Korrektes Einstellen von Gruppenrichtlinien: Unterschied zwischen den Versionen
Aus ITwiki
Flo84 (Diskussion | Beiträge) |
Flo84 (Diskussion | Beiträge) |
||
Zeile 9: | Zeile 9: | ||
# Erstelle eine neue Richtlinie für die OU '''Terminalserver''' und nimm alle gewünschten Einstellungen vor | # Erstelle eine neue Richtlinie für die OU '''Terminalserver''' und nimm alle gewünschten Einstellungen vor | ||
# Klicke nach Abschluss auf den eben erstellten Richtlinieneintrag '''Terminalserver''', im rechten Bereich der GPO-Konsole auf die Registerkarte '''Delegierung''' und dann auf den Button '''Erweitert...''' | # Klicke nach Abschluss auf den eben erstellten Richtlinieneintrag '''Terminalserver''', im rechten Bereich der GPO-Konsole auf die Registerkarte '''Delegierung''' und dann auf den Button '''Erweitert...''' | ||
− | # Es öffnet sich ein Fenster für die '''Sicherheitseinstellungen'''. Stelle hier für die Gruppe '''Domänen-Admins''' | + | # Es öffnet sich ein Fenster für die '''Sicherheitseinstellungen'''. Stelle hier für die Gruppe '''Domänen-Admins''' und '''Organisations-Admins''' die Berechtigung '''Gruppenrichtlinie übernehmen''' auf '''Verweigern'''. Dadurch wird erreicht, dass die Richtlinie für diese Benutzer, der dieser Gruppen angehören, nicht umgesetzt werden |
Mehr ist es eigentlich nicht - es muss einfach für die Policy die Sicherheitseinstellung so gesetzt werden, dass diese für die genannten Gruppen nicht umgesetzt werden. | Mehr ist es eigentlich nicht - es muss einfach für die Policy die Sicherheitseinstellung so gesetzt werden, dass diese für die genannten Gruppen nicht umgesetzt werden. |
Version vom 3. Februar 2011, 15:32 Uhr
Jemand, der schon einmal einen Terminalserver - egal ob unter 2003 oder 2008 - konfiguriert hat, wird sicher auf das Problem mit den Gruppenrichtlinien stoßen: jeder User, der sich am TS anmelden, soll (im Unterschied zu seinen Berechtigungen am lokalen Arbeitsplatz) stark eingeschränkte Rechte haben, mit Ausnahme der Administratoren. Wie lässt sich das nun problemlos umsetzen?
Lösungsvorschlag
Nachfolgend beschreibe ich, wie ich das Problem gelöst habe und auch der einfachste Weg ist, die GPO am TS umzusetzen.
- Erstelle zunächst im ActiveDirectory für das Computerkonto des TS eine eigene Organisationseinheit (OU), z. B. Terminalserver und schiebe das Konto in diese OU rein
- Öffne die Gruppenrichtlinienverwaltungskonsole (bei 2008 standardmäßig dabei, für 2003 kann diese von der Microsoft-Seite heruntergeladen werden)
- Erstelle eine neue Richtlinie für die OU Terminalserver und nimm alle gewünschten Einstellungen vor
- Klicke nach Abschluss auf den eben erstellten Richtlinieneintrag Terminalserver, im rechten Bereich der GPO-Konsole auf die Registerkarte Delegierung und dann auf den Button Erweitert...
- Es öffnet sich ein Fenster für die Sicherheitseinstellungen. Stelle hier für die Gruppe Domänen-Admins und Organisations-Admins die Berechtigung Gruppenrichtlinie übernehmen auf Verweigern. Dadurch wird erreicht, dass die Richtlinie für diese Benutzer, der dieser Gruppen angehören, nicht umgesetzt werden
Mehr ist es eigentlich nicht - es muss einfach für die Policy die Sicherheitseinstellung so gesetzt werden, dass diese für die genannten Gruppen nicht umgesetzt werden.