Terminalserver - Richtlinien für Terminaluser

Hallo,

soll für mein Abschlussprojekt eine Terminalserver/ThinClient-Lösung implementieren.
Hab jetzt soweit alles gemacht bis auf den Lizenzserver aktivieren aber das mach ich am Schluss.

Mein Server befindet sich in einer Domäne. Ich habe zwar Rechte für ein paar OUs, aber ich darf nicht in den GPOs rum spielen. Ich möchte jetzt das eine bestimme Gruppe an Usern, die ich in der AD angelegt habe, sehr eingeschränkte Rechte auf dem Server hat.

Wenn ich in den lokalen GPOs des Server etwas ändere, gilt diese Änderung auch für Administratoren, was eigentlich nicht sein soll. Aber auch nur wenn ich unter Computerkonfiguration Richtlinien bearbeite werden diese angewandt. Wenn ich unter Benutzerkonfiguration etwas ändere passiert nichts.

Wie schränke ich jetzt meine Gruppe auf dem TS ein? Es können auch alle Domain Users sein, nur halt keine Domain Admins.

Warum die lokalen Richtlinien überhaupt angewandt werden verstehe aber ich auch nicht, mein Server ist ja Mitglied einer Domäne.

http://www.edv-lehrgang.de/gueltigkeit-der-gruppenrichtlinien/

Laut der Grafik werden die lokalen Richtlinien von denen der OUs überlagert.

Ich hoffe ich habe mich nicht alt zu dumm ausgedrückt.

LG

Nimm mir das bitte nicht übel, aber die GPO-Verwaltung über die AD ist GENAU das, was du hier möchtest. Dafür ist es da und so ist es auch Best Practice. Warum darfst du dir nicht einfach ein neues GPO Objekt auf dem AD Server anlegen und nur darin arbeiten? Du willst User im AD einschränken also ist dafür auch die AD GPO Verwaltung das Werkzeug. Alternativ könntest du versuchen über Skripte im Netlogon Ordner Registry Werte zu ändern, welche ja indirekt dort mit dranhängen. Kennst du den Inhalt der vorhanden Richtlinien im Netz bzw. welche User diese bekommen?

Sehe ich auch so.

Mit was für einer Server- und TerminalClient-Lösung arbeitest du denn überhaupt?

Die GPOs werden in der folgenden Reihenfolge angewandt: Lokale GPO -> OU -> Site -> Domain

Wenn in der AD GPO keine Einstellung vorhanden ist, welche die der lokalen Policy rückgängig macht, bleibt diese Einstellung natürlich aktiviert.

Du mußt ein GPO mit den entsprechenden Einstellungen machen, per Security Filtering der entsprechenden Benutzergruppe zuweisen ('Apply' für diese Gruppe, Haken bei 'Apply' für 'Authenticated Users' entfernen), diese an die OU mit dem RDS Server hängen und in diesem GPO den Loopback Mode aktivieren.

Das hört sich gut an Frightener, danke!

Zwei Fragen hätte ich noch

"('Apply' für diese Gruppe, Haken bei 'Apply' für 'Authenticated Users' entfernen)"

1. Wo finde ich diese Einstellung?

2. Das mit dem Loopback Mode habe ich jetzt halbwegs verstanden, allerdings auch nur halb.
Ich habe eine GPO die ich per Security Filtering einer Gruppe zugewiesen habe, in dieser GPO ist der Loopback Mode aktiviert und wird auf die Mitglieder der Gruppe angewandt -> verständlich.

Die gleiche GPO weise ich jetzt aber auch der OU zu in der sich der TS befindet, deshalb gilt die Einstellung Loopback Mode doch auch für alle anderen User die sich an dem TS anmelden und nicht nur der Gruppe der ich die GPO über Security Filtering zu gewiesen habe.
Und da der Loopback Mode in den Computerkonfiguration gesetzt werden muss, verstehe ich nicht warum nur der Gruppe dann im Endeffekt dieser Mode zu gewiesen wird. Wäre die Einstellung unter Benutzerkonfiguration hätte ich es verstanden. Da nur die User in der Gruppe die Benutzerkonfiguration der GPO beachten, aber so ist das ja nicht, die Einstellung ist ja unter Computerkonfiguration.

Vielen Dank nochmal für eure Hilfe.

/e:

"Durch den Loop wird eine Schleife (Loopback = Salto rückwärts) bei der Übernahme erzeugt, die den Prozess der Benutzeranmeldung dazu bringt die Liste der Richtlinien des Computerobjekts durchzuschauen. Da nur in diesem speziellen Fall das Benutzerobjekt die Richtlinien des Computers liest und jetzt Benutzerkonfigurationen findet, die es lesen und übernehmen kann, funktioniert der Trick. "

Nach meiner Logik:
User außerhalb der Gruppe meldet sich an TS an (bekommt die Computerkonfiguration der GPO des TS, Benutzerkonfiguration der übergeordneten OU, da er nicht in der Gruppe ist die der GPO per Security Filtering zugewiesen wurde.)

User innerhalb der Gruppe meldet sich an TS an (bekommt die Computerkonfiguration der GPO des TS, Benutzerkonfiguration des TS da er in der Gruppe im Security Filtering ist)

Die Einstellung Loopback Mode wird in der Computerkonfiguration gesetzt, (dieser Mode besagt ja das der Benutzer die Benutzerkonfiguration der GPO des Computers erhält, die er normalerweise ignorieren würde, oder?) und da die Computerkonfiguration sowohl für die Gruppe als auch für andere User gilt die sich am TS anmelden, da die GPO ja dem TS zugewiesen ist, werden für alle User die Benutzerkonfiguration der TS GPO (Loopback) angewandt oder?

Wo ist mein Denkfehler

1. In den Eigenschaften des GPO (Rechtsklick) -> Reiter 'Sicherheit'
2. Das Security Filtering weist das GPO noch lange nicht zu. Erst wenn Du das GPO an ein Objekt (Domäne, Site, OU) linkst. Dann wirkt die Policy auf alle User oder Computer, die sich in diesem Container befinden, bzw. auf die Gruppen, die das 'Apply' Recht haben.
3. Sinn des Loopback Mode ist das Anwenden von Settings im User-Teil des GPO auf alle User, die sich am RDS Server anwenden. Deshalb darft Du dieses GPU nur an die OU mit dem RDS Server linken - hier liegst Du richtig.

Du hast nur den Sinn des Security Filtering vs. Linken des GPO an OUs noch nicht verstanden bzw. bringst das durcheinander.

Noch ein Tipp: Linken eines GPO an eine OU nur mit Gruppen funktioniert auch nicht Es müssen die Userobjekte in dieser OU sein.