Jump to content
Sign in to follow this  
Concept

GP für User Vertrauter Domain

Recommended Posts

Hallo zusammen,

 

wie kann man es realisieren User in ihren rechten zu beschneiden wenn ich diese nur via Globaler Gruppe aus einer Vertrauten Domain in meinem AD habe? Dafür muss es doch auch eine Möglichkeit geben? Gruppenrichtlinien werden ja nicht auf Globale Gruppen angewandt. Ziel ist es Sie bei der Anmeldung an Terminalserver zu beschränken.

 

Danke schon mal.

 

Gruß Dennis

Share this post


Link to post

D.h. du willst dass sich diese User nicht am TS anmelden dürfen?

Dann machst eine GPO für TerminalServer, falls es noch keine gibt und unter Computerkonfiguration => Windows-Einstellungen => Sicherheitseinstellungen => Lokale Richtlinien => Zuweisen von Benutzerrechten => Anmeldung über Terminaldienste verweigern...

 

Dort die Gruppe rein und ferdisch ;)

Share this post


Link to post

Leider nicht so einfach. Genau diese User sollen sich anmelden können, nur habe ich die User Konten ja nicht in meinem AD. Folglich kann ich die User ja nicht mir Terminalserver Profilen ausstatten oder in Ihren Rechten auf dem Terminalserver beschneiden (Systemsteuerung öffnen, Netzwerk durchsuchen etc.)

 

Domain A______________Domain B

 

globale Guppen_________Terminalserver

->User Account_________Domain Lokale Gruppen

______________________->(inhalt globale Gruppen aus A)

 

Das ich die User über die Verzeichnisberächtigung beschränken kann ist, nur wie gesagt, wie sieht es mit Terminalserver Profilen aus oder das beschränken Ihrer Terminalserver Umgebung?

 

Problem erkannt?

Ist mein Vorhaben nicht umsetzbar? oder einfach nur nicht so einfach zu lösen?

Share this post


Link to post

Ist umsetzbar und einfach zu lösen.

Per GPO kannst du in der Computerkonfiguration unter Terminaldienste den "Pfad für servergespeicherte Profile der Terminaldienste festlegen". Andere Anpassungen kannst du doch ebenfalls per GPO einstellen. (Loopbackmodus nicht vergessen.)

Share this post


Link to post

Danke erstmal für die Antwort, bin leider jetzt erst dazu gekommen es zu testen. Ich habe auch soweit eigentlich alles hin bekommen, also ts-profile/basis Ordner Umleiten, Login Script. Was ich jetzt leider nicht besser hin bekommen habe ist, dass die Benutzer weiter eingeschränkt werden können oder? Also damit meine ich in den Gruppenrichtlinien den Teil für Benutzer, z.b. Internet-Explorer ausblenden, Netzwerkumgebung ausblenden...

 

Oder gibt es hierfür auch eine Lösung?

 

@Stephan: Danke für deine Tipps

Share this post


Link to post

Zu dem Modus hab ich mir schon was durchgelesen, ich habe nur das Problem, dass die User wie gesagt nicht in meiner Domain liegen. Die User Stammen aus einer Vertrauten Domain, sind für mich also nur über Globale Gruppen erreichbar, wenn du verstehst wie ich das mein.

 

Ich will damit sagen, ich habe zwar Berechtigungen für die User Vergeben, diese werden aber nicht verarbeitet und da liegt im Moment das Problem :(

Share this post


Link to post

Dafür ist der Loopbackmodus ja da. Er wirkt auf Computerobjekte und die Übernahme für die einzelnen Benutzer/Gruppen wird über Sicherheitsfilterung realisiert. Das GPO wird mit den TS verknüpft und nicht mit den User-Accounts.

Share this post


Link to post

Das hört sich ja erstmal gut an, dann hab ich da wohl was falsch verstanden. Nur worauf muss ich die User config dann verlinken? auch auf die TS OU? das hab ich eigentlich gemacht, die einstellungen werden aber nicht gezogen.

Share this post


Link to post

So jetzt habe ich mich schon ne weile mit dem Loopback Modus beschäftigt, nur leider werden die Richtlinien immer noch nicht gezogen. Muss die Globale Gruppe der User aus der anderen Domain vielleicht noch irgenwo Zugriff haben?

Wenn ich mich mit einem User aus meiner Domain auf dem TS Anmelde wird das User Profil auch beschränkt, gehe ich mit einem User auf den Terminalserver, der nicht aus meiner Domain ist passiert das nicht.

Der User Account aus der anderen Domain ist bei mir nur Mitglied einer Terminalserver berechtigten Gruppe. Diese Gruppen habe ich bei den Gruppenrichtlinien auch schon hinzugefügt und mit der Berechtigung "Gruppenrichtlinien Übernehmen" ausgestattet. Das führt leider auch nicht zum Erfolg.

Ansonsten ist das mit dem Loopback Modus genau das was ich brauche.

Wo könnte den Usern die Berechtigung fehlen, jemand eine Idee?

Share this post


Link to post

Stimmt gibt eine Meldung:

Der Computername kann nicht ermittelt werden. (Zugriff verweigert ). Die Verarbeitung der Gruppenrichtlinie wurde abgebrochen. ID: 1055

Welches Konto meint er vom Client? denke nicht, muss ja wohl der TS gemeint sein.

 

die Erstellte Vertrauensstellung ist eine Gesamtstrukturenvertrauensstellung, allerdings nur mit Zeiger auf die Domain in der die User sind.

 

Windows 2003 SP1 R2

Share this post


Link to post

Es geht jetzt endlich. Ich hab der Gruppe der Terminalserver User jetzt noch die berechtigung auf dem DC gegeben "Darf Authentifizieren", was ich vorher nur für den Terminalserver getan habe. Jetzt werden die GPOs auch gezogen. Was hier jetzt grade vom Tisch fällt :)

Soviel zu dem Thema alles so weit wie möglich einzuschränken :)

 

Jetzt muss über die Vertrauenstellung nur noch der Lizenzserver aus der anderen Domain erreicht werden.

Share this post


Link to post
Ich hab der Gruppe der Terminalserver User jetzt noch die berechtigung auf dem DC gegeben "Darf Authentifizieren", was ich vorher nur für den Terminalserver getan habe. Jetzt werden die GPOs auch gezogen.

:confused: Das kann ich jetzt gar nicht deuten. Seit dem die Gruppe der Terminalserver-Benutzer die genannten Rechte hat geht es? Hmmm......

Na ja, so lange es funktioniert.

 

Der Terminallizenzserver ist also in der anderen Domain?

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...