Forums Neueste Beiträge
 

Denkfehler LoopBack?

05/08/2009 - 16:01 von Davorin Scharping | Report spam
Hallo (Mark),

nochmal zum LBVM :-/

OU-Terminalserver
- Objekt Terminalserver
- GPO1 Loopback-on (Gültig für Terminalserver und TS-User-Group)
- GPO2 terminalserver-computer-einstellungen (enthàlt nur comp-einst.)
(gültig nur für Terminalserver)
- GPO3 terminalserver-user-einstellungen für den IE (enthàlt nur
user-einst.) (gültig nur für TS-User-Group)
- GPO4 terminalserver-user-einstellungen für den desktop (enthàlt nur
user-einst.) (gültig nur für TS-User-Group)

OU-Groups
- Objekt TS-User-Group
- GPO5 standard-nur-user-einstellungen

OU-User
- Objekt User1 (Mitglied in TS-USer-Group)

TS-User-Group und Termianlserver haben Read and Apply auf GPO1, Auth User
sind weg und Dom-Admins haben deny.

User1 meldet sich am TS an, er ist Mitglied der TS-User-Group und darf das.
Er bekommt GPO5 aus seiner eigenen OU.
GPO3 erhàlt er, weil er ein User ist, für den die GPO3 gilt, ebenso wie
GPO4.
Und GPO2 sollte ja gelten, weil er sich am TS-Server anmeldet.

Frage eins: Wozu brauche ich in diesem Fall den LBVM?
GPO3 (und GPO4) gilt doch auch so, ohne den LBVM und GPO2 ja sowieso, weil
die auf den Terminalserver wirkt.
Frage zwei: Wenn ich nicht will, dass GPO3 (und GPO4) auf den Admin wirkt,
kann ich den Admin (oder die Gruppe Dom-Admins) nicht einfach auf Deny
stellen?
Frage drei: Man braucht den LBVM also nur, wenn man in eine GPO neben den
Computereinstellungen _auch_ Benutzereinstellungen macht. Wenn man die
Computer- und Benutzereinstellugen in jeweils eigene GPOs steckt, braucht
man den LBVM nicht. Stimm das?

Verwirrte Grüße
Davorin
 

Lesen sie die antworten

#1 Mark Heitbrink [MVP]
06/08/2009 - 11:27 | Warnen spam
Hi,

Davorin Scharping schrieb:
- GPO3 terminalserver-user-einstellungen für den IE (enthàlt nur
user-einst.) (gültig nur für TS-User-Group)



Der TS muss die Richtlinien IMMER! mindestens Lesen dürfen.
Sonst kann er sie nicht übergeben, wenn das Objekt für ihn nicht im
Zugriff ist, kann der Loop es anschliessend auch nicht lesen.

OU-Groups
- Objekt TS-User-Group
- GPO5 standard-nur-user-einstellungen



Was soll das bringen? Ohne USer/Computer keine GPO Übernahme.

Tschö
Mark
Mark Heitbrink - MVP Windows Server - Group Policy

Homepage: www.gruppenrichtlinien.de - deutsch
Discuss : www.freelists.org/list/gpupdate

Ähnliche fragen