HURRRZ 10 Geschrieben 14. Februar 2007 Melden Teilen Geschrieben 14. Februar 2007 hallo, durch eine GPO (mit Loopback Verarbeitung) sollen die User auf den Terminalservern ein bisschen eingeschränkt werden. Kein Wallpaper, Screensaver, Laufwerke c: und d: ausblenden, …. Sowas ist doch bestimmt mit einem WMI FIlter machbar. Leider bin ich kein Crack was WQL angeht. Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 14. Februar 2007 Melden Teilen Geschrieben 14. Februar 2007 Dafür brauchst Du keinen WMI-Filter, sicherheitsfiltern kannst Du auch mit AD-Gruppen. Die Einstellungen zur Einschränkungen kannst Du z.B. in dem Loopback-GPO einstellen, welches in der OU platziert ist, in dem sich der TS befindet ... Zitieren Link zu diesem Kommentar
HURRRZ 10 Geschrieben 15. Februar 2007 Autor Melden Teilen Geschrieben 15. Februar 2007 Dafür brauchst Du keinen WMI-Filter, sicherheitsfiltern kannst Du auch mit AD-Gruppen. Die Einstellungen zur Einschränkungen kannst Du z.B. in dem Loopback-GPO einstellen, welches in der OU platziert ist, in dem sich der TS befindet ... vielen Dank für deine Antwort. Ich versteh leider nicht genau was du meinst. Ich habe eine loopback Policy erstellt in denen diverse Einschränkungen gemacht werden. Eben zum Beispiel verschiedene Icons aus dem Control Panel verstecken. Leider gelten diese Einschränkunge jetzt auch wenn ich mich als Domain Admin an dieser Maschiene anmelde. Dieses Verhalten würde ich gerne umgehen. Ein Admin soll natürlich alle Möglichkeiten haben. Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 15. Februar 2007 Melden Teilen Geschrieben 15. Februar 2007 Du konfigurierst in diesem GPO in den Sicherheitseinstellungen, dass den Domänenadmins "Gruppenrichtlinie übernehmen" verweigert wird (Sicherheitsfilterung) ... Zitieren Link zu diesem Kommentar
HURRRZ 10 Geschrieben 15. Februar 2007 Autor Melden Teilen Geschrieben 15. Februar 2007 In der Group Policy Management Console hab ich unter "Delegation" -> "Advanced" die Permission "Apply Group Policy" bei der Gruppe Domain Admins auf Deny gesetzt. Das scheint für die Benutzer Einstellungen zu funktionieren. Computer Einstellungen werden aber dennoch ausgefürt wenn man sich als Domain Admin anmeldet. Ich kann damit leben. Aber ich kann das Verhalten nicht ganz nachvollziehen. Vielleicht weil Computer Einstellnungen schon vor der Anmeldung ausgeführt werden?? vielen dank ithome Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 15. Februar 2007 Melden Teilen Geschrieben 15. Februar 2007 Das kommt daher, weil die Computereinstellungen vom TS angewendet und das gilt für alle Benutzer, die sich dort anmelden. Mit dem Verweigern erreichst Du nur, dass Benutzereinstellungen des GPOs nicht wirken (es wird die Benutzerkonfiguration definiert und das gilt für Benutzer, Loopback sagt nur aus, dass es für die Benutzer gilt, die sich an einem bestimmten Computer anmelden und sich nicht in Reichweite der Richtlinie befinden müssen). Welche Einstellungen in der Computerkonfiguration ausser der Loopbackverarbeitung setzt Du ein ? Zitieren Link zu diesem Kommentar
HURRRZ 10 Geschrieben 15. Februar 2007 Autor Melden Teilen Geschrieben 15. Februar 2007 Welche Einstellungen in der Computerkonfiguration ausser der Loopbackverarbeitung setzt Du ein ? Administratve Templates/System/User Profiles: Add the Administrators security group to roaming user profiles: Enabled Administratve Templates/Terminal Services: Set path for TS Roaming Profiles: \\xxx\TSProfilesW2k3 Administratve Templates/Terminal Services/Encryption and Security: Set client connection encryption level: Disabled wie gesagt ich kann damit leben wenn die Computereinstellungen übernommen werden. Das jetzt die Domain Admins ein servergespeichertes Profil auf den Terminal Servern haben ist lästig aber kein Drama Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.