Terminalserver & Gruppenrichtlinie

[Volker Racho 10]

Hallo Leute!

 

Ich habe einen Win2K3-Server mit TS installiert. ADS ist nicht installiert, somit ist der TS ein reiner Memberserver, richtig?

 

Jetzt möchte ich den Server für die TS-Nutzer abdichten, jedoch für mich als Admin offen halten. Dazu habe ich unter Einsatz von Gruppenrichtlinien auf einem Terminal Server eine an sich gute Anleitung gefunden aus der ich aber dennoch nicht recht schlau werde.

 

Der Server ist ja auch lt. o.g. Empfehlung KEIN Domaincontroller. DC in irgendeiner Form ist der Server aber erst dann, wenn ADS installiert ist, sagt zumindest MS: http://support.microsoft.com/kb/238369/de. Richtig?

 

Oder kann ich ADS installieren ohne den Server zum DC zu machen? Das würde einige Dinge erklären. Z.B.:

 

1)

"Es existiert eine eigene OU, in der nur TerminalServer Computerkonten (~Objekte) sind."

 

Wie erstellt man eine OU, wenn doch kein Active Directory installiet ist? Ich kann dann doch lediglich über die lokale Nutzerverwaltung eine "Gruppe" erstellen und mit Benutzern füllen.

 

2)

Man erstellt eine eigene Sicherheitsgruppe für die Terminal-Server Benutzer (Bsp. TerminalServer User)

 

In den Sicherheitseinstellungen der Richtlinie entfernt man die Gruppe "Authentifizierte Benutzer", den zu dieser gehören auch die Administratoren, es sind nun mal alle die sich in der Domäne "authentifiziert" haben

 

Man fügt die Sicherheitsgruppe "TerminalServer User" und den TerminalServer als Computerkonto hinzu und gibt ihnen das Recht "Lesen" und "Gruppenrichtlinien übernehmen", somit ist sichergestellt, daß nur Mitglieder der Gruppe Term-User die Richtlininie übernehmen können.

 

Den Administratoren und dem System wird die Übernahme der Gruppenrichtlinie entfernt.

 

a) Wo erstellt man eine eigene Sicherheitsgruppe ohne ADS?

b) Wo kann ich die Sicherheitseinstellungen der Richtlinie einsehen? Sicherheitseinstellungen haben Richtlinien doch auf Servern ohne ADS gar nicht. Hier gilt doch die lokale Richtlinie via gpedit.msc

 

 

?????????????????????????????????????????????????????????????????????????????

 

 

Oder ist das etwa so gemeint:

 

Ich habe meinen normalen Win2K3-Domänen Controller (DC) für die Domäne (FIRMA) und meinen rein als Win2K3-Server aufgesetzten Terminalserver (TERM, ohne ADS, ohne DNS), der Mitglied der Domäne FIRMA ist.

 

 

• Ich erstelle auf dem DC eine OU "TerminalServer".
   
  
• In diese OU packe ich das Computerkonto "TERM".
   
  
• Ich erstelle eine Sicherheitsgruppe "TerminalServer User". Und erstelle dort auf dem Reiter "Eigenschaften" eine neue Richtlinie "TS-Benutzung".
   
  
• Auf dem Reiter "Sicherheit" der Richtlinie "TS-Nutzung" lösche ich die "Authentifizierten Benutzer" und "Adminstratoren" heraus und füge "TerminalServer User" und "TerminalServer" jeweils mit dem Recht zu "Lesen" und die "Gruppenrichtlinie übernehmen" hinzu.
   
  
• Dann definiere ich die neue Richtlinie "TS-Nutzung" mit den genannten Vorgaben für TS, also wie von MS empfohlen und von "gruppenrichtlinien.de" vorgeschlagen.
  

 

 

Ich habe das bis jetzt nicht ausprobiert, da ich unseren DC nicht lahmlegen will.

Kann mir jemand sagen, ob das so richtig ist und ob ich es richtig verstanden habe?

