Korrektes Einstellen von Gruppenrichtlinien

Jemand, der schon einmal einen Terminalserver - egal ob unter 2003 oder 2008 - konfiguriert hat, wird sicher auf das Problem mit den Gruppenrichtlinien stoßen: jeder User, der sich am TS anmelden, soll (im Unterschied zu seinen Berechtigungen am lokalen Arbeitsplatz) stark eingeschränkte Rechte haben, mit Ausnahme der Administratoren. Wie lässt sich das nun problemlos umsetzen?

Lösungsvorschlag

Nachfolgend beschreibe ich, wie ich das Problem gelöst habe und auch der einfachste Weg ist, die GPO am TS umzusetzen.

1. Erstelle zunächst im ActiveDirectory für das Computerkonto des TS eine eigene Organisationseinheit (OU), z. B. Terminalserver und schiebe das Konto in diese OU rein
2. Öffne die Gruppenrichtlinienverwaltungskonsole (bei 2008 standardmäßig dabei, für 2003 kann diese von der Microsoft-Seite heruntergeladen werden)
3. Erstelle eine neue Richtlinie für die OU Terminalserver und nimm alle gewünschten Einstellungen vor
4. Klicke nach Abschluss auf die Richtlinie Terminalserver und im rechten Bereich der GPO-Verwaltungskonsole auf den Button Erweitert...
5. Es öffnet sich ein Fenster für die Sicherheitseinstellungen. Stelle hier für die Gruppe Domänen-Admins, Organisations-Admins und System die Berechtigung Gruppenrichtlinie übernehmen auf Verweigern. Dadurch wird erreicht, dass die Richtlinie für diese Benutzer, der dieser Gruppen angehören, nicht umgesetzt werden

Mehr ist es eigentlich nicht - es muss einfach für die Policy die Sicherheitseinstellung so gesetzt werden, dass diese für die genannten Gruppen nicht umgesetzt werden.

Nützliche Links

• Gruppenrichtlinienverwaltungskonsole
• Beitrag zum Thema auf buehler.be