Avatar billede juleulven Nybegynder
28. september 2011 - 16:34 Der er 28 kommentarer og
3 løsninger

GPO rammer Domain admin

Hejsa

vores miljø består af:
SBS2003 & Svr2003 std ed (WTS mode)

vores brugere har altid logget på som "Domain admin" uden nogen form for nedlåsning af WTS-serveren.
Jeg har nu fået tingene til, at køre som domain users uden issues.

Nu har jeg så lavet en effektiv GPO der låser deres WTS-session ned så de ikke kan starte uhensigtsmæssige elementer på serveren.
Denne GPO har jeg linket til en OU hvori Terminalserveren ligger.

I GPOen har jeg sat "GPO User Loopback" og i user-delen i GPOen fjernet run, explorer, network places, folder redirections mv.

Mit eneste problem er bare, at når jeg logger på som ADMINISTRATOR bliver jeg også RAMT af denne gpo ...

hvordan POKKER undgår jeg det?
Avatar billede kjden Nybegynder
29. september 2011 - 09:07 #1
Det lyder som om du har lavet politikken for hele domænet, hvilket jo også rammer domain admins.

Du kan jo bare lave politikken for den enkelte brugergruppe istedet.

Karsten
Avatar billede juleulven Nybegynder
29. september 2011 - 10:39 #2
jeg har linket GPOen til den specifikke OU hvor i Terminalserver ligger men i security filtering var den sat til, at ramme "Authenticated users" med "GPO Loopback processing".

Dette er nu rettet til en WTS_Permitted SecurityGroup som Administratoren IKKE er medlem af.

Det du referere til er det "security filtering" eller er det noget andet du snakker om?
Avatar billede juleulven Nybegynder
02. oktober 2011 - 10:32 #3
#1 nu har jeg prøvet forskellige ting og det slår simpelthen ikke igennem ... det er noget underligt.... Sletter den gamle GPO og prøver igen from "Scratch".

* Åbner GPMC:

* browser mig frem til
domain.local\businessname\servers\terminalservers (Sørger
selvfølgelig for, at selve "harwaren" ligger i den OU-Streng)

* højreklikker og vælger "Create and Link GPO here"

* Markere GPO'en og fjerner "Authenticated users" fra "Security Filtering

* Editerer min GPO

* Slår GPO Loopback Processing til (så users der logger ind på hardwaren bliver ramt af "User settings" fra GPO'en

* Logger på Terminalserveren som "Domain admin" og laver en Gpupdate /force


virker det korrekt?
Avatar billede helt83 Nybegynder
03. oktober 2011 - 15:22 #4
Hvorfor laver du ikke en sikkerheds gruppe, hvori brugerne der skal rammes ligger?
Avatar billede helt83 Nybegynder
03. oktober 2011 - 15:26 #5
lav en gpo smid den i samme ou som serverne.

så laver i du en sikkerheds gruppe i AD, fx SG_WTS

i Security Filtering tilføjer du så SG_WTS så burde det kun være bruger der er medlem af sikkerheds gruppen SG_WTS der bliver ramt af denne.

mvh
helt83
Avatar billede juleulven Nybegynder
03. oktober 2011 - 15:39 #6
#4 fordi alle brugerne ikke altid logger på terminal serveren og jeg skal ikke "begrænse" deres lokale laptops

#5 Det er det jeg gør og i samme øjeblik jeg "piller" ved security filtering går det helt galt.

Mine tidligere kollegaer har faktisk tilføjet "domain users" til "Remote desktop users" sikkerhedsgruppen på den LOKALE server.

F.eks har jeg nu bare lavet en lille GPO der rammer Terminalserveren via AD'et og sagt, at gruppen "WTS_Permitted" skal have "allow logon through terminal services".

