Group policy for remote desktop

Har du din terminal server i en OU? For så kan du lave computer indstillinger for gp for terminal server frem for brugeren.

det har jeg prøvet, men det kan jeg ikke får til at virke
og så vil det vel også gælde for administrator ???

hvad er det præcist der der ikke virker ?

Det træder ikke i kgraft på terminal serveren

Jeg har feks. bare fjernet skralde spanden fra dekstop men den er der stadig

Jeg har gjort følgende
Lavet en ny ou og sat min terminal server ind i den
Lavet en group policy for den ou og sat remote dekstop users ind

Men den ændrer ikke en skid. :o(

Jeg skal måske lige huske at sige at min terminal server ikke er en domain controller, men bare er member af dmoain.. jeg ved ikke om der har noget at sige.

Hej Curtsen,
Hvad for et OS kører du på Terminal serveren, og hvad kører du på dine dc'ere ??
Jeg har været ude for dette nogle gange efterhånden hos diverse kunder. Selv om policyen er lavet korrekt så vil det bare ikke virke. Nu ved jeg ikke hvordan din policy ser ud, men du kan måske lave et udtræk af den vha. GPMC og poste den her på siden.. så vil jeg meget gerne kigge den igennem.
Hvis vi antager at din policy er lavet korrekt og du f.eks. IKKE har lavet (lad os sige) din Default domain policy til Enforced.. Så kan det mange gange være en god ide at lave en helt ny OU, smide din terminal server deri... og herefter bygge din policy op fra bunden (måske med et par indstillinger ad gangen).
Nogle gange er der sgu ikke en forklaring på alt :-D
Fortæl mig hvordan det går..

Terminal serveren kører 2003 PDc kører 2003

Jeg har lavet en ny ou og lagt min terminal server ind i den. (den kører citrix metaframe 4.0, men det burde jo ikke have noget at sige)lavet en ny policy og sat remote desktop users ind, men den vil ikke rigtig

min default domain policy er ikke enforced.

hvis jeg laver en ny policy på mine lokale brugere virker det fint nok, det gør det bare både på terminal serveren og på de lokale maskiner.

Hvordan laver jeg en export af min policy ??? så jeg kan poste den ??

Hvis jeg linker min policy til interne bruger så virker den som den skal, men så går det jo også ud over deres lokal maskiner...

har du prøvet det jeg skrev tidligere, altså kun at lade den GP virke på din terminal servers navn (altså kun på den computer og ikke definere nogen brugere ?)

Prøv at se i din policy om du har enablet "Group Policy Loopback Processing Mode" (definer den til "Merge".

bbl2061 hvor ser du det henne ? (er ikke noget jeg før har stødt på mener jeg)

Computer Configuration >Administrative Templates >System >Group Policy.
User Group Policy Loopback processing mode. Sæt mode til: Replace.

"Applies alternate user settings when a user logs on to a computer affected by this setting.

This setting directs the system to apply the set of Group Policy objects for the computer to any user who logs on to a computer affected by this setting. It is intended for special-use computers, such as those in public places, laboratories, and classrooms, where you must modify the user setting based on the computer that is being used.

By default, the user's Group Policy objects determine which user settings apply. If this setting is enabled, then, when a user logs on to this computer, the computer's Group Policy objects determine which set of Group Policy objects applies.

To use this setting, select one of the following modes from the Mode box:

--  "Replace" indicates that the user settings defined in the computer's Group Policy objects replace the user settings normally applied to the user.

--  "Merge" indicates that the user settings defined in the computer's Group Policy objects and the user settings normally applied to the user are combined. If the settings conflict, the user settings in the computer's Group Policy objects take precedence over the user's normal settings.

If you disable this setting or do not configure it, the user's Group Policy objects determines which user settings apply."

:-)

jeg tester det senere og vender tilbage...

okay, helt friskt setup

2 stk 2003 server en som dc og en anden som terminal server
jeg har lavet en ou og flyttet terminal serveren over i den
jeg har lavet en ny group police der fjener skralde spanden fra skrive bordet
linket denne til min ou med terminal servere
sat loopback til merge
sat den til at gælde for remote desktop users.

Men no Farkin way det vil virke, der må noget jeg overser... MEN HVAD

Så fik jeg det til at virke

lige det der med at slå koldt vand i blodet og vente mens policy bliver replikeret..

Kom med et par svar så deler jeg point ud

hvad var det så du havde overset ? (så andre kan få gavn af det, hvis de kommer i samme situation) ;)

Hvis man som i dette tilfælde vil lave et sæt regler - typisk for en terminal server eller en gruppe PC'er der er offentlig tilgængelige, og vil stramme sikkerheden op på dem i forhold til almindelige PC'er i ens domæne, er fremgangsmåden (som andre folk i denne diskution hat sagt) at man flytter de maskiner der skal have strammere sikkerhed i en OU for sig selv, lægger en Group Policy på OU med de stramme krav, og til sidst skal man enable "Group Policy Loopback processing".

Dette gør man fordi normalt læser PC'en først computer reglerne, og derefter User reglerne, og overskriver derved de stramme krav man har lavet. Ved at benytte Group Policy Loopback processing, sørger man for, at ens stramme krav bliver læst ind igen til sidst, og at det er dem der gælder.
Mener btw at tpo fortjener pointene for denne.