Terminal Server, GPO und der Loopbackverarbeitungsmodus

[TiTux 10]

Hallo,

 

ich hänge jetzt seit gestern an einem Problem, habe viele Foren

und themenbezogene Seiten dazu durchforstet .. komme aber einfach nicht weiter :(

 

Hier die Ausgangsbasis:

 

- Domänen Controller mit Windows Server 2008

- Terminal Server mit Windows Server 2008 R2

 

Es gibt eine Active Dirctory Domäne, in der sich beide Server befinden, der TS

Server ist aber nur Mitgliedsserver. Die Struktur ist bis jetzt sehr simpel:

 

- OU für Benutzer

- OU für NTFS Gruppen

- OU für den Terminal Server

 

(Es befindet sich alles noch im Aufbau)

 

Auf der "OU für Benutzer" ist eine GPO verknüpft, die z.B. das Mapping verteilt, dass funktioniert auch ganz normal. Jetzt gibt es Mitarbeiter, die auch von ausserhalb ins Netzwerk kommen, dass soll per Terminal Server geschehen. Hierfür möchte ich jetzt eine GPO, die sich nur dann auswirkt,

wenn die Mitarbeiter über den TS ins Netz kommen. Melden sie sich normal

im Büro an, dürfen diese Richtlinien nicht greifen. Erste Anlaufstelle war

natürlich Gruppenrichtlinien - Übersicht, FAQ und Tutorials

 

Habe also folgendes gemacht:

 

- Eine neue OU für den Terminal Server erstellt

- Das Terminal Server Computerkonto im Active Directory in diese OU

verschoben

- Aussser diesem befindet sich kein weiteres Objekt in dieser OU

- Neue GPO erstellt, in der z.B. die Proxyeinstellungen vorgeben wurden

- In der neuen GPO wurde der Loopbackverarbeitungsmodus aktiviert (auf ersetzten gestellt)

- Diese GPO wurde mit der Terminal Server OU verknüpft

 

Wenn ich mich nun mit einem Mitarbeiter am TS anmelde, greift diese GPO aber

nicht. Ein gpresult /r listet sie dementsprechend nicht auf, es wird auch nichts

rausgefiltert. Worin liegt jetzt mein Fehler?

 

Zur Verdeutlichung nochmal 3 Screenshots:

 

 

 

 

Ich steh auf dem Schlauch und komme einfach nicht mehr weiter ..

 

Gruß

Rainer

[NilsK 2.795]

Moin,

 

die Proxykonfiguration ist für so einen Test denkbar schlecht. Die funktioniert auch sonst nicht so, wie man es erwartet. Nimm irgendwas anderes.

 

Gruß, Nils

[Sunny61 773]

Die Internetexplorer Wartung soll eine Blinkerfunktion sein, geht, geht nicht.

[TiTux 10]

Och nöö .. ach kommt .. das gibbet doch net .. hört auf .. arrrrrgh!!

 

Das wars! Daran lags, an der dummen Internet Wartungs-Option.

 

Jetzt habe ich andere Punkte ausgewählt .. und schwupps die wupps funktioniert alles prächtig. Das war mir neu, dass die Funktion "Internet Explorer-Wartung" Probleme

bereitet, unter einem Windows 2003 Server benutze ich das an anderer Stelle

auch für die Proxy Verteilung und hatte bis jetzt nie Probleme, dass es mal

geht und mal nicht, deshalb wäre ich da nie drauf gekommen.

