Server 2012 GPO Terminalserver

[richu 10]

Hallo zusammen,
ich habe folgende Fragestellung :

Ist es möglich über GPOs dem gleichen User verschiedene Berechtigungen zu setzen?

Beispielsweise wenn der User sich normal an der Domäne im internen Netzwerk anmeldet darf er z.B. den PC herunterfahren, Destop ändern etc. Nun sollte er aber wenn er sich von aussen auf den Terminalserver anmeldet nicht den Server herunterfahren, Desktop, Taskmanager etc. sehen und ändern können.

 

Besten Dank für Eure Hilfe.

 

gruss Richu

 

 

[NorbertFe 1.809]

http://www.gruppenrichtlinien.de/artikel/loopbackverarbeitungsmodus-loopback-processing-mode/

 

Bye

Norbert

[richu 10]

Hallo Norbert.

 

Wow- Super und besten Dank für Deine Antwort- genau dass habe ich gesucht!!

[NorbertFe 1.809]

Na dann hast du es jetzt ja gefunden. ;)

[richu 10]

Hallo zusammen

 

Ich melde mich nochmals betreff Loopback GPO.

Leider bring ich das ganze nicht wunschgemäss zum laufen. :cry:

Szenario: Server 2012 Std und auf Hyper-V läuft ebenfalls Server 2012 Std. nun logen sich die 2. Aussdienst Mitarbeiter (Notebook oder Pc sind aber nicht in der Domäne) per rdp auf den Hyper-V Server ein- funktioniert alles bestens. Nur zieht die Loopback GPO nicht oder eben auch intern für die Remoteuser  :confused:

Folgendes habe ich erstellt.

Gruppenrichtlinienobjekt Namens Terminalserver mit den Loopback Settings aktiviert auf Ersetzen und diverse Restriktionen (Herunterfahren deaktivert etc.) In den Sicherheitsfilterung habe ich die Gruppe RemoteUser mit den 2 Aussdienstler hinzugefügt. In der Reihenfolge die Terminalserver GPO als erste aufgelistet und die Verknüpfung aktivert, Erzwungen ja/nein habe ich beides schon ausprobiert funktioniert nicht :confused:  :confused:

 

Was habe ich falsch gemacht- wäre um jeden hilfreichen Tipp Dankbar :thumb1:  :thumb1:

bearbeitet 2. Februar 2013 von richu

[Dukel 436]

Ich hoffe die User loggen sich im Terminalserver und nicht auf dem Hyper-V host ein.

[richu 10]

Hallo Dukel

 

nein die 2 User kommen schon per Terminalserver rein- sind dann aber auf dem Hyper-V Host soll ja auch so sein-

[Sunny61 773]

nein die 2 User kommen schon per Terminalserver rein- sind dann aber auf dem Hyper-V Host soll ja auch so sein-

Auf welchem Server genau geben die Benutzer ihre Anmeldedaten ein? Auf dem Terminalserver oder auf dem Hyper-V Host?

 

EDIT: Lies dir auch diesen Artikel durch: http://www.gruppenrichtlinien.de/artikel/remote-desktop-server-terminal-server/

bearbeitet 2. Februar 2013 von Sunny61

[InterCeptoR 10]

Hallo,

 

ähm wenn ich´s richtig verstanden habe, möchte "richu" per GPO auf einem Remotedesktopserver die Funktion des "Herunterfahren" abschalten!

Seit wann haben "BENUTZER" diese Berechtigung ? Hat sich das "Sicherheitskonzept bei MS seit dem 2008er etwa so gravierend geändert, das dieses Funktion

für "Benutzer" wieder aktiviert ist ?

 

Zur allgemeinen Funktion Deiner GPO mit "Loopback" , befindet sich das Serverobjekt, des RD Servers, im AD, denn auch da wo die Richtlinie liegt? 

[richu 10]

die User kommen direkt auf  den Hyper-V Host rein dies ist auch der TS und fährt Server 2012 Std. Habe die USG auf die IP des Hyper-V weitergeleitet- funzt i.O

Danke für den LInk: habe die GPO genau so erstellt- leider erfolglos.

Das Problem liegt daran das der Pfad der Sysvol nicht gefunden wird- oder kein Zugriff habe. Die Permissions sind i.O- und über den Explorer kann mann auf beiden Server auf die Sysvol zugreifen. bei DCDiag kommt die folgenden Fehlermeldung:

Policies\{C0D17559-CA9F-4499-A6B5-A153F39509AC}\gpt.ini" von einem Domänencontroller zu lesen, war nicht erfolgreich. oder AD/SYSVOL - Versionskonflikt

 

komischer weise wenn die GPO aktiviert ist sind die Restiktionen i.O aber der Loopback zieht nicht wie gewünscht. Intern sowie von aussen leider die gleichen Restriktionen.

 

:confused:  :confused: :confused:  :confused:  :confused: