RDS Server 2016 Herunterfahren verweigern

[SBK 3]

Hallo Leute,

 

Ich habe eine GPO für den neuen RDS Server 2016 erstellt, womit das Herunterfahren, Energie sparen und Neu starten ausgeblendet wird. Da ein Schlaumeier mittels CTRL-ALT-END die Session nicht nur beendet , sondern den ganzen RDS-Server runtergefahren hat, wollte ich das nur noch bestimmte Admins den Server runterfahren können. Also habe ich die berechtigten Adminuser unter Computerkonfiguration => Richtlinien => Windows-Einstellungen => Sicherheitseinstellungen => Lokale Richtlinien => Zuweisen von Benutzer­rechten beim Punkt Herunterfahren des Systems berechtigt.

 

Jetzt habe ich mal rasch gupdate /force durchführt und mit einem normalen Domainuser den ganzen Server runtergefahren. Die GPO greift irgendwie nicht. Ich habe die Einstellung eigentlich unter einer eigenen GPO mit WMI Filter select * from Win32_OperatingSystem where (ProductType = "2") OR (ProductType = "3") erstellt. Aber sogar wenn ich diese auf der Domainpolicy erstelle, greift sie nicht.

 

Mache ich da ein Überlegungsfehler?

[Nobbyaushb 1.581]

Moin,

ein normaler Domänen-User darf NIE einen RDS herunterfahren.

 

Sind die vielleicht aus Versehen oder weil die Software das nicht kann alle in der Gruppe der lokalen Administratoren?

[NilsK 3.046]

Moin,

 

genau für solche Kofigurationen legt man RDS-Server normalerweise in einer eigene OU ab. Dann kann man sich WMI-Filter und sowas sparen. Wenn du es so baust und das GPO auf diese OU wirken lässt, dann sollte es auch funktionieren. Wichtig: Nach dem OU-Wechsel des Server-Computerkontos den Server neu starten.

 

Gruß, Nils

 

[SBK 3]

Danke für die Tipps, werde mal gleich eine OU anlegen und das ganze ausprobieren.

bearbeitet 6. März 2018 von SBK

[SBK 3]

In der Tat waren die Domainuser als lokale Admins auf dem RDS-Server definiert. So nun greift auch die GPO, unabhängig ob mit OU oder WMI-Filter.

 

Danke und Gruss

[NilsK 3.046]

Moin,

 

*seufz* ...

 

Na, aber gut, dass es jetzt gelöst ist.

 

Gruß, Nils