Korrektes Einstellen von Gruppenrichtlinien

Aus ITwiki
Wechseln zu: Navigation, Suche

Jemand, der schon einmal einen Terminalserver - egal ob unter 2003 oder 2008 - konfiguriert hat, wird sicher auf das Problem mit den Gruppenrichtlinien stoßen: jeder User, der sich am TS anmelden, soll (im Unterschied zu seinen Berechtigungen am lokalen Arbeitsplatz) stark eingeschränkte Rechte haben, mit Ausnahme der Administratoren. Wie lässt sich das nun problemlos umsetzen?

Lösungsvorschlag[Bearbeiten]

Nachfolgend beschreibe ich, wie ich das Problem gelöst habe und auch der einfachste Weg ist, die GPO am TS umzusetzen.

  1. Erstelle zunächst im ActiveDirectory für das Computerkonto des TS eine eigene Organisationseinheit (OU), z. B. Terminalserver und schiebe das Konto in diese OU rein
  2. Öffne die Gruppenrichtlinienverwaltungskonsole (bei 2008 standardmäßig dabei, für 2003 kann diese von der Microsoft-Seite heruntergeladen werden)
  3. Erstelle eine neue Richtlinie für die OU Terminalserver und nimm alle gewünschten Einstellungen vor. Beachte: es ist notwendig, den Loopback-Verarbeitungsmodus zu aktivieren, da die TS-Richtlinie sonst nicht übernommen wird (siehe Beitrag auf gruppenrichtlinien.de). Stelle also in der Richtlinie Computerkonfiguration\Administrative Vorlagen\System\Gruppenrichtlinien\Loopbackverarbeitungsmodus für Benutzergruppenrichtlinie den Wert auf aktiviert, Option Ersetzen. Wie gesagt: sonst greift die Richtlinie nicht!
  4. Klicke nach Abschluss auf den eben erstellten Richtlinieneintrag Terminalserver, im rechten Bereich der GPO-Konsole auf die Registerkarte Delegierung und dann auf den Button Erweitert...
  5. Es öffnet sich ein Fenster für die Sicherheitseinstellungen. Stelle hier für die Gruppe Domänen-Admins und Organisations-Admins die Berechtigung Gruppenrichtlinie übernehmen auf Verweigern. Dadurch wird erreicht, dass die Richtlinie für diese Benutzer, der dieser Gruppen angehören, nicht umgesetzt werden

Mehr ist es eigentlich nicht - es muss einfach für die Policy die Sicherheitseinstellung so gesetzt werden, dass diese für die genannten Gruppen nicht umgesetzt werden.

Nützliche Links[Bearbeiten]

Abgerufen von „http://wiki.butzhammer.de/index.php?title=Korrektes_Einstellen_von_Gruppenrichtlinien&oldid=1545