Jump to content
Sign in to follow this  
Canni

Terminalserver: Gruppenrichtlinien machen Anmeldung langsam

Recommended Posts

Hallo zusammen,

 

wir haben einen kleinen Windows 2003 Server R2 Terminalserver, auf den die User remote zugreifen.

 

Wenn ich jetzt unterhalb der Domäne eine OU erstelle und in diese OU verschiedene reinstecke, dann dauert für diese User die Anmeldung ca. 10 Sekunden länger, als bisher.

 

Was habe ich falsch gemacht?

 

 

 

Liebe Grüße

Canni

Share this post


Link to post
Share on other sites

Hallo,

 

danke für die Antwort!

 

Also es handelt sich um einen DC, der gleiczeitig als Terminalserver fungiert. Sorry, ICH habs nicht aufgesetzt, das war ne Softwarefirma. Wir haben sonst auch keine Clients angebunden oder so, der einzige Zugriff auf den Server erfolgt via Remotedesktopverbindung. Ca 10 User.

 

An oberster Stelle in der Konsolenansicht habe ich die Default .... Policy ... rausgelöscht.

 

Dann habe ich unterhalb des Domänennamens eine OU "User" angelegt, auf die ich eine neue Gruppenrichtlinie gelegt habe. Die greift also nur für die User, die dort drin sind. Habe einerseits in den Computer- und andererseits in den Benutzereinstellungen Anpassungen vorgenommen.

 

Ist es normal, dass diese Gruppenrichtlinie die Anmeldung immer sooo viel langsamer macht (ca. 10 Sekunden länger) ... ?!

 

Was habe ich falsch gemacht? Oder is das normal so?

 

Ich weiss, dass das so nicht die feine Art ist mit DC + TS auf einer Maschine. Doch ich habs nicht angelegt und kann es jetzt auch nimmer ändern, immerhin läuft da (von der Softwarefirma her) David! drauf und der braucht nunmal ne Domäne mit DC ...

 

 

danke für alle Hilfen!!

 

Canni

Share this post


Link to post
Share on other sites

Hi, danke für die Antwort!

 

Ja, hatte ich! Hab sie aber vor wenigen Tagen gelöscht, um rauszufinden, obs dadurch schneller geht --> nein.

 

Wenn ich "Active Directory-Benutzer und -Computer" aufrufe und dort die Domäne "name.local" mit der rechten Maustaste anklicke --> Eigenschaften --> dann auf den Reiter "Gruppenrichtlinien" dann sehe (sah!) ich dort eine Default Domain Policy!

 

Weshalb darf das so nicht sein?

 

Ich habs jetzt eben so gemacht, dass ich unterhalb von "name.local" eine OU erstellt habe, der ich dann eine neue Gruppenrichtlinie zugewiesen habe. Die Richtlinie soll natürlich nur für die darin enthaltenen User wirken! War das falsch?

 

Danke vielmals!

 

Nachtrag: auch in "Domain Controllers" unterhalb von "name.local" gibt es eine Default Domain Controllers Policy! ?!??!?!?!!?!?!?!?!?!

Share this post


Link to post
Share on other sites

Ich denke auch, dass Du den geposteten Artikel mal durcharbeiten solltest. Gerade mit einem DC, der dann auch noch Terminalserver ist, wird die Konfiguration von Richtlinien für User des Terminalservers etwas komplizierter (Stichwort Loopbackverarbeitung angewendet in der Domain Controllers OU)

Share this post


Link to post
Share on other sites

Hallo,

 

danke für die Antworten! Den Artikel kenne ich schon, werde ihn aber noch einmal durchlesen. Naja, es ist eben so, dass ich dachte, dass das Loopbackverarbeitungsmodus-Ding :-) mich nicht tangiert, weil wir eben keine Clients angebunden haben. Und ich muss sagen, es funktioniert ja so, die Gruppenrichtlinien greifen nur für die entsprechenden User.

 

Die Default Domain Policy kann ich wieder einfügen, hab sie nur rausgetan, nicht aber das Objekt gelöscht.

