cebo 10 Geschrieben 7. Februar 2007 Melden Teilen Geschrieben 7. Februar 2007 Hallo, ich möchte mit der OU WTS Sitzungen sperren. Die Richtlinie ist entsprechend eingerichtet, unter anderem ist Loopback aktiviert. In den Sicherheitseinstellungen der Richtlinie ist u.a. eine Sicherheitsgruppe angelegt. Das Häkchen Gruppenrichtlinie übernehmen und schreiben ist gesetzt. Unter der Registerkarte Mitglieder der Sicherheitsgruppe sind diverse User eingetragen. Die Sicherheitsgruppe ist in der Lokalen Domänenrichtlinie und in Eigenschaften von RDP-Tcp eingetragen. Die eingetragenen User können sich auch am TS anmelden aber die Richtlinien werden ncht angewendet. Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 7. Februar 2007 Melden Teilen Geschrieben 7. Februar 2007 Gruppenrichtlinie lesen auch erlaubt ? Darf der TS diese Richtlinie auch lesen und übernehmen (sonst wird es nichts mit der Loopbackverarbeitung) ? Die Sicherheitsgruppe ist in der lokalen Domänenrichtlinie eingetragen ?? Wo da, in welcher Einstellung ? Was genau hast Du wo eingestellt ? Zitieren Link zu diesem Kommentar
cebo 10 Geschrieben 7. Februar 2007 Autor Melden Teilen Geschrieben 7. Februar 2007 moin, also ehrlich gesagt habe ich mich streng an diese So sperren Sie eine Windows 2000-Terminalserversitzung Anleitung i.V.m. dieser Gruppenrichtlinien - Übersicht, FAQ und Tutorials Anleitung gehalten. Mehr habe ich eigentlich nicht eingetragen. Der TS ist nur ein Mitgliedsserver. Die lokalen Einstellungen sollten von den Gruppenrichtlinien doch überlagert werden. So isz es jedenfalls mit den lokalen Anmeldeberechtigungen. THX Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 7. Februar 2007 Melden Teilen Geschrieben 7. Februar 2007 Ja, der TS ist in einer OU, in dieser OU wird die Loopbackrichtlinie gelinkt und ebenso die Benutzereinstellungen. Die Loopbackrichtlinie muss so konfiguriert werden, dass der TS diese Richtlinie lesen und übernehmen darf, die Benutzerrichtlinie muss von den Benutzern gelesen und angewednet werden dürfen ... Wieso lokale Domänenrichtlinie und RDP-TCP Objekt ? Wegen der Anmeldung am TS ? Warum nicht die Remotedesktopbenutzer ? Zitieren Link zu diesem Kommentar
cebo 10 Geschrieben 7. Februar 2007 Autor Melden Teilen Geschrieben 7. Februar 2007 Ja, der TS ist in einer OU, in dieser OU wird die Loopbackrichtlinie gelinkt und ebenso die Benutzereinstellungen. Die Loopbackrichtlinie muss so konfiguriert werden, dass der TS diese Richtlinie lesen und übernehmen darf, die Benutzerrichtlinie muss von den Benutzern gelesen und angewednet werden dürfen ...Wieso lokale Domänenrichtlinie und RDP-TCP Objekt ? Wegen der Anmeldung am TS ? Warum nicht die Remotedesktopbenutzer ? Hi, der TS ist in den Sicherheitseinstellungen der Richtline aufgeführt, das Häkchen Gruppenrichtlinie übernehmen ist gesetzt, ebenso lesen. Mit den gleichen Einstellungen ist die Sicherheitsgruppe dort eingetragen. In RDP_TCP des TS ist die Sicherheitsgruppe auch eingetragen.... warum? k.A., weil es so in der Anleitung steht. Soll ich dort die einzelnen Benutzer eintragen? Wie gesagt, anmelden können sich die in der Sicherheitsgruppe angemeldeten Mitglieder, nur die Richtlinie wird nicht berücksichtigt. THX Cebo Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 7. Februar 2007 Melden Teilen Geschrieben 7. Februar 2007 Eigentlich brauchst Du die Benutzer nur in die Gruppe Remotedesktopbenutzer stecken, damit sie sich am TS anmelden können. Die Gruppe Remotedesktopbenutzer hat das Benutzerrecht "Anmelden über Terminaldienste zulassen" und ist ebenso im RDP-TCP Verbindungsobjekt berechtigt. Diese beiden Dinge haben aber absolut nichts mit der Einschränkung via Richtlinie zu tun, dort geht es nur darum, wer sich überhaupt am TS anmelden kann. Wo befindet sich das Computerkonto des TS im Active Directory und wo hast Du die Loopbackrichtlinie verknüpft ? Sind in der Loopbackrichtlinie auch Benutzereinstellungen definiert oder gibt es dafür eine eigene Richtlinie ? Wenn ja, wo ist diese verknüpft ? Zitieren Link zu diesem Kommentar
