Gruppenrichtlinien am w2k funzt nicht

[Polty 10]

Hallo zusammen,

 

habe ein Problem mit den GPO-Richtlinien auf unserem w2k Terminal-Server, egal

welche Richtlinie ich einstelle, beispielsweise das verbergen der Netzwerkumgebung, Arbeitsplatz usw. es funzt einfach nicht!

Wenn ich mich jedoch auf einem Domänen Rechner mit dem Benutzer dem die GPO zugeteilt ist lokal anmelde zieht er sich die Richtlinie wie es sein soll!

Was mache ich falsch? Hat vielleicht jemand einen Tipp für mich?!

 

Gruß

Polty

[IThome 10]

Sieh Dir diese Beschreibung mal an

http://www.gruppenrichtlinien.de/HowTo/Terminal_Server.htm

Ich schätze, es liegt an einer fehlerhaften Einstellung des Loopbackverarbeitungsmodus

[Polty 10]

Danke für die promte Antwort, werde mir den Artikel gleich mal vornehmen!

[Polty 10]

Leider beschreibt der Artikel nicht das Problem das bei uns vorherrscht.

Es sollte eigentlich so sein: Der User meldet sich am w2k Terminal Server an und holt sich seine Richtlinie vom Benutzer Profil das auf dem DC angelegt ist.

Das ganze ist eine Benuter Richtlinie und keine Computer-Richtlinie!

Habe auch schon testweise eine Computer gebundene Richtlinie erstellt, diese funktioniert auch nicht! Er will sich einfach keine Richtlinien von der GPO holen!

 

Hat vielleicht noch jemand eine Idee?

 

Danke schon mal...

[IThome 10]

Loopbackverarbeitungsmodus auf "Zusammenführen" stellen ?!

[schweizi 10]

Hallo

 

Du kannst ja im ACD/User eigene Terminalserver-Profile ablegen lassen, die User in einer eigenen OU fassen und die GPO auf die OU legen. In der Schule wurde noch eine Möglichkeit genannt, das dass vererben der GPO erzwungen werden kann entgegen allen Einstellungen der lokalen GPO aufm Rechner. Muss eine Checkbox sein, kann aber nicht mehr genau die korrekte Einstellung wiedergeben. Eigenschaften der OU->Gruppenrichtlinien->markieren der betreffenden->Button Optionen...->Checkbox Kein Vorrang .....

 

Gruss

 

Schweizi

[Polty 10]

Hatte ich auch schon getestet, bringt leider auch keinen Erfolg!

Habe jetzt mal testweise den User Neu erstellt und auch die GPO komplett neu eingerichtet, das gleiche Ergebniss! Der User ignoriert einfach die gesamten Richtlinien (aber nur am W2k Terminal Server) wenn man sich lokal Anmeldet werden alle Richtlinien korrekt abgearbeitet, das bringt mich jetz doch leicht ins grübeln.....

 

Sonst noch eine Idee?

[schweizi 10]

Hallo

 

Is der Server eigentlich in die Domäne eingebunden bzw. besitz er ein Maschinen-Konto im ACD? So von wegen Vertrauensstellung ..

 

Gruss

 

 

Schweizi

[Polty 10]

Ja, der Server ist in die Domäne eingebunden und hat auch ein Konto im AD! (Server ist kein DC falls die Frage kommt)

 

Habe grad testweise auf einem W2k3 Mitgliedsserver in der Domain den TS installiert (Administrator-Modus der 120 Tage läuft) auf dem funktioniert die Richtlinien Übertragung....

 

also vielleicht doch ein w2k Terminal Problem?

[IThome 10]

Hast Du eine OU erstellt, den TS und nur den TS in diese OU verschoben, dann eine GPO erstellt (mit Loopbackverarbeitungsmodus auf ersetzen) mit allen Einstellungen, die im Computer- und Benutzerbereich wichtig sind, dieses GPO in die Gruppenrichtlinie der OU gelinkt und dem Verwalter mit Hilfe der Sicherheitseinstellung "Gruppenrichtlinie übernehmen" den Zugriff verweigert ?

Oder wo hast Du welche Richtlinienobjekte gelinkt ?

[schweizi 10]

Ist es ev. ein Replikationsproblem? Stösst du das Verteilen der GPO bei einer Änderung jeweils von hand an? (secedit /refreshpolicy machine_policy bzw. user_policy )

 

schweizi

[Polty 10]

Hallo IThome,

 

nein, so habe ich das nicht gemacht weil: im Mom nur 2 Benutzer auf dem TS arbeiten sollen, daher wollte ich eigentlich 2 User ( TS-User1;TS-User2) anlegen.

Diese User sollen über die GPO's eben nur bestimmte Rechte zugewiesen bekommen!

(Netzwerkumgebung und Arbeistplatz sollen beispielsweise vom Desktop verschwinden)

 

Bin so vorgegangen:

-Neue OU im AD angelegt, diese beiden Benutzer erstellt. Auf dem W2k Terminal Server die erforderlichen Rechte zum Anmelden erteilt.

-Benutzer können sich nun am TS anmelden

-Eine GPO erstellt die den Benutzern die erforderlichen Symbole und Zugriffe sperrt

 

Was mach ich falsch? (wie schon oben beschrieben funzt das auf einem w2k3 Terminal nur nicht auf dem w2k)

[IThome 10]

1. OU anlegen

2. TS in die OU verschieben

3. Gruppenrichtlinienobjekt in dieser OU erzeugen

4. Computer- UND Benutzereinstellungen konfigurieren (wichtig ist, dass der Loopbackverarbeitungsmodus konfiguriert wird)

5. Die Sicherheit des GPOs konfigurieren (dem Verwalter die Berechtigung "Gruppenrichtlinie übernehmen" verweigern, da sonst auch der Verwalter eingeschränkt ist und unter Umständen nicht mehr verwalten kann)

 

Jeder Benutzer, ausser dem Verwalter, wird jetzt je nach Konfiguration von Deinen Einstellungen eingeschränkt, wenn er sich via Remote Desktop am TS anmeldet (und nur dann), und das, obwohl sich der Benutzer nicht in der OU befindet, auf die Du die Richtlinie anwendest. Meldet der Benutzer sich nur an seinem Rechner an, bekommt er von diesen Einschränkungen gar nichts mit ...

[Polty 10]

Hab das ganze jetzt mal genau nach deiner beschreibung gemacht IThome,

leider immer noch kein Erfolg!

Das ganze kommt mir wirklich so vor als würde der w2k TS alle Richtlinien ignorieren!

Im Event log is aber auch nix das mir weiterhelfen könnte.

Das einzige was ich noch machen könnte ist neu booten, meint Ihr das bringt was?

[IThome 10]

Hmm, die Richtlinien werden vom Server alle 90 Minuten abgefragt. Man kann die sofortige Abfrage erzwingen mit secedit /refreshpolicy oder mit Neustart.

Die Benutzer sind aber nicht in einer Gruppe, der Du den Zugriff auf das GPO verweigert hast ?!