 

Vielen Dank an Euch beide, dass Wochenende ist gerettet, Moped rausholen und losdüsen :)

 

Gruß

TiTux

[NorbertFe 1.835]

Womit wieder bewiesen wäre, dass die InternetExplorer Wartung keine Blinkerfunktion sein soll, sondern ist. ;)

 

Bye

Norbert

 

PS: Aber mir glaubt das ja nie jemand, denn das hat ja sonst immer und überall funktioniert. ;)

[Sunny61 773]

Womit wieder bewiesen wäre, dass die InternetExplorer Wartung keine Blinkerfunktion sein soll, sondern ist. ;)

 

Ich war mir nicht ganz sicher und wollte deshalb nicht den Mund zu voll nehmen: ;)

 

PS: Aber mir glaubt das ja nie jemand, denn das hat ja sonst immer und überall funktioniert. ;)

 

Ich glaub dir fast alles. :D

[djbreezer 10]

Hi,

habe das gleiche Problem wie etwas weiter oben beschrieben. Mein TS will den Loopbackverarbeitungsmodus einfach nicht.... der TS liegt in einer eigenen OU welche mit meiner Terminalserver-GPO verknüpft ist. In der steht folgendes:

 

 

Wenn ich mich mit einem Benutzer am Server anmelde sehe ich weiterhin das CD- und Diskettenlaufwerk. Auch werden Richtlinien angewendet die Benutzerbezogen sind.. was ja mit aktivem Loppbackverarbeitungsmodus nicht passieren sollte.

 

Der Server ist ein 2008R2.

 

Hat vll jem. ne Idee was da los sein könnte ?

[NilsK 2.795]

Moin,

 

du hast nicht dasselbe Problem, daher mach bitte künftig einen neuen Thread auf statt einen alten zu kapern. Danke.

 

Da ein paar Worte mehr sagen als ein Bild (das zudem noch nicht freigegeben ist), beschreibe dein Szenario bitte verbal.

 

Gruß, Nils

[djbreezer 10]

gut dann mach ich nächstes mal einen neuen thread auf.

 

Ich habe soeben einen TS installiert. Diesen TS habe ich in eine eigene OU gepackt und eine GPO auf diese OU angewendet. Die OU befindet sich auf der obersten Ebene der Domainstruktur, sodass nur 2 GPOs auf meinen TS angewandt werden nämlich

Default Domain Policy

Terminalserver-GPO

 

In der Terminal-Server-GPO steht folgendes:

 

Zugriff auf CDROM nur für lok. Benutzer: aktiviert

 

Loopbackverarbeitungsmodus für Benutzergruppenrichtlinien Aktiviert

Modus: Ersetzen

 

Nun werden den Benutzern die CD-LWs noch angezeigt und die Richtlinien der Benutzer noch angewendet.

 

Dies dürfte ja eigentlich nicht passieren... Welche Ursachen könnte das haben?

[NilsK 2.795]

Moin,

 

kannst du bitte die Einstellung genau beschreiben (genauer Pfad und genaue Bezeichnung), die du gesetzt hast? Sonst reden wir womöglich nicht über dasselbe. Danke.

 

Es kann sich - je nachdem von welcher Einstellung du redest - um ein Verständnisproblem handeln: RDP-Benutzer sind je nach Kontext durchaus lokale Benutzer, weil sie auf die Ressourcen ja nicht über das Netzwerk (z.B. einen Share) zugreifen. Dann wäre das Verhalten kein Fehler, sondern normal.

 

Gruß, Nils

[djbreezer 10]

ok... also:

 

In der Terminal-Server-GPO steht folgendes:

Computerkonfiguration > Richtlinien > Windows Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien/Sicherheitsoptionen > Geräte: Zugriff auf CDROM auf lokal angemeldete Benutzer beschränken: aktiviert

 

Computerkonfiguration > Richtlinien > Administrative Vorlagen > System > Gruppenrichtlinien > Loopbackverarbeitungsmodus für Benutzergruppenrichtlinien Aktiviert

Modus: Ersetzen

[NilsK 2.795]

Moin,

 

der Loopbackmodus besagt, dass die Benutzereinstellungen (!) eines GPO auch dann auf User wirken, wenn sie sich an einem Rechner anmelden, auf dessen Computerkonto das GPO wirkt.

