die gestellte Frage und lasst uns danach darüber weiter diskutieren, es gibt mit Sicherheit andere Wege und Lösungen. @Gulp: Wenn du das Topic aufmerksamn durchgelesen und dann 1 min darüber nachgedacht hättest, wüsstest du was meinen Usern erlaubt ist.

Wie bereits gesagt, die Umgebung ist sehr restriktiv, das habe ich eigentlich bereits zwei mal geschrieben. Es sind sämtliche Möglichkeiten gesperrt, an die Fesplatte oder an die Netzwerkressoursen zu kommen. Das Zusammenklicken im GPO + zusätliche Einstellungsarbeiten + Testen haben mich bereits mehrere Wochen Arbeit gekostet. Nach dieser Logik bringen kugelsichere Westen auch nichts, da jemand, der Ernstes will panzerbrechende Munition oder gleich eine Panzerfaust verwendet. Man darf es dem Hacker nicht allzu leicht machen. Hier ne Hürde, da ne Hürde und schon schreckt das prozentuell gesehen einige möchtegern-Hacker ab. Es wäre cool, wenn du etwas genauer beschreibst, an welchen Stellen was im AD leseberechtigungs-technisch geändert werden soll, um den möglichst sicheren Betrieb eines Kiosk-Terminals zu gewährleisten. Ist schon alles geschehen :) Ich bin jetzt dabei, kosmetische Änderungen vorzunehmen, damit das Ganze meinen hohen Ansprüchen gerecht wird.

Hallo, wie der Titel schon sagt, bringt diese GPO Einstellung in unserer Domäne nichts. Der Button "Abmelden" ist nach wie vor da und bei einem Mausklick wird man abgemeldet. Das GPO wird auf eine OU angewendet, die den User beinhaltet, der sich trotzdem abmelden kann. Woran könnte das liegen? Gruß, bersi23

Die Umgebung ist bereits ausgesprochen stark restriktiv konfiguriert. Der User hat keinen Zugriff auf die anderen Ressourcen. Es geht um eine Kiosk-Umgebung, die u.a. von Fremden genutzt wird. Wenn jemand böse Absichten hat, ist es schon die halbe getane Arbeit, an die Accountnamen zu gelangen (z.B. wie der Administrator-Account heisst oder heissen könnte). Außerdem hat das die fremden User nicht zu interessieren, wie unsere AD Struktur aufgebaut ist, welche Gruppen es gibt etc. Ich habe das Problem vorerst gelöst, indem ich die Anzahl der Suchergebnisse auf 0 gesetzt hab. Es wäre aber wesentlich schöner, die Schaltfläche komplett auszublenden.

Wir hatten bei uns vor Kurzem das Problem, dass nach der Aufnahme des ersten W2K8R2 DCs in unsere W2K3 Domäne (nach Yusufs Anleitung!) die GPO-Replikation zwischen den DCs nicht mehr sauber lief. Bitte kontrolliere in der Ereignisanzeige unter System, ob es Fehlermeldungen von Winlogon oder ähnliches gibt. Bei uns wurde z.B. der RPC-Server nicht gefunden und dies hat zu den genannten Replikationsproblemen geführt.

Ist es möglich, mithilfe eines Registry-Eintrags die Option "Active Directory Durchsuchen" in der Netzwerkumgebung zu deaktivieren oder auszublenden? Einen funktionierenden GPO Schalter gibts ja nicht - die Schalter unter Benutzerkonfiguration > Administrative Vorlagen > Desktop > Active Directory blenden die Schaltfläche "Active Directory Durchsuchen" weder aus noch deaktivieren diese. Es hat folgenden Hintergrund: Wir haben eine stark restriktive Terminalserver-Umgebung, die User werden über Thin Clients der Marke Wyse automatisch angemeldet und haben Zugriff auf Teile von MS Office und auf den Internet Explorer. Der Rest muss komplett dicht sein. (Bitte diese Aussage nicht in Frage stellen). Ich bin mir sicher, dass es über die Registry geht, weiss aber nicht, wie der/die Schlüssel heissen und wo sie zu finden sind. Ich bin für jede Idee und/oder eine ggf. alternative Lösung dankbar.

