SabSchSch 0 Geschrieben 8. August 2022 Melden Teilen Geschrieben 8. August 2022 Hallo, ich richte derzeit einen Terminalserver (Remote Desktopn Service 2019) ein. Ich nutze die Remote Apps. Im Explorer soll der Nutzer z.B. das Laufwerk C: des Terminalservers nicht sehen oder der Menüpunkt "Datei" soll im Explorer ausgeblendet sein. Ich habe die GPO's angelegt. Leider greifen sie nicht. Gpresult zeigt diese GPO nicht an. Wo liegt mein Fehler? Zitieren Link zu diesem Kommentar
cj_berlin 1.137 Geschrieben 8. August 2022 Melden Teilen Geschrieben 8. August 2022 Du wendest eine Benutzer-GPO auf Computer an. Entweder musst Du hier Loopback Processing aktivieren (mit allen Folgen) oder die GPO auf User anwenden und in der Security-Filterung oder im WMI sicherstellen, dass sie nur auf dem Terminalserver greift. Zitieren Link zu diesem Kommentar
teletubbieland 139 Geschrieben 8. August 2022 Melden Teilen Geschrieben 8. August 2022 Moin, wie Evgengij schon sagt: Falsche Zuweisung. Ich mache es in der Regel so, dass ich gpos nach Benutzern und Computers aufteile um den Überblick nicht zu verlieren. Und noch ein Tip bei gpo: immer mit einem Testuser arbeiten. Zitieren Link zu diesem Kommentar
NorbertFe 1.805 Geschrieben 8. August 2022 Melden Teilen Geschrieben 8. August 2022 Noch ein Tipp: komplett anonymisieren oder gar nicht. ;) 1 Zitieren Link zu diesem Kommentar
Sunny61 773 Geschrieben 8. August 2022 Melden Teilen Geschrieben 8. August 2022 (bearbeitet) Zu den beiden schon berechtigten Einwänden noch Artikel zum Thema: https://www.gruppenrichtlinien.de/artikel/remote-desktop-server-terminal-server https://www.gruppenrichtlinien.de/artikel/loopbackverarbeitungsmodus-loopback-processing-mode https://www.gruppenrichtlinien.de/artikel/rootsecinf-keine-ordner-auf-c-erstellen BTW: Wenn man die GPOs entsprechend benennt, z.B. ein U für User am Anfang oder am Ende und ein C für Computer, dann weiß man auch gleich für wen das GPO gilt. ;) EDIT: In dem Fall wäre das komplette anonymisieren vermutlich die bessere Variante. ;) EDIT2: Zum Screenshot erstellen und gleichzeitigen Anonymisieren kann ich dieses Tool empfehlen: https://getgreenshot.org/archive/de/ bearbeitet 8. August 2022 von Sunny61 Zitieren Link zu diesem Kommentar
Damian 1.401 Geschrieben 8. August 2022 Melden Teilen Geschrieben 8. August 2022 vor 4 Stunden schrieb NorbertFe: Noch ein Tipp: komplett anonymisieren oder gar nicht. ;) Ich hab mal ein bißchen gemalt. @SabSchSch Diesen Hinweis in Zukunft bitte ernst nehmen. VG Damian Zitieren Link zu diesem Kommentar
SabSchSch 0 Geschrieben 9. August 2022 Autor Melden Teilen Geschrieben 9. August 2022 Danke an alle! Ich werde es mal versuchen. Zitieren Link zu diesem Kommentar
SabSchSch 0 Geschrieben 9. August 2022 Autor Melden Teilen Geschrieben 9. August 2022 OK. Also ich schaffe es nicht. GPOs und ich werden keine Freunde :( Ich glaub, ich hab hier irgendwas nicht richtig verstanden. Ich schick Euch mal weitere Screenshots. Es wäre toll, wenn ihr mir ein paar Kommentare dazu gebt, was ich falsch mache und was ich genau ändern muss. Ich verstehe nicht warum ich UserGPO auf Computer anwende. Ich habe doch eine Benutzerkonfiguration ausgewählt in den Einstellungen und habe in der Sicherheitsfilterung die RDS-Benutzer angegeben. Zitieren Link zu diesem Kommentar
teletubbieland 139 Geschrieben 9. August 2022 Melden Teilen Geschrieben 9. August 2022 Du machst Dir das zu kompliziert: Versuche es doch mal nach dem Konzept "OU erstellen, dort User und gpo verankern und testen". Des Weiteren kann ich empfehlen ein Buch über Gruppenrichtlinien zu lesen um die basics zu verstehen (hat mit damals auch geholfen) Zitieren Link zu diesem Kommentar