 

Danke MoD

[IThome 10]

Das untere trifft es fast :

Du erstellst eine Richtlinie mit Einschränkungen und berechtigst die entsprechenden Gruppen, diese Richtlinie anzuwenden oder nicht. Loopbackverarbeitungsmodus muss in der Richtlinie oder zumindest in einer Richtlinie, die den TS in ihrer Reichweite hat, eingestellt sein. Diese Richtlinie wird in die OU gelinkt, in der sich nur das Computerkonto des TS befindet. Du kannst auch die Authentifizierten Benutzer da drin lassen und nur gewissen Gruppen (Domänen-Admins z.B.) das Übernehmen der Richtlinie verweigern. Wenn Du die Authentifizierten Benutzer einfach löschst, wird auch der TS selbst die Richtlinie nicht mehr übernehmen, da auch er Mitglied der Authentifizierten Benutzer ist (er muss wenigstens den Computerteil mit der Loopbackeinstellung anwenden) ...

edit: oh, sehe gerade, dass Du oben auch dem Terminalserver Berechtigungen gibst, also zählt der letzte Satz nicht :)

[Volker Racho 10]

Danke schonmal für Deine flote Antwort, IThome!

 

Tut mir leid, dass ich nochmals **** nachhacken muss, aber ich will das verstehen und klar kriegen. GR sind nämlich noch nicht so meine Stärke.

 

a) Auf dem TS ist KEIN ADS, DNS usw. Die reine Win2K-Installation mit TS-Dienst als Domainenmitglied FIRMA, richtig?

b) Der Loopbackmodus wird WO eingestellt? Auf dem TS oder dem Dc oder beiden?

c) Die Richtlinie "TS-Nutzung" wird auf dem DC für die Gruppe "TerminalServer User" erstellt und "Terminal Server" und "TerminalServer User" werden mit "Gruppenrichtlinie übernehmen" beaufschlagt, richtig?

 

MoD

[IThome 10]

a: korrekt, er ist nur Member

b: das wird in der Gruppenrichtlinie im Active Directory eingestellt (auf dem DC), die in die OU mit dem Terminalserver gelinkt wird. Computerkonfiguration - Administrative Vorlagen - System - Gruppenrichtlinien - "Loopbackverarbeitungsmodus für Benutzerrichtlinien" in der Regel auf Ersetzen.

c: das kannst Du so machen, Du kannst aber auch alles auf Default lassen und nur bei den Domänenadmins die Berechtigung "Gruppenrichtlinie übernehmen" auf Verweigern stellen.

Muss Dir übrigens nicht leid tun, wenn Du Fragen hast, also einfach fragen und gut :)

[Volker Racho 10]

Danke,

ich fühle mich erhellt und glaube, ich habe es begriffen. Werde ich am Montag gleich ausprobieren.

 

Na, ich modereiere selber fünf Foren, eines mit ähnlicher Aufgabe, wie dieses hier, und da werden die Profis unter den Nutzern oft etwas unwirsch, wenn Neulinge etwas "Selbstverständliches" fragen.

 

 

Schöne WE soweit!

MoD

[Volker Racho 10]

Hallo IThome!

 

Vielleicht kannst Du mir nochmals weiterhelfen. Leider übernimmt der Terminalserver (DWM-197) nicht die Einstellungen die ich auf der Richtlinie auf der OU-Gruppe "Terminalserver" (in der die Benutzergruppe "Terminalserver Nutzer" und der TS, also DWM-197, sind) übernehmen. Ich habe mit dieser Richtlinie versuchshalber mal nur "Netzwerkumgebung und Arbeitsplatz auf dem Desktop anzeigen" für die TS-Nutzer unterbunden. Ihc habe mit gpupdate/force die Übernahme der Richtlinie auf dem TS und auf dem DC forciert und beide neu gestartet. Die DNS-Auflösung (nslookup) von Seiten des TS und des DC sind korrekt. Auf dem TS-Remotedesktop wird aber weiterhin die Netzwerkumgebung und der Arbeitsplatz auf dem Desktop angezeigt.

