blöd zu erklären - bitte Text lesen...

11/05/2010 - 11:23 von H. Haas | Report spam
+0200"

Hallo zusammen,

suche eine Lösung zu folgendem Problem:

habe eine OU, in welcher alle Server drinne sind, auf welche über RDP zugegriffen werden darf/soll.
In der Gruppenrichtlinienverwaltung gibt es auf diese OU die Verknüpfung zur GPO Loopback.
Für jeden Server gibt es eine GPO, welche in der Sicherheitsfilterung eine entsprechende Gruppe gibt, die in der dem Server entsprechenden lokalen Grp "Remotedesktopbenutzer" enthalten ist.

Als Beispiel:
Auf Server1 soll über RDP zugegriffen werden, GPO-Verknüpfung mit Name "tsuser auf server1" in gleicher OU, wo auch server1 steht, sicherheitsfilterung: globale Grp "rdpZugriff auf server1", diese Gruppe ist Mitglied in der server1-lokalen Grp "remotedesktopbenutzer. In der Grp ist ein User mit namen Schmidt enthalten.

Ergebnis: Alles làuft bestens, gpo wird von den Usern übernommen, die in der grp "rdpZugriff auf server1" drinne sind. Loopback auch OK

Nun soll der User schmidt auf einen zusàtzlichen TS zugreifen können. Also selbes Spiel - neue grp "rdpZugriff auf server2", schmidt rein und grp in die lokale Grp "remotedesktopbenutzer" auf server2. Neue GPO "tsuser auf server2" erstellt und mit OU verknüpft, wo neben server1 auch server2 steht. Sicherheitsfilterung: rdpZugriff auf server2

Ergebnis: Schmidt kann sich anmelden aber leider wird neben der GPO "tsuser auf server2" auch die GPO "tsuser auf Server1" mit übernommen.

Hier nun die Frage: Ich möchte, dass Schmidt bei der Anmeldung auf server1 die GPO "tsuser auf server1" übernimmt und wenn Schmidt sich auf server2 über RDP anmeldet, dann soll er nur die GPO "tsuser auf server2" übernehmen.

Ich weiß, klingt kompliziert aber ist eigentlich einfach, wenn man sich die mmc-snap-ins anschauen kann.

Also kurzum, ein User ist in zwei unterschiedlichen gloabeln Gruppen, welche auf zwei verschiedenen Servern Mitglied einer lokalen Gruppe sind (Remotedesktopbenutzer). Bei der Anmeldung auf einem der beiden Server über RDP werden dann beide Richtlinien angewandt, was aber nicht sein soll.

Hat jemand eine Idee hierzu?

MfG Harald


+0200"

