zipster 10 Geschrieben 17. Juli 2008 Melden Teilen Geschrieben 17. Juli 2008 Hi, wir setzten jetzt seit neustem einen Terminalserver in unserem Netzwerk ein. Vorher waren es nur Workstation, jetzt sind es Workstation und ThinClients gemischt. Manche nutzen den Terminalserver und andere nicht. Wir haben per Gruppenrichtlinie eine Ordnerumleitung für das Startmenü eingerichtet. Diese passt jetzt auf dem Terminalserver leider nicht mehr so ganz. Da stellenweise neue Programme oder gar andere Programme benutzt werden. Wie z.B. statt Microsoft Office wird nun Open Office benutzt. In Unserem Fall gibt es drei Umleitungen. OU - Eingeschränkte User: Mozilla Firefox Office Betriebsinternes Programm OU - Normale User: Mozilla Firefox Office Betriebsinternes Programm Abrechnungsprogramm ... OU - Admins: Keine Umleitung Per Loopback kann man ja einstellen das die Richtlinie vom Terminalserver genommen wird statt die Standard GPO. Gibt es auch die Möglichkeit wie folgt zu sortieren? Eingeschränkte User --> Workstation = GPO Eingeschränkte-User Eingeschränkte User --> TerminalServer = GPO Eingeschränkte-TS Normale User --> Workstation = GPO Normale-User Normale User --> TerminalServer = GPO Normale-TS Habe für den TerminalServer ne eigene OU angelegt und in dieser gibt es eine Richtlinie Eingeschränkte-TS. Hab per Delegierung versuch es nur einer Gewissen Gruppe zu erlauben und einer anderen zu verbieten. Aber es geht nur wenn ich es dem TerminalServer auch erlaube... dann geht es aber leider für alle... Wie könnte ich das lösen? Gruß Zipster Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 17. Juli 2008 Melden Teilen Geschrieben 17. Juli 2008 Wo befinden sich denn die sicherheitsgefilterten GPOs bzw. wo sind sie verknüpft ? Welche Sicherheitsgruppen sind in der Filterung enthalten und mit welchen Berechtigungen ? Wird die Loopbackverarbeitung in einem separaten GPO aktiviert ? Zitieren Link zu diesem Kommentar
zipster 10 Geschrieben 17. Juli 2008 Autor Melden Teilen Geschrieben 17. Juli 2008 Wo befinden sich denn die sicherheitsgefilterten GPOs bzw. wo sind sie verknüpft ? Welche Sicherheitsgruppen sind in der Filterung enthalten und mit welchen Berechtigungen ? Wird die Loopbackverarbeitung in einem separaten GPO aktiviert ? Hoffe das sagt genügend aus. Also bei der ts_normal habe ich folgende Berechtigungen gesetzt. Verwaltung Lesen und übernehmen Pflege Lesen und übernehmen verweigert! TS01 Lesen und übernehmen (Terminalserver) Die restlichen haben nur Bearbeitungsberechtigungen Wenn ich beim TS01 übernehmen wegnehme geht es für gar keinen mehr. Ja Loopback wird in Ts_normale eingesetzt. Wenn ich es hinbekommen würde das nur die Verwaltungen die Ts_normale benutzten darf hätte ich in der gleichen OU noch eine Ts_eingeschränkte erstellt die nur die Pflege benutzten darf. Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 17. Juli 2008 Melden Teilen Geschrieben 17. Juli 2008 Ich würde ein GPO erzeugen, in dem nur die Loopbackverarbeitung auf Ersetzen und etwaige Computerrichtlinien für den TS konfiguriert sind. Für jede Gruppe würde ich ein eigenes GPO erzeugen, es für die entsprechende Benutzergruppe sicherheitsfiltern und jedes Benutzer-GPO in die OU des TS linken ... Zitieren Link zu diesem Kommentar
zipster 10 Geschrieben 17. Juli 2008 Autor Melden Teilen Geschrieben 17. Juli 2008 Ich würde ein GPO erzeugen, in dem nur die Loopbackverarbeitung auf Ersetzen und etwaige Computerrichtlinien für den TS konfiguriert sind. Für jede Gruppe würde ich ein eigenes GPO erzeugen, es für die entsprechende Benutzergruppe sicherheitsfiltern und jedes Benutzer-GPO in die OU des TS linken ... Ich möchte doch aber die Ordnerumleitung des Starmenüs auf dem TS anderes haben als an den WS. Und Ordnerumleitung ist doch nur in der in der Benutzerrichtlinie. Oder habe ich dich falsch verstanden? Zitieren Link zu diesem Kommentar
