Korrektes Einstellen von Gruppenrichtlinien
Aus ITwiki
Version vom 3. Februar 2011, 15:32 Uhr von Flo84 (Diskussion | Beiträge)
Jemand, der schon einmal einen Terminalserver - egal ob unter 2003 oder 2008 - konfiguriert hat, wird sicher auf das Problem mit den Gruppenrichtlinien stoßen: jeder User, der sich am TS anmelden, soll (im Unterschied zu seinen Berechtigungen am lokalen Arbeitsplatz) stark eingeschränkte Rechte haben, mit Ausnahme der Administratoren. Wie lässt sich das nun problemlos umsetzen?
Lösungsvorschlag
Nachfolgend beschreibe ich, wie ich das Problem gelöst habe und auch der einfachste Weg ist, die GPO am TS umzusetzen.
- Erstelle zunächst im ActiveDirectory für das Computerkonto des TS eine eigene Organisationseinheit (OU), z. B. Terminalserver und schiebe das Konto in diese OU rein
- Öffne die Gruppenrichtlinienverwaltungskonsole (bei 2008 standardmäßig dabei, für 2003 kann diese von der Microsoft-Seite heruntergeladen werden)
- Erstelle eine neue Richtlinie für die OU Terminalserver und nimm alle gewünschten Einstellungen vor
- Klicke nach Abschluss auf den eben erstellten Richtlinieneintrag Terminalserver, im rechten Bereich der GPO-Konsole auf die Registerkarte Delegierung und dann auf den Button Erweitert...
- Es öffnet sich ein Fenster für die Sicherheitseinstellungen. Stelle hier für die Gruppe Domänen-Admins und Organisations-Admins die Berechtigung Gruppenrichtlinie übernehmen auf Verweigern. Dadurch wird erreicht, dass die Richtlinie für diese Benutzer, der dieser Gruppen angehören, nicht umgesetzt werden
Mehr ist es eigentlich nicht - es muss einfach für die Policy die Sicherheitseinstellung so gesetzt werden, dass diese für die genannten Gruppen nicht umgesetzt werden.