 

 

Ich habe es jetzt so eingerichtet und hoffe richtig oder Du kannst ersehen, wo ich falsch liege:

 

(Bild 1) OU "Terminalserver" erstellt. Darin die Sicherheitsgruppe "Terminalservernutzer" erstellt, der generell die Remotedesktopbenutrzer und eine Vesuchsperson, die ich für die TS-Anmeldung benutze, angehören. Weiterhin habe ich dahinein den TS (DWM-197) geschoben.

 

Auf den "Eigenschaften von Terminalserver"/Gruppenrichtlinie habe ich eine Gruppenrichtlinie "Terminalservernutzung" neu erstellt.

 

(Bild 2) Wiederum auf den Eigenschaften dieser "Terminalservernutzung"-Richtlinienverknüpfung habe ich die Sicherheitsberechtigungen für die "Terminalserver-Nutzer" und die Remotedeskztopbenutzer auf 'Lesen' und 'GRL übernehmen' gesetzt. Für Admins habe ich 'GRL verweigern' angehackt und die Authentifizierten Benutzer ganz rausgenommen.

 

(Bild 3) für die Richtlinienbearbeitung von "Terminalservernutzung" habe ich neben dem Loopbackverarbeitsungsmodus (ersetzen) eben nur die Eigenschaften zum Ausblenden der beiden Symbole auf dem Desktop angehackt.

 

Kannst Du mir sagen, wo mein Fehler liegt?

 

Gruß,

MoD

 

 

P.S.: Diese Dateianhangsrestriktionen sind ja einen Gruppenrichtlinie für sich.

[IThome 10]

Ohne die Bilder jetzt sehen zu können, hast Du in der Gruppe Terminalservernutzer auch das Computerkonto des Terminalservers ? Besser wäre, wenn Du in der Sicherheit des Gruppenrichtlinienobjektes zusätzlich zur Gruppe der Terminalservernutzer das Objekt des Terminalservers zufügst und ihm auch die Berechtigung Lesen und Gruppenrichtlinie übernehmen gewährst (er muss lesen und übernehmen dürfen, da sonst die Loopbackverarbeitung nicht angewendet wird) ...

Die Gruppe muss nicht in der OU sein, sie kann sich irgendwo befinden ...

[Volker Racho 10]

Sind die Anhänge zu kristallin?

 

Das Einbinden des Computerkontos habe ich jetzt nachgeholt und beide Server mehrfach (nach Feierabend) neu gestartet. Der TS will um keinen Preis diese GRL annehmen. Zwar läuft in einer Command-Box ein kurzes Script ab, aber die in der GRL für die Terninamserver Nutzer gemachten Einstellungen, werden nicht umgesetzt, weder bei der Direkt- noch bei der Remoteanmeldung. Grrrr!

 

Wo könnte ich was Wichtiges übersehen haben?

 

 

MoD

[IThome 10]

Loopback hast Du ja in diesem GPO gesetzt, wo sind die Benutzereinstellungen gesetzt, ebenfalls in diesem GPO ? Gewähre testweise mal der Gruppe "Authentifizierte Benutzer" die Berechtigung Lesen und Gruppenrichtlinie übernehmen ...

[Volker Racho 10]

Ja, Loopbackmodus in der Gruppenrichtlinie für eben diese OU gesetzt. Auch die einschränkenden Einstellungen. Jetzt habe ich die Authentifizierten Benutzer noch mit reingenommen, den TS neu gestartet, jedoch tut sich nichts. Alles genau wie vorher.

Das gibt's doch gar nicht. Bin ich zu ****?

 

Ich habe nun auch nochmal die erzeugten Benutzerprofile auf dem TS gelöscht - ebenfalls ohne Belang.

 

Muß ich auf dem TS denn generell vielleicht auch der Loopbackmodus eingeschaltet werden?

[IThome 10]

Generell nicht, wenn aber in der OU des Terminalservers kein Benutzerobjekt vorhanden ist, Du dort ein GPO linkst, in dem Benutzereinstellungen konfiguriert sind, dann muss die Loopbackkonfiguration aktiv sein ...

Loopback wird benutzt, wenn gewisse Einstellungen für Benutzer gelten sollen, die sich an einem bestimmten Computer anmelden ...