28. september 2011 - 16:34Der er
28 kommentarer og 3 løsninger
GPO rammer Domain admin
Hejsa
vores miljø består af: SBS2003 & Svr2003 std ed (WTS mode)
vores brugere har altid logget på som "Domain admin" uden nogen form for nedlåsning af WTS-serveren. Jeg har nu fået tingene til, at køre som domain users uden issues.
Nu har jeg så lavet en effektiv GPO der låser deres WTS-session ned så de ikke kan starte uhensigtsmæssige elementer på serveren. Denne GPO har jeg linket til en OU hvori Terminalserveren ligger.
I GPOen har jeg sat "GPO User Loopback" og i user-delen i GPOen fjernet run, explorer, network places, folder redirections mv.
Mit eneste problem er bare, at når jeg logger på som ADMINISTRATOR bliver jeg også RAMT af denne gpo ...
jeg har linket GPOen til den specifikke OU hvor i Terminalserver ligger men i security filtering var den sat til, at ramme "Authenticated users" med "GPO Loopback processing".
Dette er nu rettet til en WTS_Permitted SecurityGroup som Administratoren IKKE er medlem af.
Det du referere til er det "security filtering" eller er det noget andet du snakker om?
#1 nu har jeg prøvet forskellige ting og det slår simpelthen ikke igennem ... det er noget underligt.... Sletter den gamle GPO og prøver igen from "Scratch".
* Åbner GPMC:
* browser mig frem til domain.local\businessname\servers\terminalservers (Sørger selvfølgelig for, at selve "harwaren" ligger i den OU-Streng)
* højreklikker og vælger "Create and Link GPO here"
* Markere GPO'en og fjerner "Authenticated users" fra "Security Filtering
* Editerer min GPO
* Slår GPO Loopback Processing til (så users der logger ind på hardwaren bliver ramt af "User settings" fra GPO'en
* Logger på Terminalserveren som "Domain admin" og laver en Gpupdate /force
#4 fordi alle brugerne ikke altid logger på terminal serveren og jeg skal ikke "begrænse" deres lokale laptops
#5 Det er det jeg gør og i samme øjeblik jeg "piller" ved security filtering går det helt galt.
Mine tidligere kollegaer har faktisk tilføjet "domain users" til "Remote desktop users" sikkerhedsgruppen på den LOKALE server.
F.eks har jeg nu bare lavet en lille GPO der rammer Terminalserveren via AD'et og sagt, at gruppen "WTS_Permitted" skal have "allow logon through terminal services".
Det er den FULDSTÆNDIG ligeglad med... der sker INTET. og jeg har lavet gpupdate /force inden jeg forsøger logon.
I Group Policy Managemet har du prøvet at køre en Group Policy Results på jeres administrator når den er logge på terminalserveren for at se hvad han bliver ramt af, kontra en "normal" bruger.
#7 Terminal serveren ligger i en særskilt OU netop for, at den GPO KUN rammer brugerne når de logger på terminalen og ikke deres normale arbejds stationer
#8 Det er det jeg gør :-)
#9 nu dukker GPO'erne op ... for satan jeg bliver gråhåret snart :D
Burde en GPOupdate /force på terminalserveren ikke gennemtvinge en øjblikkelig opdatering af GPOerne?
men selvom brugeren "test" har allow logon through terminal services får jeg, at vide jeg bliver nægtet adgang fordi jeg ikke har "remote desktop users" permission.
Adminsitratoren får lov fordi "domain admin" er skrivet ind i den lokale computers gruppe "remote desktop user"
Hvis du på jeres terminal server vælger: højere klik på computer vælge administrer - under lokale brugere - Grupper - Remote Desktop Users, hvem er medlem af den gruppe?
mht domain admin ikke kan logge på kan det være fordi du er kommet til at logge på lokalt på server og ikke via domain? ( er set før ;O kostede noget kage )
I din gpo under Computer Configuration - Windows Settings - Security Settings - Lacal Policies/User Rights Assignment - Policy Allow log on through Terminal Service: hvilke Setteing har du her?
og med den opsætning kan jeg ikke logge på med en brugerkonto defineret i AD ...
eneste årsag til jeg kan logge på er fordi "local groups" "remote desktop users" har "Domain users" & "Domain admins" fjerner jeg de 2 bliver jeg "Lockoutet"
1: OK 2: lige meget for det er kun brugerne af gpo der kan logge på pga. denne: I din gpo under Computer Configuration - Windows Settings - Security Settings - Lacal Policies/User Rights Assignment - Policy Allow log on through Terminal Service: hvilke Setteing har du her?
de bruger der står her kan logge på.
3: OK
Du er sikker på der ikke ligger noget gammel gpo halløj og spøger?
#24 det jeg ikke forstår er, at når jeg udfører #1 så kan hele domænet logge på
når jeg så laver en GPO som defineret i pkt2 kan folk der er UDEN for de sikkerhedsgrupper defineret stadig logge på terminalserveren ... Her har jeg gruppen "WTS_Permitted" som har sikkerhedsgrupperne "Tilbehør/IT-Gruppen/Leder-Gruppen"
men på trods af dette kan "maskinsalgs-gruppen" stadig logge på terminalserveren ...
Og nej der ligger HELT sikkert noget og spøger... aner bare ikke hvad :)
Ydermere har vi fået RPC Error (domain unreacheble, secure session not possible) da vi forsøgte, at logge vores testserver af og på domænet---
Kender du funktionen Group Policy Results i Group Policy Management: for her kan du nøjagtig se hvad brugerne bliver ramt af og hvilken gpo der "vinder"
så er sagen løst .... Vil gerne sende en speciel tak til helt83 for din vedholdended :-) drop mig et svar så får du lidt point ...
Løsningen var meget nær: 1. lav GPO 2. fjern "authenticated users" fra "Security filtering" 3. tilføj den "user" eller "security group" der skal rammes 4. HUSK, at tilføje selve "computeren" fra AD (altså computername) 5. gpupdate /force 6. log test bruger på og observer
Det der fik mig i retningen af løsningen var "GPO Modeling" her stod der, at min GPO WTS var "Denied because of security filtering".
Efter jeg tilføjede "xpdterm" (terminalserverens computernavn) kørte det :-)
det der undrer mig meget er, at hardwaren skal medtages i Security filtering... og endnu mere, at det ikke står i nogle af de mange vejledninger jeg har fundet...
men ja... rigtig godt det er løst.
Synes godt om
Ny brugerNybegynder
Din løsning...
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.