Terminalserver auf Domänencontroller

[Haube1X 10]

Ich habe ein Problem mit Gruppenrichtlinien auf einem 2003 Server. Dieser Server ist Domänencontroller und Terminalserver.

Nun wollte ich Richtlinien auf die Gruppe der "TERMINALSERVERBENUTZER" wirken lassen und die "Domänen-Admins" sollen von dieser Richtlinie ausgeschlossen werden.

Ich habe das Gruppenrichlinienobjekt nun direkt auf der Domäne erstellt und folgende Sicherheitseinstellungen für Benutzer und Gruppen konfiguriert:

Authendifizierte Benutzer: lesen(Zulassen).

Domänen-Admins: lesen(Zulassen); schreiben(Zulassen); Objekte erstellen(Zulassen); Objekte löschen(Zulassen); Gruppenrichtlinien übernehemen(verweigern).

TERMINALSERVERBENUTZER: lesen(Zulassen); Gruppenrichtlinien übernehemen(Zulassen). Der Loopbackverarbeitungsmodus wurde aktiviert.

Die Richtlinie wird aber nicht wirksam bei der Anmeldung an den Terminalserver.

Was mach ich falsch? Ist es überhaupt möglich mit Gruppenrichtlinien zu arbeiten wenn der Terminalserver auf einen Domänencontroller installiert ist und diese nur auf die vordefinierte Gruppe "TERMINLASERVERBENUTZER" wirken zu lassen?

[Wolke2k4 11]

Ich habe ein Problem mit Gruppenrichtlinien auf einem 2003 Server. Dieser Server ist Domänencontroller und Terminalserver.

 

Autsch... sowas macht man eigentlich nicht.

 

Ich habe das Gruppenrichlinienobjekt nun direkt auf der Domäne erstellt

 

Gibt es einen besonderen Grund dafür, dass du das GPO direkt an die Domain gebunden hast? Es empfiehlt sich eigentlich die Nutzer, auf denen das GPO angewendet werden soll in eine Gruppe zu packen und diese Gruppe in eine entsprechende OU zu schieben. Alternativ kann man natürlich die Nutzer auch direkt in die OU schieben. Auf die OU wendest du dann das GPO an.

 

und folgende Sicherheitseinstellungen für Benutzer und Gruppen konfiguriert:

Authendifizierte Benutzer: lesen(Zulassen).

Domänen-Admins: lesen(Zulassen); schreiben(Zulassen); Objekte erstellen(Zulassen); Objekte löschen(Zulassen); Gruppenrichtlinien übernehemen(verweigern).

TERMINALSERVERBENUTZER: lesen(Zulassen); Gruppenrichtlinien übernehemen(Zulassen). Der Loopbackverarbeitungsmodus wurde aktiviert.

 

Warum dieser umständliche Weg? Du brauchst in den Sicherheitseinstellungen des GPO NICHTS ändern. So wie sie standardmässig mit den von dir vorgenommenen Veränderungen angelegt werden funktionieren sie auch.

Ob ein GPO für eine(n) bestimmte(n) Nutzer/Gruppe greifen soll oder nicht entscheidest du über den oben genannten Weg. Das heisst, nur die Nutzer, die sich in der Gruppe und/oder der OU befinden für die ein GPO festgelegt ist werden von diesem GPO "bedient".

 

Ist es überhaupt möglich mit Gruppenrichtlinien zu arbeiten wenn der Terminalserver auf einen Domänencontroller installiert ist und diese nur auf die vordefinierte Gruppe "TERMINLASERVERBENUTZER" wirken zu lassen?

 

In der Kombi DC + TS habe ich es noch nicht ausprobiert aber ich denke schon, dass es funktioniert. Jede Maschine ab W2K (egal ob Server oder einfaches Client Betriebssystem) hat lokale Gruppenrichtlinien. Und diese lassen sich auch ohne ADS anwenden, sogar nur für einzelne Nutzer.

[e2e4 10]

Ich habe ein Problem mit Gruppenrichtlinien auf einem 2003 Server. Dieser Server ist Domänencontroller und Terminalserver.

 

Autsch... sowas macht man eigentlich nicht.

 

Diese Meinung habe ich oft gehört und selbst auch noch nicht gemacht. Aber warum eigentlich? Gibt es einen technischen Hintergrund dafür?

 

Grüße, e2e4

[zuschauer 10]

Nein, nicht "technische" Gründe !

Wenn ein TS auf einem DomainController läuft, müssen die TS-User das Recht haben, sich auf einem DomainController anmelden zu dürfen !

 

Das ist ja kein erstrebenswertes Szenario.

 

... aber wahrscheinlich die Ursache für die Probleme des Thread-Erstellers mit seiner Konfig. Die User kommen nicht drauf, weil die Richtlinie für die Anmeldung auf DC Vorrang hat ;)

 

PS: ok - im Prinzip schon "technische Gründe"

[e2e4 10]

Eigentlich logische Erklärung ;), danke!

[Haube1X 10]

Ich habe es nun geschafft. Die Lösung ist ziemlich einfach. Man darf nicht mit der vordefinierten Gruppe "TERMINALSERVERBENUTZER" arbeiten. Ich habe eine neu Gruppe "TS-Benutzer" erstellt und die Benutzer die sich am Terminalsever anmelden dürfen, mit hinzugefügt. Die Richlinie hab ich dann auf die OU gesetzt, die den Terminalserver beinhaltet (OU=Domän Controllers). In diese OU hab ich nun noch die Gruppe "TS-Benutzer" hinzugefügt.

Ich weis auch das man einen TS nicht auf einem DC laufen lassen sollte. Doch wenn man einen Chef hat der Kunden bei irrwitzigen Sparmaßnahmen unterstützt, kann man nicht viel machen außer seine Bedenken zu äußern.

[Hacko 10]

hi Haube,

 

nur son Verdacht - aber hätte eventuell auch gereicht, in den Sicherheitseinstellungen der Default Domain Controller Policy der Gruppe Terminalserverbenutzer explizit das Recht geben, sich lokal anzumelden

[dersupergrobi 10]

Original geschrieben von zuschauer

Nein, nicht "technische" Gründe !

Wenn ein TS auf einem DomainController läuft, müssen die TS-User das Recht haben, sich auf einem DomainController anmelden zu dürfen !

 

Das ist ja kein erstrebenswertes Szenario.

 

andererseits ist das auch eine finanzielle und auch logistische Frage. Ich habe es wie der Threadersteller lösen müssen.

Max 30 User haben wir.

 

Diese 30 User benötigen nur ein einziges Programm, welches

aber nicht direkt am Server gestartet werden kann, Ferneinwahl muss aber auch möglich sein

 

also

 

1 Server als AD/DC/TS Server, dann auch direkt DNS

1 Server als reiner Anwendungsserver für eben dieses eine Programm (allergins auch noch TS

 

also auch jedesmal Serverlizenz mit CAL

 

 

man müsste dann ja theoretisch einen 3. Server aufstellen,

der "nur" TS ist.

 

Von der Seite aus (ich muss es ja nicht zahlen) vielleicht

auch zu verstehen