NorbertFe 1.805 Geschrieben 9. August 2022 Melden Teilen Geschrieben 9. August 2022 Solange du den Loopbackmodus nicht auf dem RDS Server aktivierst, kannst du Benutzereinstellungen auf der OU des Terminalservers definieren bis du schwarz wirst. Benutzereinstellungen wirken auf Benutzerkonten/-objekte und Computereinstellungen wirken auf Computerkonten. So schwer ist das nicht. Der Loopbackmodus ist halt die Ausnahme von meiner Aussage und somit für Anfänger schwieriger zu kapieren. ;) Deswegen ist es oftmals einfacher, Benutzereinstellungen auf OUs mit Benutzerkonten und Computereinstellungen auf OUs mit Computerkonten wirken zu lassen. Zitieren Link zu diesem Kommentar
SabSchSch 0 Geschrieben 9. August 2022 Autor Melden Teilen Geschrieben 9. August 2022 Wahrscheinlich habe ich die OU falsch gesetzt. Ich habe mein OU, z.B. Firma, hier habe ich User, Gruppen, die Clients drunter. Hier habe ich auch den RDS drunter gezogen und hier auch die GPO verankert. Ich muss aber den RDS eine Ebene höher ziehen auf die selbe wie die Firma, richtig? Ansonsten werden wahrscheinlich die anderen GPO auch auf RDS angewandt. Wenn ich nämlich gpresult \r auf dem Terminalserver eingebe; kommen auch die ganzen GPO, die auf die Clients/Benutzer angewandt werden sollen. Und unter dieser OU, die dann auf der selben Ebene ist, wie Meine Firma, müssen dann auch die RDS-USer drunter? @ NorbertFe: Aber ich dachte hier mit hätte ich Loopback aktiviert. Zitieren Link zu diesem Kommentar
NorbertFe 1.805 Geschrieben 9. August 2022 Melden Teilen Geschrieben 9. August 2022 vor 23 Minuten schrieb SabSchSch: @ NorbertFe: Aber ich dachte hier mit hätte ich Loopback aktiviert. Ah ganz oben gibts noch was im SCreenshot. Ja dann paßt das soweit erstmal. vor 24 Minuten schrieb SabSchSch: Ich muss aber den RDS eine Ebene höher ziehen auf die selbe wie die Firma, richtig? Ansonsten werden wahrscheinlich die anderen GPO auch auf RDS angewandt. Nein musst du nicht. Ich gehe davon aus, dass das Computerkonto des Terminalservers sich in der OU "RDS" befindet. Ich glaub es wäre für dich einfacher, sich das einfach mal ganz simpel zusammenzuklicken. Am einfachsten in einer OU Struktur, die man nur zum Testen benutzt. Zitieren Link zu diesem Kommentar
Sunny61 773 Geschrieben 9. August 2022 Melden Teilen Geschrieben 9. August 2022 (bearbeitet) Liegt denn in der OU RDS auch der RDS-Server? Darf denn der RDS-Server auch das GPO übernehmen und lesen? Wie teletubbieland schon schrub, leg doch mal eine frische OU an, und teste dann. Auch mit einem Testbenutzer. Da sich alles immer recht schnell verändert, hilft es auch gleich größer zu denken, erstell dir eine passende Gruppe, leg den RDS in diese Gruppe und arbeite mit der Gruppe in der Sicherheitsfilterung. BTW: Hast Du dir die 3 Artikel durchgelesen? Das ist wirklich Basiswissen in Sachen RDS und GPO. Das kannst du auch mit Testserver und Benutzer testen und dabei lernen. EDIT: Nicht vergessen, auch mal diesen Artikel genau lesen: https://www.gruppenrichtlinien.de/artikel/sicherheitsfilterung-neu-erfunden-ms16-072-patchday-14062016 bearbeitet 9. August 2022 von Sunny61 Zitieren Link zu diesem Kommentar
SabSchSch 0 Geschrieben 9. August 2022 Autor Melden Teilen Geschrieben 9. August 2022 Der Terminalserver liegt in der OU RDS, ja richtig. in der GPO Loopback, sowie in der GPO für die Dateieinslellungen der User sind der Terminalserver als auch die RDS-User zulässig mit Lesen (durch Sicherheitsfilterung). Muss ich bei beiden GPO's die Authentifizierten Benutzer komplett entfernen? Zitieren Link zu diesem Kommentar
Sunny61 773 Geschrieben 9. August 2022 Melden Teilen Geschrieben 9. August 2022 vor 1 Minute schrieb SabSchSch: Terminalserver als auch die RDS-User zulässig mit Lesen (durch Sicherheitsfilterung). Übernehmen ist auch nicht unwichtig. vor 2 Minuten schrieb SabSchSch: Muss ich bei beiden GPO's die Authentifizierten Benutzer komplett entfernen? Nein, nimm den Authentifizierten Benutzer nur das Recht, das GPO zu übernehmen. Und lies bitte unbedingt den Artikel mit dem Patchday 2016! Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.