cebo 10 Geschrieben 7. Februar 2007 Autor Melden Teilen Geschrieben 7. Februar 2007 Eigentlich brauchst Du die Benutzer nur in die Gruppe Remotedesktopbenutzer stecken, damit sie sich am TS anmelden können. Die Gruppe Remotedesktopbenutzer hat das Benutzerrecht "Anmelden über Terminaldienste zulassen" und ist ebenso im RDP-TCP Verbindungsobjekt berechtigt. Diese beiden Dinge haben aber absolut nichts mit der Einschränkung via Richtlinie zu tun, dort geht es nur darum, wer sich überhaupt am TS anmelden kann. Wo befindet sich das Computerkonto des TS im Active Directory und wo hast Du die Loopbackrichtlinie verknüpft ? Sind in der Loopbackrichtlinie auch Benutzereinstellungen definiert oder gibt es dafür eine eigene Richtlinie ? Wenn ja, wo ist diese verknüpft ? Ahh..das Computerkonto des ts "Nadja" ist grundsätzlich unter Domäne/Computers angelegt. Der ist dort durch den Domänenbeitritt automatisch angelegt worden. Die neue OU "OU_Terminalserver" ist unter Domäne/ angelegt. Dort wurde die Gruppenrichtlinie "Richtlinien_Terminalserver" implementiert. In dieser Richtlinie ist das Loopback aktiviert. In dieser Richtlinie sind unter Benutzerkonfiguration diverse Einstellungen nach dieser Vorlage So sperren Sie eine Windows 2000-Terminalserversitzung gemacht worden. In dieser OU ist auch die neue globale Sicherheitsgruppe "TerminalServer User" angelegt worden. In diese Sicherheitsgruppe wurden einzelne Benutzer aus Domäne/User als Mitglieder aufgenommen. In den Sicherheitseinstellungen der Richtlinien _Terminalserver sind DomänenAdmins, der TS, System, und die neue Gruppe "TerminalServer User" angelegt. Hier hat der TS und die neue Gruppe die Berechtigung "Lesen" und "Gruppenrichtlinie übernehmen". Bei den Anderen ist "Lesen, Schreiben, Objekte erstellen, Objekte löschen" aktiviert. Die Berechtigung zur Anmeldung der Gruppe wurde in der Default Domain Policy realisiert. Ich danke Dir für Deine Geduld. Grüsse Cebo Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 7. Februar 2007 Melden Teilen Geschrieben 7. Februar 2007 Ähm, funktioniert es jetzt, nachdem Du das Computerkonto des TS in die OU geschoben hast, in der die Richtlinie existiert ? Eventuell noch mit GPUDATE nachgeholfen ? Zitieren Link zu diesem Kommentar
cebo 10 Geschrieben 7. Februar 2007 Autor Melden Teilen Geschrieben 7. Februar 2007 Ähm, funktioniert es jetzt, nachdem Du das Computerkonto des TS in die OU geschoben hast, in der die Richtlinie existiert ? Eventuell noch mit GPUDATE nachgeholfen ? Habe das Computerkonto in OU_Terminalserver verschoben, funktioniert nicht. Was meinst Du mit GPUDATE? Was muss ich machen? THX Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 7. Februar 2007 Melden Teilen Geschrieben 7. Februar 2007 GPUPDATE eingeben (auf dem TS), danach RSOP.MSC ausführen und nachschauen, ob die Richtlinien angewendet werden ... Zitieren Link zu diesem Kommentar
cebo 10 Geschrieben 7. Februar 2007 Autor Melden Teilen Geschrieben 7. Februar 2007 GPUPDATE eingeben (auf dem TS), danach RSOP.MSC ausführen und nachschauen, ob die Richtlinien angewendet werden ... bekomme die Fehlermeldung GPUPDATE konnte nicht gefunden werden Zitieren Link zu diesem Kommentar
Hirgelzwift 10 Geschrieben 7. Februar 2007 Melden Teilen Geschrieben 7. Februar 2007 hast du irgendwas an den berechtigungen des "authentifizierten benutzers" geändert? edit: W2K gab es noch kein GPUPDATE Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 7. Februar 2007 Melden Teilen Geschrieben 7. Februar 2007 Achso, ein W2K, dann SECEDIT /REFRESHPOLICY MACHINE_POLICY /ENFORCE Zitieren Link zu diesem Kommentar
cebo 10 Geschrieben 7. Februar 2007 Autor Melden Teilen Geschrieben 7. Februar 2007 :jau::jau::jau::jau::jau::jau::jau::jau::jau::jau: ich kann hier leider nicht mehr Symbole anklicken sonst würde ich die ganze Seite voll machen vor Freude. Danke Dir und viele Grüsse aus Neuss Cebo Zitieren Link zu diesem Kommentar
Hirgelzwift 10 Geschrieben 7. Februar 2007 Melden Teilen Geschrieben 7. Februar 2007 was war denn nun die lösung? Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.