Benutzer GPO wird nicht angewandt

[SabSchSch 0]

Wenn ich auf den Termial gehe als Benutzer gehe, der in der Testgruppe, als auch in der RDS-Benutzer gehe und rsop.msc aufrufe, werden nur GPO's angewandt, die an die generellen Benutzer/Clients ausgespielt werden, keine der RDS zugeordneten.

[teletubbieland 138]

vor 17 Minuten schrieb SabSchSch:

Wenn ich auf den Termial gehe als Benutzer gehe, der in der Testgruppe, als auch in der RDS-Benutzer gehe und rsop.msc aufrufe, werden nur GPO's angewandt, die an die generellen Benutzer/Clients ausgespielt werden, keine der RDS zugeordneten.

probierst Du nur aus oder hast Du Dir die Links von Sunny auch mal durchgelesen ?

[SabSchSch 0]

Folgendes erhalte ich, wenn ich auf dem Terminal Server gpresult /r aufrufe:

[NorbertFe 1.799]

vor einer Stunde schrieb teletubbieland:

probierst Du nur aus oder hast Du Dir die Links von Sunny auch mal durchgelesen ?

Ich vermute ersteres. ;)

[Sunny61 773]

vor 5 Stunden schrieb SabSchSch:

Folgendes erhalte ich, wenn ich auf dem Terminal Server gpresult /r aufrufe

Möchtest Du etwas lernen oder nur die Arbeit gemacht bekommen? Wenn letzteres, dann such dir einen Dienstleister vor Ort der das für dich macht. Für alles andere fang mit dem Lesen der Artikel an und erstell dir eine testOU mit dem Test-RDS und einem TestUser.

[daabm 1.184]

Loopback:

https://evilgpo.blogspot.com/2012/02/loopback-demystified.html

https://evilgpo.blogspot.com/2014/01/loopback-was-ist-das-und-warum-ist-es.html

 

Und MS16-072 - Computer brauchen Leserechte auf User-GPOs.

[SabSchSch 0]

Ich habe die Artikel/Links gelesen und habe eine Testgruppe und TestGPO angelegt. Terminalserver hat Lese-Rechte, die Authentifizierten Benutzer auch, die Testgruppe hat Lese-Rechte durch Sicherheitsfilterung, die Domänencomputer habe ich mit Lese-Rechten hinzugefügt.  gpupdate/force lasse ich auf dem Server mit AD sowie auf dem Terminalserver laufen. Beide sind neu gestartet.

[NorbertFe 1.799]

vor 19 Minuten schrieb SabSchSch:

Authentifizierten Benutzer auch, die Testgruppe hat Lese-Rechte durch Sicherheitsfilterung, die Domänencomputer

Sowohl deine Testgruppe als auch die Domänencomputer sind in den "Authentifizierten Benutzern" enthalten.

[SabSchSch 0]

Es wird aber doch überall geschrieben, dass man die Testgruppe und die Domänencomputer mit entsprechenden Rechten ausstatten soll. Genau wie die Authentifizierten Nutzer.

[NorbertFe 1.799]

Ja, wenn man filtern will/muss.

[Sunny61 773]

OK, lesen ist ja schon mal hilfreich. Welche Gruppe darf denn auch die GPOs nach dem Lesen auch Übernehmen?

[SabSchSch 0]

Übernehmen darf die Testgurppe.

Testgruppe

[Sunny61 773]

vor einer Stunde schrieb SabSchSch:

gpupdate/force lasse ich auf dem Server mit AD sowie auf dem Terminalserver laufen.

Ist flüssiger als Wasser, das /force: https://www.gruppenrichtlinien.de/artikel/gpupdate-vs-gpupdate-force

 

In der Testgruppe ist der RDS-Server und dein Testbenutzer drin? Falls ja, wenn Du dich mit dem Testbenutzer, der ist hoffentlich kein Admin, per RDP am RDS-Server anmeldest passiert was genau? Wird das GPO mit den Einstellungen angewandt? Evtl. probierst Du Benutzereinstellungen die du sofort siehst.

 

BTW: In den Authentifizierten Benutzern sind auch alle Computerkonten enthalten, out of the Box. ;)

 

BTW2: Wenn Du Laufwerke ausblenden und den Zugriff darauf verbieten möchtest, lies auch mal diesen Artikel: https://www.gruppenrichtlinien.de/artikel/laufwerke-im-explorer-ausblenden-und-den-zugriff-darauf-verhindern

Meistens ist es nur Augenwischerei, denn wenn man in irgendeinem Programm Datei öffnen aufruft, wird der Explorer aufgerufen und vermutlich kannst Du dort dann auch auf C:\ zugreifen.

 

Was ist dein Ziel?

bearbeitet 10. August 2022 von Sunny61

[SabSchSch 0]

Also, in der Testgruppe ist ein Testbenutzer (der kein Admin ist). Der RDS-Server ist hier nicht drin. Sollte er dadrin sein?

Ist es ok, wenn die Testgruppe in den Gruppen enthalten ist oder muss die Testgruppe oder muss ich eine neu Gruppe unter RDS anlegen?

Melde ich mich derzeit mit Testnutzer am RDS an, dann werden die Einstellungen die außerhalb des TS angelegt sind, angewandt.

 

Den Artikel zum Laufwerke ausblenden lese ich mir gleich durch. Danke.

 

Erreichen möchte ich mit dem Ausblenden von z.B. C:\ oder den Menüpunkt "Datei" im Dateiexplorer, dass die User weniger Schaden anrichten können.

[Sunny61 773]

vor 9 Minuten schrieb SabSchSch:

Erreichen möchte ich mit dem Ausblenden von z.B. C:\ oder den Menüpunkt "Datei" im Dateiexplorer, dass die User weniger Schaden anrichten können.

Das wirst Du nicht erreichen. Es gibt zig Varianten wie man per Programmierung den Explorer aufrufen kann. Alle diese Möglichkeiten kannst Du nicht abschalten. Und wenn ein User in der Adresszeile vom Explorer C:\ eingibt, kommt er vermutlich auch hin. Maximal kann der User out of the Box auf LW C:\ auf dem RDS ein Verzeichnis anlegen, das kann man unterbinden. Gibt es auch einen Artikel auf gruppenrichtlinien.de zu dem Thema.

 

Wo die Gruppen im AD abgelegt sind ist egal. Du musst sie nur im GPO an der richtigen Stelle mit den richtigen Berechtigungen eintragen.

 

Wenn auf dem RDS KEINE anderen GPOs von Usern greifen sollen, dann musst Du in diesen GPOs, die auf dem RDS NICHT greifen sollen, den RDS (oder die Gruppe in dem der RDS enthalten ist) eintragen und ihm das Übernehmen der Einstellungen verweigern. Oder eben beim Loopback Mode Erssetzen wählen. Deshalb testet man das auch intensiv durch. Probier das mal anhand einer einfachen Usereinstellung aus, Hintergrundbild oder ähnliches. Hilfreich ist auch die GPOs passend zu benamsen. _C für Computereinstellungen und/oder _U für Usereinstellungen. Wenn man strikt trennt in den GPOs zwischen C und U tut man sich bei solchen Dingen jetzt leichter.