Jump to content

Anleitung Loopbackverarbeitungsmodus TS

Mulle2105HH

Von Mulle2105HH
in Windows Server Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Mulle2105HH Proficient

Mulle2105HH   10

Geschrieben
Geschrieben

Hallo zusammen!

Ich habe hier eine Anleitung erstellt, die den Loopbackverarbeitungsmodus in Verbindung mit dem TS beschreibt. Dieser Thread wurde mit meinen Worten und Screenshots gepostet. Für eventuelle kleiner oder größerer Fehler möchte ich mich im vorwege entschuldigen. Den Fehler machen ist bekanntlich menschlich. Dann bitte ich euch mich zu informieren und ich werde sie dann versuchen zu korregieren. Ich hoffe, euch hilft diese Anleitung einwenig Licht ins dunkle zubringen.

Loopbackverarbeitungsmodus in Verbindung mit dem Terminalserver

 

Für die Benutzer, die sich an dem Terminalserver (TS) anmelden, eingeschränkte Einstellungen in einem Gruppenrichtlinieobjekt (GPO) generieren. Diese GPO gilt dann nur für die Anmeldung am TS und nicht für die lokale Anmeldung an der Domäne. (Client, hierfür gelten die anderen GPO´s, Ordnerumleitung, Spiele gesperrt, etc.)

 

Zunächst erstellt man im Active Directory (AD) eine Organisationseinheit (OU)

In diesen Fall trägt sie den Namen „Test_OU“(siehe Screenshot „Loop01“).

81xi-7.jpg

Dann erstellt man in der OU „Test_OU“ eine eigene Sicherheitsgruppe. In diesem Fall trägt sie den Namen „TS_Users“ und verschiebt den TS als Computerkonto in die gleiche OU. (siehe Screenshot „Loop02“)

81xi-8.jpg

Im AD erstellt man dann auch gleich einen Testbenutzer in der OU „Users“ mit dem Namen „TS User“ und fügt ihn als Mitglied der Sicherheitsgruppe „TS_Users“ hinzu. Dieser dient zu Testzwecken. (siehe Screenshot „Loop03“)

81xi-9.jpg

Jetzt startet man den Gruppenrichtlinien-Editor (GPMC) um eine neue GPO zu erstellen und mit der OU = „Test_OU“ zu verknüpfen. In diesem Fall heißt die GPO Loopbackverarbeitungsmodus (siehe Screenchot „Loop04“)

81xi-a.jpg

Auf der Registerkarte „Bereich“ im Abschnitt der „Sicherheitsfilterung“, entfernt man die Authentifizierten Benutzer. Denn dies sind auch die Administratoren und Domänen Administratoren, somit schließt man aus, dass die

GPO = Loopbackverarbeitungsmodus auf die Admins und Domänen Admins greift. Da sie sich ja auch an TS anmelden und authentifizieren. Nun fügt man die Sicherheitsgruppe „TS_Users“ und den TS als Computerkonto hinzu.

(siehe Screenshot „Loop04“weiter oben)

 

Vergabe der Rechte für die Sicherheitsgruppe „TS_Users“ und dem TS.

Folgende Rechte: „Lesen" und „Gruppenrichtlinien übernehmen".Hiermit ist dann sichergestellt, dass nur Mitglieder der Gruppe „TS_Users“ die GPO übernehmen.

Dem Administrator, Domänen Admin und dem System wird die „Übernahme der Gruppenrichtlinie entfernt“.

Hierfür klickt man in GPMC auf die in der OU = „Test_OU“ liegende GPO und klickt dann mit der Maus auf die Registerkarte „Delegierung“. Im unteren Bereich rechts liegend klickt man mit der Maus auf den Button „Erweitert…“.

Somit öffnet sich die Sicherheitseinstellung der

GPO = Loopbackverarbeitungsmodus. (siehe Screenshot „Loop05“)

81xi-b.jpg

Link zu diesem Kommentar
Mulle2105HH Proficient

Mulle2105HH   10

Geschrieben
  • Autor
Geschrieben

Nun muss der TS so konfigurieren werden, dass sich die im AD erstellte Sicherheitsgruppe „TS_Users“ anmelden kann.

Hierzu muss sich der Administrator am TS anmelden und auf „Start“ klicken, öffnet die „Systemsteuerung“, klickt dann auf die „Verwaltung“.