NorbertFe 1.812 Geschrieben 17. Juli 2008 Melden Teilen Geschrieben 17. Juli 2008 Ich würde ein GPO erzeugen, in dem nur die Loopbackverarbeitung auf Ersetzen und etwaige Computerrichtlinien für den TS konfiguriert sind. Für jede Gruppe würde ich ein eigenes GPO erzeugen, es für die entsprechende Benutzergruppe sicherheitsfiltern und jedes Benutzer-GPO in die OU des TS linken ... Anders geht es auch nicht, da der Loopbackmodus auf einem TS nur einmal definiert werden kann. ;) Sprich: Zwei Richtlinien in denen man den Loopbackmodus aktiviert kann man hinterher nicht wieder filtern, da der TS beide Richtlinien lesen und übernehmen können muß. Bye Norbert Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 17. Juli 2008 Melden Teilen Geschrieben 17. Juli 2008 Deswegen würde ich es ja auch so machen ... ;) Aber man könnte den Loopbackmodus auch im allgemein gültigen GPO zusammen mit den allgemein gültigen Benutzereinschränkungen definieren und den Rest der speziellen Richtlinien der Benutzer eben einzeln ... Zitieren Link zu diesem Kommentar
zipster 10 Geschrieben 17. Juli 2008 Autor Melden Teilen Geschrieben 17. Juli 2008 Jetzt bin ich total verwirrt... Also wenn ich nur ein Loopback einrichten kann dann brauch ich auch gar kein Loopback. Weil so ist mein Plan nicht umsetzbar... Das heißt wo ich die Regeln "eingeschraenkte" und "normale" habe mach ich noch mal "eingeschraenkte_ts" und "normale_ts" und die filtere ich mit der Delegierung so das es passt? Hab ich das jetzt richtig verstanden? Zitieren Link zu diesem Kommentar
NorbertFe 1.812 Geschrieben 17. Juli 2008 Melden Teilen Geschrieben 17. Juli 2008 Jetzt bin ich total verwirrt... Also wenn ich nur ein Loopback einrichten kann dann brauch ich auch gar kein Loopback. Weil so ist mein Plan nicht umsetzbar... Doch du brauchst Loopback, weil sonst deine User auf dem TS ihre Policies von der Workstation bekommen. Und die sind meist weniger restriktiv ;) Das heißt wo ich die Regeln "eingeschraenkte" und "normale" habe mach ich noch mal "eingeschraenkte_ts" und "normale_ts" und die filtere ich mit der Delegierung so das es passt? Machs so, wie ITHome schreibt. Loopback und allgemeingültige Policies in eine GPO für alle und dann je eine zusätzliche GPO auf die eingeschränkten User gefiltert und für den Rest (Admin usw.). Bye Norbert Zitieren Link zu diesem Kommentar
zipster 10 Geschrieben 17. Juli 2008 Autor Melden Teilen Geschrieben 17. Juli 2008 Also habe eben bei Delegierung der GPO "eingeschraenkte" den TS01 mit rein genommen und hab bei übernehmen verweigern eingetragen. Aber die User bekommen aufm TS immer noch die "eingeschraenkte" GPO zugewiesen. Zitieren Link zu diesem Kommentar
NorbertFe 1.812 Geschrieben 17. Juli 2008 Melden Teilen Geschrieben 17. Juli 2008 Also habe eben bei Delegierung der GPO "eingeschraenkte" den TS01 mit rein genommen und hab bei übernehmen verweigern eingetragen.Aber die User bekommen aufm TS immer noch die "eingeschraenkte" GPO zugewiesen. Bau es nochmal neu und nimm nicht deine "verkonfigurierten GPO". ;) OU Terminalserver | |-------- Loopbackmodus aktivieren GPO (authentifizierte Nutzer bleibt drin. Damit ist auch der Terminalserver betroffen) |-------- Eingeschränkte Nutzer (die Gruppe eintragen, die die GPO übernehmen soll + das Konto des TS-Authentifizierte Nutzer) |-------- Normale Nutzer (die Gruppe eintragen, die die GPO übernehmen soll + Konto des TS -Authentifizierte Benutzer) Wenns noch nicht funktioniert melde dich nochmal Bye Norbert Zitieren Link zu diesem Kommentar
zipster 10 Geschrieben 17. Juli 2008 Autor Melden Teilen Geschrieben 17. Juli 2008 So wie es im Moment aussieht funktioniert es... EIN TRAUM! Genau so wie ich es wollte... Und so sieht es jetzt aus. VIELEN DANK euch zwei.:D:D Zitieren Link zu diesem Kommentar
NorbertFe 1.812 Geschrieben 17. Juli 2008 Melden Teilen Geschrieben 17. Juli 2008 So wie es im Moment aussieht funktioniert es... EIN TRAUM! Genau so wie ich es wollte... Du hast doch nicht an uns gezweifelt, oder? ;):suspect: Bye Norbert Zitieren Link zu diesem Kommentar
zipster 10 Geschrieben 18. Juli 2008 Autor Melden Teilen Geschrieben 18. Juli 2008 Nein! :D An mir habe ich gezweifelt ob ich es hin bekomme ;) Liebe Grüße Zipster Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.