Korrektes Einstellen von Gruppenrichtlinien: Unterschied zwischen den Versionen
Aus ITwiki
Flo84 (Diskussion | Beiträge) |
Flo84 (Diskussion | Beiträge) |
||
Zeile 7: | Zeile 7: | ||
# Erstelle zunächst im ActiveDirectory für das Computerkonto des TS eine eigene Organisationseinheit (OU), z. B. '''Terminalserver''' und schiebe das Konto in diese OU rein | # Erstelle zunächst im ActiveDirectory für das Computerkonto des TS eine eigene Organisationseinheit (OU), z. B. '''Terminalserver''' und schiebe das Konto in diese OU rein | ||
# Öffne die '''Gruppenrichtlinienverwaltungskonsole''' (bei 2008 standardmäßig dabei, für 2003 kann diese von der [http://www.microsoft.com/downloads/details.aspx?familyid=f39e9d60-7e41-4947-82f5-3330f37adfeb&displaylang=de Microsoft-Seite heruntergeladen] werden) | # Öffne die '''Gruppenrichtlinienverwaltungskonsole''' (bei 2008 standardmäßig dabei, für 2003 kann diese von der [http://www.microsoft.com/downloads/details.aspx?familyid=f39e9d60-7e41-4947-82f5-3330f37adfeb&displaylang=de Microsoft-Seite heruntergeladen] werden) | ||
− | # Erstelle eine neue Richtlinie für die OU '''Terminalserver''' und nimm alle gewünschten Einstellungen vor | + | # Erstelle eine neue Richtlinie für die OU '''Terminalserver''' und nimm alle gewünschten Einstellungen vor. '''Beachte:''' es ist notwendig, den Loopback-Verarbeitungsmodus zu aktivieren, da die TS-Richtlinie sonst nicht übernommen wird ([http://www.gruppenrichtlinien.de/index.html?/Grundlagen/Loopback_Verarbeitungs_Modus.htm siehe Beitrag auf gruppenrichtlinien.de]). Stelle also in der Richtlinie '''Computerkonfiguration\Administrative Vorlagen\System\Gruppenrichtlinien\Loopbackverarbeitungsmodus für Benutzergruppenrichtlinie''' den Wert auf '''aktiviert''', Option '''Ersetzen'''. Wie gesagt: sonst greift die Richtlinie nicht! |
# Klicke nach Abschluss auf den eben erstellten Richtlinieneintrag '''Terminalserver''', im rechten Bereich der GPO-Konsole auf die Registerkarte '''Delegierung''' und dann auf den Button '''Erweitert...''' | # Klicke nach Abschluss auf den eben erstellten Richtlinieneintrag '''Terminalserver''', im rechten Bereich der GPO-Konsole auf die Registerkarte '''Delegierung''' und dann auf den Button '''Erweitert...''' | ||
# Es öffnet sich ein Fenster für die '''Sicherheitseinstellungen'''. Stelle hier für die Gruppe '''Domänen-Admins''' und '''Organisations-Admins''' die Berechtigung '''Gruppenrichtlinie übernehmen''' auf '''Verweigern'''. Dadurch wird erreicht, dass die Richtlinie für diese Benutzer, der dieser Gruppen angehören, nicht umgesetzt werden | # Es öffnet sich ein Fenster für die '''Sicherheitseinstellungen'''. Stelle hier für die Gruppe '''Domänen-Admins''' und '''Organisations-Admins''' die Berechtigung '''Gruppenrichtlinie übernehmen''' auf '''Verweigern'''. Dadurch wird erreicht, dass die Richtlinie für diese Benutzer, der dieser Gruppen angehören, nicht umgesetzt werden |
Aktuelle Version vom 4. Februar 2011, 11:31 Uhr
Jemand, der schon einmal einen Terminalserver - egal ob unter 2003 oder 2008 - konfiguriert hat, wird sicher auf das Problem mit den Gruppenrichtlinien stoßen: jeder User, der sich am TS anmelden, soll (im Unterschied zu seinen Berechtigungen am lokalen Arbeitsplatz) stark eingeschränkte Rechte haben, mit Ausnahme der Administratoren. Wie lässt sich das nun problemlos umsetzen?
Lösungsvorschlag[Bearbeiten]
Nachfolgend beschreibe ich, wie ich das Problem gelöst habe und auch der einfachste Weg ist, die GPO am TS umzusetzen.
- Erstelle zunächst im ActiveDirectory für das Computerkonto des TS eine eigene Organisationseinheit (OU), z. B. Terminalserver und schiebe das Konto in diese OU rein
- Öffne die Gruppenrichtlinienverwaltungskonsole (bei 2008 standardmäßig dabei, für 2003 kann diese von der Microsoft-Seite heruntergeladen werden)
- Erstelle eine neue Richtlinie für die OU Terminalserver und nimm alle gewünschten Einstellungen vor. Beachte: es ist notwendig, den Loopback-Verarbeitungsmodus zu aktivieren, da die TS-Richtlinie sonst nicht übernommen wird (siehe Beitrag auf gruppenrichtlinien.de). Stelle also in der Richtlinie Computerkonfiguration\Administrative Vorlagen\System\Gruppenrichtlinien\Loopbackverarbeitungsmodus für Benutzergruppenrichtlinie den Wert auf aktiviert, Option Ersetzen. Wie gesagt: sonst greift die Richtlinie nicht!
- Klicke nach Abschluss auf den eben erstellten Richtlinieneintrag Terminalserver, im rechten Bereich der GPO-Konsole auf die Registerkarte Delegierung und dann auf den Button Erweitert...
- Es öffnet sich ein Fenster für die Sicherheitseinstellungen. Stelle hier für die Gruppe Domänen-Admins und Organisations-Admins die Berechtigung Gruppenrichtlinie übernehmen auf Verweigern. Dadurch wird erreicht, dass die Richtlinie für diese Benutzer, der dieser Gruppen angehören, nicht umgesetzt werden
Mehr ist es eigentlich nicht - es muss einfach für die Policy die Sicherheitseinstellung so gesetzt werden, dass diese für die genannten Gruppen nicht umgesetzt werden.