GPO für User die sich an einem RDS Server anmelden

[phatair 38]

Hallo zusammen,

 

ich habe folgende Situation.

Ich ziehe gerade einen 2012R2 RDS Server hoch. Soweit funktioniert auch alles. Nun hatte ich eine Gruppenrichtlinie definiert, die per loopback (ersetzen) die Einstellungen für die User anpasst. Da ich aber auch Ordnerumleitungen nutze und das Laufwerksmapping auch über GPO läuft, wurde es mir mit dem loopback zu unübersichtlich. Ich wollte kein zusammenführen verwenden, da dann zu viele verschiedene GPOs vermischt werden und ich den Überblick verliere.

 

Nun habe ich die Richtlinie aufgeteilt, eine GPO für Computereinstellungen und eine GPO für Benutzereinstellungen. Die Computereinstellungen hängen an der OU, in der der RDS Server liegt. Soweit kein Problem. Die Benutzereinstellungen würde ich nun an unsere "Benutzer OU" hängen. Die Einstellungen sollen natürlich nur für die User gelten, die sich am RDS Server angemeldet haben. Also hätte ich die RDS Sicherheitsgruppe in die Sicherheitsfilterung eingetragen. Problem wäre jetzt aber weiterhin, dass die Richtlinie, bei den Usern die in der Sicherheitsgruppe enthalten sind, ja auch auf deren lokalen PCs wirkt.

 

Wenn ich einen WMI Filter an die Benutzer GPO hängen würde, der nach dem RDS Server Namen filtert. Dann würde die User Richtlinie doch nur wirken, wenn der Benutzer sich am RDS Server anmeldet. Meldet er sich an seinem lokalen PC an, wirkt die GPO nicht. Somit könnte ich mir auch die Sicherheitsgruppe sparen.

 

Sehe ich das richtig oder gibt es eine andere/bessere Lösung?

 

Gruß

[Dukel 436]

Die beste Lösung ist Loopback.

Wieso sollte man den Überblick verlieren oder es zu unübersichtlich sein?

[phatair 38]

Ich hatte auf mehreren Seiten gelesen, dass bei der Option "zusammenführen" leicht Fehler passieren. Da z.B. die Benutzereinstellungen aus der loopback Richtlinie und alle Benutzereinstellungen, die auf das Benutzerobjekt wirken, zusammengeführt werden. Wenn man nun viele Einstellungen/Richtlinien hat, die auf das Benutzer Objekt wirken, muss man diese ja immer berücksichtigen, wenn es um die Einstellungen für die RDS Server geht.

 

Wähle ich nicht "zusammenführen" sondern "ersetzen" habe ich alles schön übersichtlich in einer RDS Richtlinie. Nur muss ich dann alle Einstellungen, die für das Benutzer Objekt und die RDS Richtlinie gelten, zweimal pflegen. Zum Beispiel das Laufwerksmapping oder die Ordnerumleitung.

 

Bin nun am überlegen was übersichtlicher ist und von der Konfiguration mehr Sinn ergibt.

[Dukel 436]

Man erstellt normalerweise nur einmal die GPOs und nicht alle paar Wochen sondern ändert höchstens mal etwas in den GPOs.

Einfach mal mit einem Testuser und Test GPOs testen wie sich das ganze verhält und dann mit einem Testuser mit den Produktiven GPOs testen und zum Schluss ausrollen.

[NorbertFe 1.805]

Ansonsten kann ich sagen, dass ich es ähnlich konfiguriere. Loopback auf ersetzen und die Gpos getrennt nach Benutzer und Computereinstellungen. Ob man dann die nutzereinstellungen auf die Nutzer Ou verlinkt oder immer doppelt konfiguriert kommt auf die Umgebung an. Ggf. Eine Mischung aus beidem, indem man Standardpolicies in ein doppelt verlinktes gpo zudammenfasst und Gpos für terminalservereinstellungen (Benutzer) hat. Hoffe es war verständlich. ;)

[daabm 1.185]

Bissele nachlesen und verstehen, was passiert, hilft bei Loopback ungemein :)

 

http://evilgpo.blogspot.com/2012/02/loopback-demystified.html

http://blogs.technet.com/b/askds/archive/2013/02/08/circle-back-to-loopback.aspx

 

Merge hat den zusätzlichen Charme, daß ich nicht nur mit Sicherheitsgruppen für User, sondern auch mit SIcherheitsgruppen für Computer arbeiten kann. Aber dann kann es in der Tat unübersichtlich werden.

 

Oder Du läßt das mit Loopback ganz bleiben und arbeitest stattdessen mit GPP Registrierung und ILT:

 

http://evilgpo.blogspot.de/2012/03/how-to-save-my-screen.html

(letzter Artikelteil erklärt, was ich meine...)

[phatair 38]

Hallo zusammen,

 

ok ich glaube ich habe es verstanden. Loopback ist die Wahl ;)

 

Mir kam es in den Beiträgen, die ich gelesen hatte, so vor, als wäre Loopback einfach nicht mehr zeitgemäß und unübersichtlich. Daher mein Gedanke eine andere Lösung zu finden.

Grundsätzlich habe ich mich mit Loopback schon beschäftigt. Ich finde die Lösung von Norbert ganz gut. Werde wohl auch eine Standard Richtlinie bauen, die dann an beiden OUs (User und RDP Server) hängen und dann noch extra Computer und Benutzerrichtlinien die dann nur auf die RDS OU verlinkt sind.

 

Ich hatte aber auch einen Denkfehler - hatte irgendwie immer den Gedanken, dass die Einstellungen für die Loopback Richtlinie in einer OU stehen müssen (also die Computer und Benutzer Einstellungen). Ist natürlich totaler Blödsinn. So ergeben sich aber gleich viel mehr Möglichkeiten.

 

Danke daabm aber auch noch mal für die Links. Werde mich auch dort noch mal einlesen.

 

EDIT: Daabm der 2. Link von dir hat die loopback Funktion noch mal sehr gut beschrieben. Vielen Dank noch mal für den Link!

bearbeitet 16. November 2015 von phatair

[daabm 1.185]

phatair, der erste auch! :) Und warum markierst Du Deine eigene Antwort als Lösung?

[NorbertFe 1.805]

LOL ;)

[phatair 38]

 

phatair, der erste auch! :)

Ja der auch, aber der zweite war noch besser bzw. verständlicher ;)

 

 

Du Deine eigene Antwort als Lösung?

Oh... :rolleyes: Ich hatte übersehen dass dieser Button bei jedem Beitrag zu finden ist. Ich dachte damit markiere ich den Thread als gelöst und nicht den einzelnen Beitrag als Lösung.

Würde ja gerne mehrere Beiträge als Lösung markieren - jetzt ists halt der Norbert geworden, da ich es so ähnlich umgesetzt habe ;)

bearbeitet 17. November 2015 von phatair