 

Dort sind dann die lokale Sicherheitsrichtlinie zu finden und im Ordner „Zuweisen von Benutzerrechten“, gibt es eine Richtlinie für die „Anmeldung über Terminaldienst zulassen“. Hier fügt man die Sicherheitsgruppe „TS_Users“ dieser Richtlinie hinzu. (siehe Screenshot „Loop06“).

„Achtung! Diese Richtlinie ist nur unter Windows Server 2003 zu finden“

81xi-c.jpg

Jetzt muss die Sicherheitseinstellung des RDP Protokols angepasst werden. Dieses wird erreicht durch klicken auf folgende Menüpunkte:

Start, Systemsteuerung, Verwaltung, Terminaldienstkonfiguration, Verbindungen

Öffnen die Eigenschaften von RDP-Tcp und klicken die Registerkarte „Berechtigungen“ an um diese neu zusetzten.

Hier setzt man die Sicherheitsgruppe „TS_Users“ die Berechtigung Benutzerzugriff und Gastzugriff. (siehe Screenshot „Loop07“)

81xi-d.jpg

Nun definiert man langsam den Loopbackverarbeitungsmodus (LBVM) und gleich ein paar Testeinstellungen in der GPO für Computerkonfigurationen und Benutzerkonfigurationen.

 

Als erstes aktiviet man den LBVM, rechte Maustaste auf die

GPO = Loopbackverarbeitungsmodus „Bearbeiten“.

Folgender Pfad:

Computerkonfiguration/Administrative Vorlagen/System/

Gruppenrichtlinien = LBVM für Benutzerrichtlinien.

Rechte Maustaste auf „Eigenschaften“ klicken und die Richtlinie LBVM für Benutzerrichtlinien aktivieren.

Dort findet man zwei Einstellmöglichkeiten:

"Ersetzen" zeigt an, dass die in den Gruppenrichtlinienobjekten für diesen Computer festgelegten Benutzerprofile die Benutzereinstellungen ersetzen, die normalerweise auf den Benutzer angewendet werden würden.

 

"Zusammenführen" zeigt an, dass die in den Gruppenrichtlinienobjekten für diesen Computer festgelegten Benutzerprofile und die Benutzergruppenrichtlinien gemeinsam angewendet werden. Falls die Gruppenrichtlinien in Konflikt stehen, setzen die Benutzereinstellungen in den Gruppenrichtlinien des Computers die normalen Einstellungen des Benutzers außer Kraft.

 

In diesem Fall wurde die Einstellung „Ersetzen“ gewählt.

Link zu diesem Kommentar
Mulle2105HH Proficient

Mulle2105HH   10

Geschrieben
  • Autor
Geschrieben

Nachfolgend sind noch drei weitere Einstellungen gemacht worden unter den Benutzerkonfigurationen:

Benutzerkonfiguration/Administrative Vorlagen/

System = Angegebene Windows-Anwendung nicht ausführen.Dort habe ich die cmd.exe definiert und die Richtlinie aktiviert

 

Benutzerkonfiguration/Administrative Vorlagen/

Systemsteuerung = Zugriff auf die Systemsteuerung nicht zulassenRichtlinie aktiviert.

 

Benutzerkonfiguration/Administrative Vorlagen/Windows-Komponente/

Windows-Explorer = Zugriff auf Laufwerke vom Arbeitsplatz nicht zulassen.Hier habe ich die Einstellung auf alle Laufwerke beschränken gemacht und die Richtlinie aktiviert.

 

Die Richtlinie für die Anmeldung am TS mit den Einstellungen für „TS_Users“ haben erst nach dem vierten Neustart des Clients gewirkt.

Dieses kann man mit der cmd.exe testen. Man gibt einfach den Befehl „gpresult“ in der Eingabeaufforderung ein und schaut sich dann das Ergebnis an. In der Eingabeaufforderung kann man dann auslesen, welche GPO auf den Client und Benutzer greift.

(Hier allerdings vorher die Richtlinie = „Angegebene Windows-Anwendung nicht ausführen“ auf nicht konfiguriert zurückstellen.)

 

 

Link für weiter Informationen:

Gruppenrichtlinien - Übersicht, FAQ und Tutorials

So nun hoffe ich, ihr kommt mit diesem Thread klar ansonsten meldet euch bei mir. Hoffe, ich habe nichts vergessen.

 

Viel Spaß damit und Grüße aus Hamburg.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...