Jump to content

Gruppenrichtlinienobjekt verknüpft mit Benutzer-OU


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

 

 

Löschen und neu anlegen?
Hmm, es ist ein recht umfangreiches Objekt (zum starken Reduzieren des Windows Desktops). Das manuelle Neuanlegen wäre sehr aufwändig, mal schauen, ob ich diesen Weg gehe.

 

 

 

wie viele DCs habt ihr? Nicht das es Probleme mit der Sysvol-Replikation gibt.
2 DCs, einen Server 2012 R2 und einen 2008 R2. Die Verzeichnisse C:\windows\sysvol sind auf beiden Rechnern inhaltlich absolut identisch.

 

Gruß

AMiGA

Link zu diesem Kommentar
Na dann leg doch mal erstmal testweise ein neues an.

Habe ich gemacht, wird auch zügig repliziert. repadmin /showrepl zeigt, dass die Replizierungen erfolgreich waren.

 

Ich habe nun eine neue OU angelegt. In dieser OU habe ich einen Testbenutzer angelegt. Mit dieser OU habe ich ein neu erzeugtes GP-Objekt verknüpft.

 

Wenn ich mich mit diesem Benutzer auf dem RDS-Sitzungshost anmelde, zeigt gpresult /r, dass das GP-Objekt weder angewendet noch herausgefiltert wurde.

 

Gibt es in Bezug auf RDS-Umgebungen eventuell noch irgendwelche Besonderheiten?

 

Gruß,

AMiGA

bearbeitet von AMiGA
Link zu diesem Kommentar

Ich denke schon. An dem GPO darf per Delegierung die Gruppe "Authentifizierte Benutzer" das Objekt lesen. Zu dieser Gruppe gehört ja auch der RDS Server.

 

Auch ein explizites Hinzufügen einer Berechtigung des RDS-Servers verändert leider nichts...

 

 

 

Edit:

Ich vermute, die Ursache gefunden zu haben. Ich kann es leider nicht "mal eben" im Produktivsystem testen.

 

An dem RDS-Server gibt es u.a. ein GPO, in welchem in der Computerkonfiguration der Loopbackverarbeitungsmodus aktiviert ist und sich im Modus "Ersetzen" befindet. Dadurch werden vermutlich die Benutzereinstellungen des Benutzers aus dem speziellen GPO an der Benutzer-OU ersetzt. Könnte das sein?

 

Hintergrund des GPOs mit dem aktivierten Loopbackverarbeitungsmodus ist folgender: Mit diesem GPO soll die Default Domain Policy von Benutzern einer vertrauten Domäne, welche den RDS-Server nutzen ersetzt werden, da diese verschiedene Einstellungen enthält, die in unserer Domäne nicht angewendet werden sollen. Auf dem GPO gibt es eine Filterung für Benutzer der vertrauten Domäne. So wurde dies damals durch unseren Berater eingerichtet.

 

Da der Loopbackverarbeitungsmodus aber in den Computereinstellungen konfiguriert ist, vermute ich, dass die Filterung auf eine Benutzergruppe gar keinen Einfluss auf die Anwendung des Objekts hat. Sehe ich das richtig?

 

Gruß,

AMiGA

bearbeitet von AMiGA
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...