 

Als Domain Controlers Policy hab ich etwas angepasst, z.B. dass auch Fehlgeschlagene Anmeldeereignisse und - versuche protokolliert werden. So in Ordnung?

Share this post


Link to post
Share on other sites

Hi, das hab ich ja schon oft gelesen, bezieht sich aber ja auf Terminalserver, die KEINE Domaincontroller sind? Unser TS ist ja praktisch ein DC für sich selbst, da keine Clients angebunden sind, verstehst? Danke!

Share this post


Link to post
Share on other sites

Du hast schon recht, wenn Du keine Clients hast, die Richtlinien verarbeiten können, kannst Du die Richtlinien auch in einer OU linken, in denen sich die Benutzer befinden. Also einfach eine neue OU erstellen und aller User des TS dorthin verschieben. Dann konfigurierst Du eine Richtlinie und linkst sie dort hinein ...

Loopbackverarbeitung bezieht sich auch auf Server, die DCs sind. Loopbackverarbeitung hat nicht zwingend etwas mit Terminalservern zu tun, wird in diesem Anwendungsgebiet aber häufig eingesetzt ...

Share this post


Link to post
Share on other sites

Hi ITHome, vielen Dank für Deine Antwort, hat mir sehr geholfen, denn es hat mir gezeigt, dass ich doch nicht ganz so falsch liege ... :-)

 

Klar ist, dass man in unserem Falle doch eigentlich keinen DC benötigen würde; den hat der EDV-Typ nur deshalb aufgesetzt, weil dieses eMailprogramm (DAVID) das so benötigt. Seht ihr das auch so?

 

Der Loopbackverarbeitungsmodus wird auch z.B. an Kiosk-Systemen etc. eingesetzt, korrekt? Überall dort eben, wo eine meist restriktivere Richtliniengebung erforderlich ist.

 

Doch in unserem Fall hat es doch keinen Wert, das ganze mit Loopbackverarbeitungsmodus zu konfigurieren, zumal hier keine Clients angebunden sind und auch nicht angebunden werden! --> Und die Frickelei mit den Berechtigungen, damit sich die Administratoren nicht selbst einschänken spare ich mir ?!

 

--> Frage ist aber nach wie vor, ob das normal ist, dass die Benutzeranmeldung doch deutlich länger dauert, als ohne GPs .... und ob das mit Loopbackmethode anders wäre?

 

Achja, die Default Domain Policy hab ich wieder verknüpft :-)

Share this post


Link to post
Share on other sites

Das Active Directory lohnt sich alleine schon deswegen, weil Du OUs erzeugen kannst und dann die User mit Richtlinien einschränken kannst. Auf einem Standalone-Server ist das sehr umständlich. Der Loopbackverarbeitungsmodus wird immer dann eingesetzt, wenn auf einem bestimmten Computer gewisse Benutzereinschränkungen gelten sollen, die für den User an einem anderen Computer nicht gültig sein sollen (z.B. TS oder ein Kiosk-System). Ob es Probleme bei der Verarbeitung der Gruppenrichtlinien gibt, kannst Du in der Ereignisanzeige des DCs sehen. Ebenso kannst Du mit RSOP.MSC sehen, ob alles angewendet wird oder nicht. Du kannst auf dem DC auch den USER PROFILE HIVE CLEANUP SERVICE installieren, der Probleme mit nicht ordnungsgemäss entladenen Profilen behebt. Mir ist aber noch nie aufgefallen, dass sich die Anmeldezeit deutlich verlängert, nur weil Gruppenrichtlinien angewendet werden. Was stellst Du denn ein ?

Share this post


Link to post
Share on other sites

Hi, danke für die schnelle Antwort! Habe den User Profile Hive Cleanup Service schon länger installiert, wegen der Klassenregistrierungsdatei etc ... ... Du kennst das ja :-)

 

Naja, also angewendet wird sie meines wissens schon, muss es nochmal mit RSOP.MSC überprüfen ... sind schon einige Einstellungen ... hmm .. mal schauen was man rausnehmen kann.

 

Ja also bei mir ist der Loopbackverarbeitungsmodus NICHT aktiviert, so in Ordnung?

 

Danke!

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...