<HTML><HEAD>
<META content="text/html; charset=iso-8859-15" http-equiv=Content-Type>
<META name=GENERATOR content="MSHTML 8.00.7600.16535"></HEAD>
<BODY style="MARGIN: 4px 4px 1px; FONT: 10pt Frutiger 45 Light; COLOR: #000000">
<DIV>Hallo zusammen,</DIV>
<DIV>&nbsp;</DIV>
<DIV>suche eine Lösung zu folgendem Problem:</DIV>
<DIV>&nbsp;</DIV>
<DIV>habe eine OU, in welcher alle Server drinne sind, auf welche über RDP zugegriffen werden darf/soll.</DIV>
<DIV>In der Gruppenrichtlinienverwaltung gibt es auf diese OU die Verknüpfung zur GPO Loopback.</DIV>
<DIV>Für jeden Server gibt es eine GPO, welche in der Sicherheitsfilterung eine entsprechende Gruppe gibt, die in der dem Server entsprechenden lokalen Grp "Remotedesktopbenutzer" enthalten ist.</DIV>
<DIV>&nbsp;</DIV>
<DIV>Als Beispiel:</DIV>
<DIV>Auf Server1 soll über RDP zugegriffen werden, GPO-Verknüpfung mit Name "tsuser auf server1" in gleicher OU, wo auch server1 steht, sicherheitsfilterung: globale Grp "rdpZugriff auf server1", diese Gruppe ist Mitglied in der server1-lokalen Grp "remotedesktopbenutzer. In der Grp ist ein User mit namen Schmidt enthalten.</DIV>
<DIV>&nbsp;</DIV>
<DIV>Ergebnis: Alles làuft bestens, gpo&nbsp; wird von den Usern übernommen, die in der grp "rdpZugriff auf server1" drinne sind. Loopback auch OK</DIV>
<DIV>&nbsp;</DIV>
<DIV>Nun soll der User schmidt auf einen zusàtzlichen TS zugreifen können. Also selbes Spiel - neue grp "rdpZugriff auf server2", schmidt rein und grp in die lokale Grp "remotedesktopbenutzer" auf server2. Neue GPO "tsuser auf server2"&nbsp;erstellt und mit OU verknüpft, wo neben server1 auch server2 steht. Sicherheitsfilterung: rdpZugriff auf server2</DIV>
<DIV>&nbsp;</DIV>
<DIV>Ergebnis: Schmidt kann sich anmelden aber leider wird neben der GPO "tsuser auf server2" auch die GPO "tsuser auf Server1" mit übernommen.</DIV>
<DIV>&nbsp;</DIV>
<DIV>Hier nun die Frage: Ich möchte, dass Schmidt bei der Anmeldung auf server1 die GPO "tsuser auf server1" übernimmt und wenn Schmidt sich auf server2 über RDP anmeldet, dann soll er nur die GPO "tsuser auf server2" übernehmen.</DIV>
<DIV>&nbsp;</DIV>
<DIV>Ich weiß, klingt kompliziert aber ist eigentlich einfach, wenn man sich die mmc-snap-ins anschauen kann.</DIV>
<DIV>&nbsp;</DIV>
<DIV>Also kurzum, ein User ist in zwei unterschiedlichen gloabeln Gruppen, welche auf zwei verschiedenen Servern Mitglied einer lokalen Gruppe sind (Remotedesktopbenutzer). Bei der Anmeldung auf einem der beiden Server über RDP werden dann beide Richtlinien angewandt, was aber nicht sein soll.</DIV>
<DIV>&nbsp;</DIV>
<DIV>Hat jemand eine Idee hierzu?</DIV>
<DIV>&nbsp;</DIV>
<DIV>MfG Harald</DIV></BODY></HTML>

 

Lesen sie die antworten

#1 Mark Heitbrink [MVP]
11/05/2010 - 12:27 | Warnen spam
Hi,

Am 11.05.2010 11:23, schrieb H. Haas:
Hier nun die Frage: Ich möchte, dass Schmidt bei der Anmeldung auf
server1 die GPO "tsuser auf server1" übernimmt und wenn Schmidt sich auf
server2 über RDP anmeldet, dann soll er nur die GPO "tsuser auf server2"
übernehmen.



Verwende eine Sigruppe für Computer und Benutzer
-> entferne die aktuellen Filter
-> entferne die Integration in die Remotedesktop User
arbeite mit "Anmelden über Terminal Dienste"
-> entferne die authentifizierten Benutzer

Erstelle pro TServer die "passende" User Richtlinie, filtere
diese aufgrundlage der Computerkonten, arbeite mit einer
reinen Whitelist.

1GPO
TSUser Gruppe1 an TSServer1
-> SiGruppe TSServer1 lesen
-> Sigruppe TSUser1 lesen und übernehmen

2GPO
TSUser Gruppe1 an TSServer1
-> SiGruppe TSServer2 lesen
-> Sigruppe TSUser2 lesen und übernehmen

"Willi" ist mitglied von TSUser 1 und 2, was wird passieren?
An TServer2 wird nur TSUser2 übernommen, da TServer2 die GPO für
TSserver1 nicht lesen darf. Also kann er sie auch nicht per
Loopback übergeben.

Tschö
Mark
Mark Heitbrink - MVP Windows Server - Group Policy

Homepage: www.gruppenrichtlinien.de - deutsch
Discuss : www.freelists.org/list/gpupdate

Ähnliche fragen