Discussion:
mehrere Gruppenrichtlinien auf Terminalservern
(zu alt für eine Antwort)
Wolfgang Wilhelm
2007-05-10 09:28:10 UTC
Permalink
Hallo Gruppe,

ich habe eine Frage zu mehreren Gruppenrichtlinien und deren Prioritäten
in einer Terminalserverumgebung mit Loopbackverarbeitung (Typ ersetzen).

Als erstes habe ich Sicherheitsberechtigungen auf die Richtlinie gesetzt:

Gruppe TerminalServer mit den Computerkonten
Gruppe CitrixBenutzer mit den Benutzerkonten

Diesen Gruppen Lese- und Gruppenrichtlinie übernehmen gegeben,
Builtin Gruppe Authentifizierte Benutzer entfernt.
Die Anwendung der Richtlinien auf die Citrixbenutzer funktioniert so
einwandfrei.

Nun möchte ich eine Richtlinie für alle Benutzer erstellen die sich am TS
anmelden. Dazu habe ich ein paar Fragen

* Reicht es diese zu erstellen und in der TS-OU zu verlinken?
* Muss in dieser Richtlinie auch der Loopbackverarbeitungsmodus aktiviert
sein oder reicht der LBVM der ersten Richtlinie?
* In welcher Priorität müssen diese in der Konsole eingetragen werden?
* Welcher Modus muss dann gewählt werden (überschreiben/ersetzen)?

Mit freundlichen Grüssen
--
Wolfgang Wilhelm http://rz-home.de/wwilhelm/
"I heard if you play the NT-4.0-CD backwards, you get a satanic message."
"Thats nothing, if you play it forward, it installs NT-4.0
Mark Heitbrink [MVP]
2007-05-10 10:02:25 UTC
Permalink
Hi,
[TS GPOs mit Loopback]
* Reicht es diese zu erstellen und in der TS-OU zu verlinken?
... wenn deine Sicherheitsgruppen stimmen (lesen /übernehme), dann ja.
* Muss in dieser Richtlinie auch der Loopbackverarbeitungsmodus aktiviert
sein oder reicht der LBVM der ersten Richtlinie?
LBVM ist ein einzelnes Flag, das nur einmal für das Computerkonto
definiert werden muss und dann von der winlogon.exe verwendet wird.
Also: Einmal reicht.
* In welcher Priorität müssen diese in der Konsole eingetragen werden?
... in der sie zur anwendung kommen sollen.
* Welcher Modus muss dann gewählt werden (überschreiben/ersetzen)?
... abhängig davon, ob du die "normale" Benutzerkonfiguration der
Anwender noch weiterhin verwenden möchtest (Zusammenführend) oder eben
nicht (Ersetzend). Die BenKonfig aus der Computer Hirarchie wird immer
nach den Benutzereinstellungen des Benutzerobjekts laufen.

Tschö
Mark
--
Mark Heitbrink - MVP Windows Server - Group Policy

Homepage: www.gruppenrichtlinien.de - deutsch
Blog: gpupdate.spaces.live.com - english
Wolfgang Wilhelm
2007-05-10 10:44:19 UTC
Permalink
Am 05/10/2007 12:02 PM schrieb Mark Heitbrink [MVP]:

Vielen Dank für die schnelle Antwort.
Post by Mark Heitbrink [MVP]
Post by Wolfgang Wilhelm
* Welcher Modus muss dann gewählt werden (überschreiben/ersetzen)?
... abhängig davon, ob du die "normale" Benutzerkonfiguration der
Anwender noch weiterhin verwenden möchtest (Zusammenführend) oder eben
nicht (Ersetzend). Die BenKonfig aus der Computer Hirarchie wird immer
nach den Benutzereinstellungen des Benutzerobjekts laufen.
Im TS Umfeld sollen keinerlei Richtlinien der Benutzerobjekte eingetragen
sein, sondern nur die Policy der OU Terminalserver.

Ich dachte halt eine Richtlinie mit der Priorität 1 für die Gruppe(n)
- Citrixbenutzer
- Terminalserver Computer

Dort sind Startmenü beschnitten, Laufwerke ausgeblendet etc.

Nun wollte ich aber eine weitere Richtlinie setzen (für wirklich alle
Nutzer, inclusive dem Adminsitrator).
Dort sollen Proxyserver konfiguriert, Laufwerksumleitungen oder
Installation von Druckertreibern verboten sein.

Nur weiss ich nicht wie dies einzurichten wäre.
Nehme ich die Richtlinie mit Priorität 2 und wähle in den Benutzervorlagen
die entsprechennden Dinge aus und setzte den Type auf "Ersetzen", denke ich
ist doch die 1. Richtlinie nicht wirksam. (werden auch die Computervorlagen
überschrieben, obwohl in dieser Richtlinie keine konfiguriert sind?)

Ich hoffe das die Anwendung so verläuft:

Benutzer meldet sich an TS an:

--> Gruppenrichtlinie OU Terminalserver wird gelesen
--> Loopback wird erkannt
--> Richtlinien der OU TS / Benutzerkonfiguration wird angewendet
--> Richtlinien der OU TS / Computerkonfiguration wird angewendet

bis hier hin alles OK
------
--> 2. Richtlinie OU TS / Benutzerkonfiguration soll angewendet werden

Also kann ich hier "Zusammenführen" wählen?

Mit freundlichen Grüssen
--
Wolfgang Wilhelm http://rz-home.de/wwilhelm/
"I heard if you play the NT-4.0-CD backwards, you get a satanic message."
"Thats nothing, if you play it forward, it installs NT-4.0
Mark Heitbrink [MVP]
2007-05-10 11:24:49 UTC
Permalink
Hi,
Post by Wolfgang Wilhelm
Im TS Umfeld sollen keinerlei Richtlinien der Benutzerobjekte eingetragen
sein, sondern nur die Policy der OU Terminalserver.
Dann ist die einzige Wahl: Ersetzend.
Post by Wolfgang Wilhelm
Nun wollte ich aber eine weitere Richtlinie setzen (für wirklich alle
Nutzer, inclusive dem Adminsitrator).
Dort sollen Proxyserver konfiguriert, Laufwerksumleitungen oder
Installation von Druckertreibern verboten sein.
Dann erstelle sie, häng sie an die OU Terminalserver und definiere
Authentifizierte Benutzer als Ziel ...
Die Reihenfolge ist ja total egal, wenn der Proxy nicht in der
vorhandenen BenKonf der TS Richtlinien definiert ist. Es kommt
zum normalen RSoP (Resultance Set of Policies).
Alle Einstellungen der angewendeten Richtlinien werden zusammengeführt
und nachfolgende ersetzen vorhergehende, bei konkurrierenden Einstellungen.
Post by Wolfgang Wilhelm
[...] Also kann ich hier "Zusammenführen" wählen?
Nein. Da LBVM eine einmalige Einstellung ist und du oben geschrieben
hast, daß du KEINE vorhandene Benutzerkonfig haben möchtest.

http://www.gruppenrichtlinien.de/Grundlagen/Loopback_Verarbeitungs_Modus.htm

Tschö
Mark
--
Mark Heitbrink - MVP Windows Server - Group Policy

Homepage: www.gruppenrichtlinien.de - deutsch
Blog: gpupdate.spaces.live.com - english
Loading...