Jump to content

Relaunch 2018: Willkommen im neuen Forum - Das MCSEboard.de wurde runderneuert. Wir wünschen Euch viel Spaß an Board.

AMiGA

Gruppenrichtlinienobjekt verknüpft mit Benutzer-OU

Empfohlene Beiträge

 

 

Löschen und neu anlegen?
Hmm, es ist ein recht umfangreiches Objekt (zum starken Reduzieren des Windows Desktops). Das manuelle Neuanlegen wäre sehr aufwändig, mal schauen, ob ich diesen Weg gehe.

 

 

 

wie viele DCs habt ihr? Nicht das es Probleme mit der Sysvol-Replikation gibt.
2 DCs, einen Server 2012 R2 und einen 2008 R2. Die Verzeichnisse C:\windows\sysvol sind auf beiden Rechnern inhaltlich absolut identisch.

 

Gruß

AMiGA

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
Na dann leg doch mal erstmal testweise ein neues an.

Habe ich gemacht, wird auch zügig repliziert. repadmin /showrepl zeigt, dass die Replizierungen erfolgreich waren.

 

Ich habe nun eine neue OU angelegt. In dieser OU habe ich einen Testbenutzer angelegt. Mit dieser OU habe ich ein neu erzeugtes GP-Objekt verknüpft.

 

Wenn ich mich mit diesem Benutzer auf dem RDS-Sitzungshost anmelde, zeigt gpresult /r, dass das GP-Objekt weder angewendet noch herausgefiltert wurde.

 

Gibt es in Bezug auf RDS-Umgebungen eventuell noch irgendwelche Besonderheiten?

 

Gruß,

AMiGA

bearbeitet von AMiGA

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Ich denke schon. An dem GPO darf per Delegierung die Gruppe "Authentifizierte Benutzer" das Objekt lesen. Zu dieser Gruppe gehört ja auch der RDS Server.

 

Auch ein explizites Hinzufügen einer Berechtigung des RDS-Servers verändert leider nichts...

 

 

 

Edit:

Ich vermute, die Ursache gefunden zu haben. Ich kann es leider nicht "mal eben" im Produktivsystem testen.

 

An dem RDS-Server gibt es u.a. ein GPO, in welchem in der Computerkonfiguration der Loopbackverarbeitungsmodus aktiviert ist und sich im Modus "Ersetzen" befindet. Dadurch werden vermutlich die Benutzereinstellungen des Benutzers aus dem speziellen GPO an der Benutzer-OU ersetzt. Könnte das sein?

 

Hintergrund des GPOs mit dem aktivierten Loopbackverarbeitungsmodus ist folgender: Mit diesem GPO soll die Default Domain Policy von Benutzern einer vertrauten Domäne, welche den RDS-Server nutzen ersetzt werden, da diese verschiedene Einstellungen enthält, die in unserer Domäne nicht angewendet werden sollen. Auf dem GPO gibt es eine Filterung für Benutzer der vertrauten Domäne. So wurde dies damals durch unseren Berater eingerichtet.

 

Da der Loopbackverarbeitungsmodus aber in den Computereinstellungen konfiguriert ist, vermute ich, dass die Filterung auf eine Benutzergruppe gar keinen Einfluss auf die Anwendung des Objekts hat. Sehe ich das richtig?

 

Gruß,

AMiGA

bearbeitet von AMiGA

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden

×