Da bin ich wieder. Es lag an der fehlerbehafteten GPO-Replikation innerhalt der Gesamtstruktur. Es gab Probleme mit dem RPC-Server, der angeblich nicht verfügbar war... Egal, in der neuen Domäne klappt jetzt alles wie es sein soll. Danke für deine Hilfe, tesso!

Die GPO Replikation innerhalb unserer Domänenstruktur lief nicht sauber. Ich hab jetzt eine neue Gesamtstruktur angelegt und die Subdomäne von der Hauptdomäne gelöst. Ich melde mich gleich wieder, wenn ich das Ganze nochmal getestet hab.

Ich habe hier ein etwas spezielleres Problem mit einem Logon Skript, das allen Usern in einer OU per GPO eine Batchdatei zuweist. Es handelt sich um eine Batchdatei mit folgendem Inhalt: \\10.10.10.10\Scripte\script1.vbs \\10.10.10.10\Scripte\script2.vbs \\10.10.10.10\Scripte\script3.vbs \\10.10.10.10\Scripte\script4.vbs Aaalso, von Vorherein sei angemerkt, dass der UNC Pfad unter der Benutzerkonfig so aussieht: \\server\netlogon\script.bat Auch ist im selben GPO, ebenfalls unter der Benutzerkonfig unterhalb der IE Wartung eine zusätzliche Sicherheitszone konfiguriert, die 10.10.10.10 frei schaltet. Ich stehe leider vor dem folgenden Problem: Die Batchdatei wird richtig ausgeführt, wenn ich sie direkt im Userprofil angebe. Über das GPO gehts leider nicht - es tut sich nichts, keine Fehlermeldung, nichts. RSOP.MSC hilft auch nicht weiter, da ist kaum etwas zu sehen und der Abschnitt unter Internet Explorer-Wartung\Sicherheit\Sicherheitszonen und Inhaltsfilter ist ausgegraut. Wenn ich die Bachtdatei direkt am Client manuell starte, erscheint trotz der konfigurierten Sicherheitszone ein Sicherheitshinweis, denn ich bejaen muss. Das verstehe ich leider gar nicht, denn über das Userprofil klappts ja ohne diesen Sicherheitshinweis. Bitte sagt mir, wo der Fehler liegt.

Joa, soweit bin ich auch schon gekommen (In der Zeit wo niemand geantwortet hat :P). Anscheinend läuft da im Hintergrund ein von MS programmiertes VBS Script, das die PowerShell etc. beim erstmaligen Anmelden automatisch anpinnt. Ich arbeite jetzt auch mit Scripten, funzt auch super, obwol man schon etwas tricksen muss, damit das ordnungsgemäß klappt. So, muss man z.B. die "Internet Explorer.lnk" Datei manuell nach C:\ProgramData\Start Menue kopieren, damit das Script darauf zugreifen kann (ich kenne den Standardpfad leider nicht, vllt. kann man ihn von Vornherein angeben). Aber ich verstehe nach wie vor dieses komische Verhalten nicht: Normalerweise reicht es ja, einen Link irgendwohin zu kopieren, damit er sichtbar wird. Nicht aber unter \User Pinned\TaskBar. Hier sind zusätzliche RegKeys im Spiel, die das Ganze mit beeinflussen. Ich würd schon gerne möglichst genau wissen, welche Keys das sind und wo man sie findet.

Keine Ideen?

schubs

Ich stehe vor dem folgenden Problem: auf meinem RDS Server meldet sich ein neuer User zum ersten Mal an. Und bekommt auf seine Taskleiste zwei Links: PowerShell und Windows Explorer. Ich möchte gerne wissen, woher diese beiden Objekte kommen. Die Konfiguration der Taskleiste beim erstmaligen Anmelden wird ja vom Template "Default User" bestimmt. Und dort fehlt unter C:\Users\Default User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch der Unterordner \User Pinned\TaskBar. Also die Frage: Woher bekommt ein neuer User den Unterordner \User Pinned\TaskBar mit der Powershell und dem Windows Explorer (und ggf. dem Server Manager)? P.S. Die z.B. hier beschriebene Lösung bewirkt gar nichts: http://blog.sbsfaq.de/post/2011/06/06/Powershell-und-Server-Manager-Verknupfungen-in-der-Taskbar-ausblenden.aspx