Langsam drehe ich noch durch mit diesem Terminalserver ;-(

Hi,

ich komme hier schon seit einigen Tagen nicht weiter:

Als Praktikumsaufgabe habe ich folgendes Projekt bekommen:

Windows 2000 Terminalserver mit Citrix einrichten

detailliert:

Windows 2000 Advanced Server mit SP4

- Server läuft im Anwendungsmodus

- genügend Lizenzen sind vorhanden

- Citrix Metaframe XP FR3 SP3

- Office 2000 Professional

- Acrobat Reader 6

- servergespeicherte Profile auf einem Extra Laufwerk

- Active Directory (Testdomäne = Citrix)

Testclient: Windows 2000 professional (total nackig, nur das OS) und nen Thin-Client.

Mit diesem Projekt soll ich erste Erfahrungen im Bereich Terminalserver machen, wenn alles den Wünschen meiner Vorgesetzten entspricht, wird später Windows Server 2003 eingesetzt; dabei wird die Domäne natürlich auch auf einem anderen Server verwaltet. Ist jetzt nur zu Testzwecken so.

Mit Metaframe XP habe ich erstmal den Acrobat Reader und nen paar Office Anwendungen freigegeben. Das funktioniert auch alles tadellos, so schwer war das ja nicht. Der User startet seine Program Neighbourhood und findet dort alles was er braucht, über NFuse klappt auch alles prima.

Mein Problem liegt aber hauptsächlich in dem Active Directory und in den Gruppenrichtlinien. Um euch das mal näher zu erläutern habe ich hier nen Screenshot von meiner Struktur gemacht.

Also zur Zeit sind alle Benutzer, die an Workstations arbeiten in der OU Workstations-Benutzer eingerichtet. Dieser OU habe ich eine Gruppenrichtlinie zugewiesen. In dieser Gruppenrichtlinie sind nur die Benutzerkonfigurationen festgelegt (nicht die Computerkonfigurationen. In der OU Computer sind alle Computer der Domäne aufgelistet und diese OU hat wieder eine Gruppenrichtlinie, wo die Computerkonfigurationen festgelegt sind. Des weiteren gibts eine OU Domänencontroller, wo mein Domänencontroller drin ist, Diese OU besitzt die Gruppenrichtlinie "Default Domain controller Policy" und die Gruppenrichtlinie "spezifische Terminalserver-Einstellungen". Da ich zu Testzwecken erstmal nichts an der Default Policy ändern wollte, habe ich mir eine neue Policy angelegt.

Schaltet nun ein Benutzer eine Workstation an, so werden die Computer-Richtlinien übernommen. Meldet sich nun ein Benutzer an einer Workstation an, so werden dann die Benutzerrichtlinien übernommen. Das klappt alles tadellos. Ich habe mit dem Programm gpresult.exe überprüft, welche Richtlinien übernommen werden.

Startet der Benutzer nun eine veröffentlichte Anwendung, so wird er zuerst mit seinem Benutzernamen am Server angemeldet (logisch). Nur seine Benutzerrichtlinien werden nicht übernommen (auf dem Client selber existieren sie aber). Auf dem Terminalserver arbeitet der Benutzer ständig mit den Benutzerrichtlinien, die in der "Default Domain Controller Policy" festgelegt sind, und nicht mit denen aus seiner OU.

Warum ist das so und wie kann man das ändern?

Natürlich kann ich nun dort Einstellungen vornehmen, nur gelten die dann für alle Benutzer, die sich am TS anmelden. Also auch für mich als Admin, und das ist ja nicht im Sinne des Erfinders, wenn ich als Admin mich halb ausperren muss, nur damit normale User keinen Unfug machen können.

Den Benutzern ist es laut AD gestattet, sich am Terminalserver anzumelden, und die Profilpfade stimmen auch alle. Ich hatte gestern schonmal nen Beitrag gepostet, wo ich mich gewundert habe, warum die Office 2000 Richtlinien nicht übernommen werden. Und das ist wieder das gleiche in Grün. Stehen die Richtlinien in der Workstation-Benutzer Richtlinie, so werden sie nicht übernommen, stehen sie aber in der "Default Domain Controller Policy" werden sie fein säuberlich von oben nach unten dem angemeldeten Benutzer zugewiesen.

Also ich bin mit meinem Latein am Ende.

cya

Du musst an der OU der TS (in dem Fall wohl die DC-OU) Benutzerrichtlinien einstellen und in den Computereinstellungen(!)dieser TS-Richtlinie(!) - irgenwo Compterkonfiguration/Administrative Vorlagen/.../Gruppenrichtlinien den "Loopbackverarbeitungsmodus" aktivieren, am besten dort "Ersetzen" wählen.

grizzly999

Anm: Mache doch bitte das Bild(chen) deutlcih kleiner. Danke ;)

Danke erstmal für deine schnelle Antwort,

habe das Bild mal nen bisschen verkleinert ;)

Der Loopbackverarbeitungs-Modus (was für ein Wort) ist aktiviert und an den Benutzerrichtlinien in der Default Domain Policy habe ich auch schon rumgespielt. Diese werden ja auch übernommen, wenn sich ein Benutzer am TS anmeldet (aber genau: wenn sich EIN Benutzer anmeldet).

Melde ich mich als Admin an, habe ich auch die Einschränkungen, die normalerweise nur User haben sollten. Und das darf eigentlich nicht sein.

Das ist zur Zeit mein Problem. Ich bräuchte also irgendwie nen Tipp, wie die Benutzerrichtlinien aus der Default Domain Policy nur auf Benutzer angewendet werden und nicht auf alle Benutzer.

CU ;)

Hi!

Schau einmal hier:

http://support.microsoft.com/default.aspx?scid=kb;en-us;293655

Das ist aber für Arbeitsgruppen ;)

Für diesen Fall musst du das GPO filtern. Dazu in den Eigenschaften der GPO/Sicherheitseinstellungen die Gruppe derjeneigen, die sie nicht abbgekommen sollen hinzufügen und das Häkchen bei "Gruppenrichtlinie verweigern setzen". Fertig.

BTW: 1024x768 bei 84 kB ist nicht wirklich verkleinert :shock:

Ich habe das Bild mal rauseditiert, da die Lösung ja auch schon gepostet wurde ;)

grizzly999

Wunderbar, es hat funktioniert.

Danke euch!

cya