WTS auf Single Server

[Fraenky 10]

Hallo zusammen,

 

hab da mal wieder eine Frage. Ich soll einen Terminalserver einrichten, und habe aber für alles nur eine Hardware. Also einen Server für Fileserver, WTS, DC?, Benutzerverwaltung …

 

... ja, ich weiß, soll man nicht machen, aber leider ist kein zweiter Server drin. Die Umgebung ist nicht sehr groß, evtl. 2 – 5 User, die über VPN auf den WTS zugreifen, und ca. 3 User, die lokal arbeiten.

 

Ich weiß auch, dass man vor allem nicht WTS und DC auf ein Gerät bringen soll, aber mit einer Domäne ließe sich das mit den Rechten für die WTS-User wohl über Gruppenrichtlinien am besten gestallten.

 

Hat vielleicht jemand Erfahrungen mit einer solchen Umgebung, und kann mir da ein paar Ratschläge geben, hinsichtlich DC oder lieber AG, und wegen der Einschränkungen und Berechtigungen der WTS-User.

 

Wäre über eine paar hilfreiche Tipps sehr dankbar.

 

Danke,

Fränky

[Sunny61 773]

Wenn schon unbedingt TS, dann evtl. in einer VM. Dann tust Du dich leichter in Sachen GPOs.

[Fraenky 10]

Hi, und danke für Deine Antwort.

 

VM würde ja aber wiederum heißen, ich benötige für die eine Maschine 2 Server Lizenzen?!.

 

Das ist ebenso wenig drin wie eine zweite Serverhardware.

 

Gruß,

Fränky

[Sunny61 773]

Dann viel Erfolg: Einsatz von Gruppenrichtlinien auf einem Terminal Server

[Squire 222]

Hi,

 

ja Du benötigst zwei Server Lizenzen - es sei denn, Du hast eine Windows 2003 Enterprise Lizenz. Nebenbei - Du benötigst auch noch zusätzliche Terminalserver CALs. Die Cals, die ggf. bei einer SB/OEM Version dabei sind sind normale Server CALs (hat nix mit TS CALs zu tun!)

[Fraenky 10]

Hallo zusammen,

 

und vielen dank noch mal für die Antworten.

 

Also, ich komme nicht da herum, als dass ich das ganze alles mit einer Lizenz auf einem Server machen muss (also keine VM-Ware ect.). Das heißt also, doch alles auf einem Server ( DC und TS) :-( .

 

So, wenn ich mir den Link von Sunny anschaue, habe ich da die ein oder andere Verständnisfrage.

 

Der Normalfall (wenn der TS ein eigener Server ist) funktioniert ja so:

 

1. Ich lege eine OU "TS-Server" für alle TS-Server an und verschiebe alle TS-Server da rein

2. Ich lege eine OU "Meine User" für alle User (nicht TS-User) an, und schiebe alle User da rein

3. Für die OU TS-Server erstelle ich eine GPO und aktiviere das Loopback und stelle die Sicherheitsrichtlinien recht scharf.

4. Ich erstelle eine GPO für die Gruppe "Meine User" und stelle Richtlinien ein.

 

Meldet sich nun ein Benutzer irgendwo am Netz an, greift für ihn die GPO der User-OU.

 

Meldet er sich aber jetzt an einem TS an, dann greift durch das Loopback die GPO, die auf der OU TS-Server liegt.

 

Jetzt meine Fragen:

 

1. War das vom Verständnis und Ablauf bisher so richtig?

2. zu Punkt 1 von oben, was ist aber jetzt, wenn der TS-Server der DC ist? Den kann ich doch nicht einfach in eine andere OU (OU TS-Server) verschieben! Denn der gehört doch in den Container „Domain – Controller“ … Oder ?

3. Wenn doch (DC verschieben), welche Richtlinien greifen denn dann noch für alle User, die sich nicht an einem TS anmelden?

 

Würde mich sehr freuen, wenn mir jemand dabei etwas weiterhelfen kann.

[IThome 10]

Zu 2: Ob Du nun eine OU für alle User oder nur für die TS-User anlegst, ist ziemlich egal. Die Benutzerrichtlinien für diese User werden nur angewendet, wenn sie sich am TS anmelden (Loopbackverarbeitung auf "Ersetzen"). Alles weitere kann über Sicherheitsfilterung geregelt werden.

Zu Frage 2: Den DC lässt Du in der Default OU, erzeugst ein neues GPO und linkst es wie das Default GPO in diese OU. Existieren mehrere DCs, kann ebenfalls sicherheitsgefiltert werden.

[Fraenky 10]

Hallo IThome,

 

danke für die schnelle Antwort.

 

Ich muss noch mal nachfragen.

 

Zu 2: Ob Du nun eine OU für alle User oder nur für die TS-User anlegst, ist ziemlich egal. Die Benutzerrichtlinien für diese User werden nur angewendet, wenn sie sich am TS anmelden (Loopbackverarbeitung auf "Ersetzen").

 

Auf welche GPO wende ich die Loopbackverarbeitung an?

 

Zu Frage 2: Den DC lässt Du in der Default OU, erzeugst ein neues GPO und linkst es wie das Default GPO in diese OU.

 

Wo erstelle ich die neue GPO, und auf welche OU verlinke ich diese?

 

Sorry, aber sehe gleich vor lauter Wald keine Bäume mehr :D

[IThome 10]

Du erstellst ja ein neues GPO, welches Du in die OU des TS oder eben in die Domain Controller OU linkst. Dort stellst Du die Loopbackverarbeitung in der Computerkonfiguration und die restriktiven Einstellungen in der Benutzerkonfiguration ein. Falls die Benutzer auch Einschränkungen erhalten sollen, wenn sie sich an ihren Rechnern anmelden, dann erstellst Du noch ein GPO, konfigurierst in der Benutzerkonfiguration und linkst es in die Benutzer OU.

[Fraenky 10]

Hallo IThome,

 

vielen Dank für Deine Hilfe.

 

Es ist wie mit allem, kaum macht man etwas richtig, schon funktioniert es :D.

 

Also:

 

1. OU User erstellt

2. GPO auf OU Domain-Controller mit Loopback und Einschränkungen in der Benutzerkonfiguration

 

- Anmeldung über TS -> Einstellungen greifen.

- Anmeldung an Dom. über PC, alles wie gehabt.

 

Danke noch mals. :D :)

Fränky

[Fraenky 10]

Hallo,

 

bin da noch mal, und hätte noch eine Frage zu dem Thema.

Empfiehlt es sich, in dieser Konstellation für die TS-User mit "Verbindlichen Profilen" zu arbeiten, oder reichen ganz normale "servergespeicherte"? Wenn verbindlich, empfiehlt es sich dann für jeden User, der sich stellenweise über TS und stellenweise so an der Dom anmeldet, 2 User und Profile anzulegen, oder reicht eins (was mir am liebsten so wäre) ?

 

Danke schon mal,

Fränky