blöd zu erklären - bitte Text lesen...

[H. Haas]

Hallo zusammen,

 

suche eine Lösung zu folgendem Problem:

 

habe eine OU, in welcher alle Server drinne sind, auf welche über RDP zugegriffen werden darf/soll.

In der Gruppenrichtlinienverwaltung gibt es auf diese OU die Verknüpfung zur GPO Loopback.

Für jeden Server gibt es eine GPO, welche in der Sicherheitsfilterung eine entsprechende Gruppe gibt, die in der dem Server entsprechenden lokalen Grp "Remotedesktopbenutzer" enthalten ist.

 

Als Beispiel:

Auf Server1 soll über RDP zugegriffen werden, GPO-Verknüpfung mit Name "tsuser auf server1" in gleicher OU, wo auch server1 steht, sicherheitsfilterung: globale Grp "rdpZugriff auf server1", diese Gruppe ist Mitglied in der server1-lokalen Grp "remotedesktopbenutzer. In der Grp ist ein User mit namen Schmidt enthalten.

 

Ergebnis: Alles läuft bestens, gpo  wird von den Usern übernommen, die in der grp "rdpZugriff auf server1" drinne sind. Loopback auch OK

 

Nun soll der User schmidt auf einen zusätzlichen TS zugreifen können. Also selbes Spiel - neue grp "rdpZugriff auf server2", schmidt rein und grp in die lokale Grp "remotedesktopbenutzer" auf server2. Neue GPO "tsuser auf server2" erstellt und mit OU verknüpft, wo neben server1 auch server2 steht. Sicherheitsfilterung: rdpZugriff auf server2

 

Ergebnis: Schmidt kann sich anmelden aber leider wird neben der GPO "tsuser auf server2" auch die GPO "tsuser auf Server1" mit übernommen.

 

Hier nun die Frage: Ich möchte, dass Schmidt bei der Anmeldung auf server1 die GPO "tsuser auf server1" übernimmt und wenn Schmidt sich auf server2 über RDP anmeldet, dann soll er nur die GPO "tsuser auf server2" übernehmen.

 

Ich weiß, klingt kompliziert aber ist eigentlich einfach, wenn man sich die mmc-snap-ins anschauen kann.

 

Also kurzum, ein User ist in zwei unterschiedlichen gloabeln Gruppen, welche auf zwei verschiedenen Servern Mitglied einer lokalen Gruppe sind (Remotedesktopbenutzer). Bei der Anmeldung auf einem der beiden Server über RDP werden dann beide Richtlinien angewandt, was aber nicht sein soll.

 

Hat jemand eine Idee hierzu?

 

MfG Harald

[Mark Heitbrink [MVP]]

Hi,

Am 11.05.2010 11:23, schrieb H. Haas:
> Hier nun die Frage: Ich mï¿œchte, dass Schmidt bei der Anmeldung auf
> server1 die GPO "tsuser auf server1" ï¿œbernimmt und wenn Schmidt sich auf
> server2 ï¿œber RDP anmeldet, dann soll er nur die GPO "tsuser auf server2"
> ï¿œbernehmen.

Verwende eine Sigruppe fï¿œr Computer und Benutzer
-> entferne die aktuellen Filter
-> entferne die Integration in die Remotedesktop User
arbeite mit "Anmelden ï¿œber Terminal Dienste"
-> entferne die authentifizierten Benutzer

Erstelle pro TServer die "passende" User Richtlinie, filtere
diese aufgrundlage der Computerkonten, arbeite mit einer
reinen Whitelist.

1GPO
TSUser Gruppe1 an TSServer1
-> SiGruppe TSServer1 lesen
-> Sigruppe TSUser1 lesen und ï¿œbernehmen

2GPO
TSUser Gruppe1 an TSServer1
-> SiGruppe TSServer2 lesen
-> Sigruppe TSUser2 lesen und ï¿œbernehmen

"Willi" ist mitglied von TSUser 1 und 2, was wird passieren?
An TServer2 wird nur TSUser2 ï¿œbernommen, da TServer2 die GPO fï¿œr
TSserver1 nicht lesen darf. Also kann er sie auch nicht per
Loopback ï¿œbergeben.

Tschￜ
Mark
--
Mark Heitbrink - MVP Windows Server - Group Policy

Homepage: www.gruppenrichtlinien.de - deutsch
Discuss : www.freelists.org/list/gpupdate