Jump to content

GP für User Vertrauter Domain


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen,

 

wie kann man es realisieren User in ihren rechten zu beschneiden wenn ich diese nur via Globaler Gruppe aus einer Vertrauten Domain in meinem AD habe? Dafür muss es doch auch eine Möglichkeit geben? Gruppenrichtlinien werden ja nicht auf Globale Gruppen angewandt. Ziel ist es Sie bei der Anmeldung an Terminalserver zu beschränken.

 

Danke schon mal.

 

Gruß Dennis

Link zu diesem Kommentar

D.h. du willst dass sich diese User nicht am TS anmelden dürfen?

Dann machst eine GPO für TerminalServer, falls es noch keine gibt und unter Computerkonfiguration => Windows-Einstellungen => Sicherheitseinstellungen => Lokale Richtlinien => Zuweisen von Benutzerrechten => Anmeldung über Terminaldienste verweigern...

 

Dort die Gruppe rein und ferdisch ;)

Link zu diesem Kommentar

Leider nicht so einfach. Genau diese User sollen sich anmelden können, nur habe ich die User Konten ja nicht in meinem AD. Folglich kann ich die User ja nicht mir Terminalserver Profilen ausstatten oder in Ihren Rechten auf dem Terminalserver beschneiden (Systemsteuerung öffnen, Netzwerk durchsuchen etc.)

 

Domain A______________Domain B

 

globale Guppen_________Terminalserver

->User Account_________Domain Lokale Gruppen

______________________->(inhalt globale Gruppen aus A)

 

Das ich die User über die Verzeichnisberächtigung beschränken kann ist, nur wie gesagt, wie sieht es mit Terminalserver Profilen aus oder das beschränken Ihrer Terminalserver Umgebung?

 

Problem erkannt?

Ist mein Vorhaben nicht umsetzbar? oder einfach nur nicht so einfach zu lösen?

Link zu diesem Kommentar

Danke erstmal für die Antwort, bin leider jetzt erst dazu gekommen es zu testen. Ich habe auch soweit eigentlich alles hin bekommen, also ts-profile/basis Ordner Umleiten, Login Script. Was ich jetzt leider nicht besser hin bekommen habe ist, dass die Benutzer weiter eingeschränkt werden können oder? Also damit meine ich in den Gruppenrichtlinien den Teil für Benutzer, z.b. Internet-Explorer ausblenden, Netzwerkumgebung ausblenden...

 

Oder gibt es hierfür auch eine Lösung?

 

@Stephan: Danke für deine Tipps

Link zu diesem Kommentar

Zu dem Modus hab ich mir schon was durchgelesen, ich habe nur das Problem, dass die User wie gesagt nicht in meiner Domain liegen. Die User Stammen aus einer Vertrauten Domain, sind für mich also nur über Globale Gruppen erreichbar, wenn du verstehst wie ich das mein.

 

Ich will damit sagen, ich habe zwar Berechtigungen für die User Vergeben, diese werden aber nicht verarbeitet und da liegt im Moment das Problem :(

Link zu diesem Kommentar

So jetzt habe ich mich schon ne weile mit dem Loopback Modus beschäftigt, nur leider werden die Richtlinien immer noch nicht gezogen. Muss die Globale Gruppe der User aus der anderen Domain vielleicht noch irgenwo Zugriff haben?

Wenn ich mich mit einem User aus meiner Domain auf dem TS Anmelde wird das User Profil auch beschränkt, gehe ich mit einem User auf den Terminalserver, der nicht aus meiner Domain ist passiert das nicht.

Der User Account aus der anderen Domain ist bei mir nur Mitglied einer Terminalserver berechtigten Gruppe. Diese Gruppen habe ich bei den Gruppenrichtlinien auch schon hinzugefügt und mit der Berechtigung "Gruppenrichtlinien Übernehmen" ausgestattet. Das führt leider auch nicht zum Erfolg.

Ansonsten ist das mit dem Loopback Modus genau das was ich brauche.

Wo könnte den Usern die Berechtigung fehlen, jemand eine Idee?

Link zu diesem Kommentar

Stimmt gibt eine Meldung:

Der Computername kann nicht ermittelt werden. (Zugriff verweigert ). Die Verarbeitung der Gruppenrichtlinie wurde abgebrochen. ID: 1055

Welches Konto meint er vom Client? denke nicht, muss ja wohl der TS gemeint sein.

 

die Erstellte Vertrauensstellung ist eine Gesamtstrukturenvertrauensstellung, allerdings nur mit Zeiger auf die Domain in der die User sind.

 

Windows 2003 SP1 R2

Link zu diesem Kommentar

Es geht jetzt endlich. Ich hab der Gruppe der Terminalserver User jetzt noch die berechtigung auf dem DC gegeben "Darf Authentifizieren", was ich vorher nur für den Terminalserver getan habe. Jetzt werden die GPOs auch gezogen. Was hier jetzt grade vom Tisch fällt :)

Soviel zu dem Thema alles so weit wie möglich einzuschränken :)

 

Jetzt muss über die Vertrauenstellung nur noch der Lizenzserver aus der anderen Domain erreicht werden.

Link zu diesem Kommentar
Ich hab der Gruppe der Terminalserver User jetzt noch die berechtigung auf dem DC gegeben "Darf Authentifizieren", was ich vorher nur für den Terminalserver getan habe. Jetzt werden die GPOs auch gezogen.

:confused: Das kann ich jetzt gar nicht deuten. Seit dem die Gruppe der Terminalserver-Benutzer die genannten Rechte hat geht es? Hmmm......

Na ja, so lange es funktioniert.

 

Der Terminallizenzserver ist also in der anderen Domain?

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...