 

Dein GPO enthält aber gar keine Benutzereinstellungen, sondern eine Computereinstellung. Damit ist es nicht vom Loopbackmodus betroffen.

 

Das wäre also Verständnisfehler 1. Und Verständnisfehler 2 entspricht meiner oben geäußerten Vermutung. Schau mal auf die Registerkarte "Erklärung" der betreffenden Einstellung ...

 

Gruß, Nils

[djbreezer 10]

Da steht:

"Wendet alternative Benutzereinstellungen an, wenn sich ein Benutzer an einem von dieser Einstellung betroffenen Computer anmeldet."

 

Wenn hier alternative Benutzereinstellungen angewendet werden, warum wendet er dann die Benutzereinstellungen der Benutzer-OUs trotzdem an ? Die Benutzer befinden sich in einer anderen OU mit anderen GPOs.

 

Hier mal ein Link zu einem MS-Whitepaper wo genau zu dieser Einstellung geraten wird und zwar genauso wie ich es eingestellt habe:

 

http://www.microsoft.com/downloads/en/details.aspx?FamilyID=7f272fff-9a6e-40c7-b64e-7920e6ae6a0d&DisplayLang=de

 

Da steht:

 

[Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options]

• Devices: Restrict CD-ROM access to locally logged-on user only

 

Recommended setting: Enabled

 

 

[Computer Configuration\Administrative Templates\System\Group Policy]

• User Group Policy loopback processing mode

If the Terminal Server computer object is placed in the locked down OU, and the user account is not, loopback processing applies the restrictive user configuration policies to all users on the Terminal Server. If this policy is enabled, all users, including administrators, logging on to the Terminal Server are affected by the restrictive user configuration policies, regardless of where the user account is located. Two modes are available. Merge mode first applies to the user’s own GPO, then to the locked down policy. The lockdown policy takes precedence over the user’s GPO. Replace mode just uses the locked down policy and not the user’s own GPO. This policy is intended for restrictions based on computers instead of the user account.

If this policy is disabled, and the Terminal Server computer object is placed in the locked down OU, only the computer configuration policies is applied to the Terminal Server. Each user account must be placed into the OU to have user configuration restriction placed on that user.

bearbeitet 3. November 2010 von djbreezer
Nachtrag

[NilsK 2.795]

Moin,

 

"Wendet alternative Benutzereinstellungen an, wenn sich ein Benutzer an einem von dieser Einstellung betroffenen Computer anmeldet."

 

ich meinte die Erklärung zu der CD-Zugriffseinschränkung ... :rolleyes:

 

Aber was du da zitierst, ist ja genau der springende Punkt für den Loopbackmodus. Wichtig ist das Wort "Benutzereinstellungen".

 

Hier mal ein Link zu einem MS-Whitepaper wo genau zu dieser Einstellung geraten wird und zwar genauso wie ich es eingestellt habe:

 

Download funktioniert grad nicht, daher kann ich das dort nicht im Zusammenhang nachlesen.

 

Ist der CD-Zugriff jetzt nur ein Beispiel oder geht es um was Reales? Warum hat man eine CD in einem Terminalserver?

 

Gruß, Nils

[djbreezer 10]

Ok du hast Recht was die Richtlinie mit dem CD-Rom angeht... da hab ich mich wohl zusehr auf den Namen der Richtlinie gestützt. Die Erklärung hätte ich lesen sollen. Sorry.

 

Ich wollte den zugriff auf das CD-ROm sperren... daher die Richtlinie. Geht natürlich auch einfach indem man den LW-Buchstaben ausblendet bzw sperrt.

 

Ich habe grade mal testweise eine Benutzerrichtlinie hinzugefügt und erst jetzt werden die "alternativen EInstellungen" benutzt!

 

Irgendwas stimmt trotzdem nicht... hab auch bei Computereinstellungen eingetragen:

 

Computerkonfiguration > Windows Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen > Interaktive Anmeldung: Letzter Benutzername nicht anzeigen

 

macht er auch nicht...