Det er den FULDSTÆNDIG ligeglad med... der sker INTET. og jeg har lavet gpupdate /force inden jeg forsøger logon.
Avatar billede helt83 Nybegynder
03. oktober 2011 - 15:46 #7
skal lige høre engang, jeres terminal server ligger da ikke i samme ou som pc´erne?
Avatar billede helt83 Nybegynder
03. oktober 2011 - 15:51 #8
Under computer configuration skal du enable

Administrative Templates - System/Group Policy - User Group Policy loopback processing mode - Mode: Replace
Avatar billede helt83 Nybegynder
03. oktober 2011 - 15:57 #9
I Group Policy Managemet har du prøvet at køre en Group Policy Results på jeres administrator når den er logge på terminalserveren for at se hvad han bliver ramt af, kontra en "normal" bruger.
Avatar billede juleulven Nybegynder
03. oktober 2011 - 16:34 #10
#7 Terminal serveren ligger i en særskilt OU netop for, at den GPO KUN rammer brugerne når de logger på terminalen og ikke deres normale arbejds stationer

#8 Det er det jeg gør :-)

#9 nu dukker GPO'erne op ... for satan jeg bliver gråhåret snart :D


Burde en GPOupdate /force på terminalserveren ikke gennemtvinge en øjblikkelig opdatering af GPOerne?
Avatar billede juleulven Nybegynder
03. oktober 2011 - 16:35 #11
Lige PT har jeg "Authenticated users" under security filtering.
så jeg prøver lidt senere, at fjerne den og lægge den korrekte Security group ind.
Avatar billede juleulven Nybegynder
03. oktober 2011 - 16:41 #12
men selvom brugeren "test" har allow logon through terminal services får jeg, at vide jeg bliver nægtet adgang fordi jeg ikke har "remote desktop users" permission.

Adminsitratoren får lov fordi "domain admin" er skrivet ind i den lokale computers gruppe "remote desktop user"
Avatar billede juleulven Nybegynder
03. oktober 2011 - 16:51 #13
jeg bliver nok snart sindssyg ... nu kan vore "Domain administrator" ikke logge på serveren men min egen "user & test" konto kan godt...

men "Domain admins" kan nu ikke logge på via "terminal services" .....


nå ... mon ikke jeg snart har skræmt alle langt væk over stepperne :-)
Avatar billede helt83 Nybegynder
03. oktober 2011 - 20:08 #14
Hej igen

Hvis du på jeres terminal server vælger: højere klik på computer vælge administrer - under lokale brugere - Grupper - Remote Desktop Users, hvem er medlem af den gruppe?

og hvem er medlem af Administrators?

mvh
helt83
Avatar billede juleulven Nybegynder
03. oktober 2011 - 20:17 #15
Membership: Remote Desktop users = Domain Admins + Users
Membership: Administrators = Administrator + domain\domain admins
Avatar billede juleulven Nybegynder
03. oktober 2011 - 20:58 #16
kan problemet skyldes, at jeg har "Nested" sikkerheds grupper?

altså
3 brugere i "IT-gruppen"
8 brugere i "tilbehør"
4 brugere i "administration

disse 3 grupper er medlem af "Wts_permitted"
WTS_Permitted lander så i "Allow logon through group policy"

??
Avatar billede helt83 Nybegynder
03. oktober 2011 - 21:22 #17
mht domain admin ikke kan logge på kan det være fordi du er kommet til at logge på lokalt på server og ikke via domain? ( er set før ;O  kostede noget kage )
Avatar billede helt83 Nybegynder
03. oktober 2011 - 21:25 #18
I din gpo under Computer Configuration - Windows Settings - Security Settings - Lacal Policies/User Rights Assignment - Policy Allow log on through Terminal Service: hvilke Setteing har du her?
Avatar billede juleulven Nybegynder
03. oktober 2011 - 21:38 #19
#17 nix.. for ingen kender det lokale password... måske jeg skulle nulstille det en dag ved lejlighed :D

#18 domainname\remote desktop users
domainname\domain admins
domainname\wts_permitted

og med den opsætning kan jeg ikke logge på med en brugerkonto defineret i AD ...

eneste årsag til jeg kan logge på er fordi "local groups" "remote desktop users" har "Domain users" & "Domain admins"
fjerner jeg de 2 bliver jeg "Lockoutet"
Avatar billede helt83 Nybegynder
04. oktober 2011 - 07:38 #20
Hej igen

De skal også være i local groups, ellers kommer de ikke på, ej heller på en citrix server "overbygning til terminalserver"

Hvis ud tjekke din domain admin i AD hvilke grupper er den medlem af ?

prøv eventuelt at oprette en ny domain admin og se om denne bliver ramt af gpo´en.
Avatar billede juleulven Nybegynder
04. oktober 2011 - 09:50 #21
AHA ... dvs hvis jeg vil styre hvem der må logge ind på vores terminal server skal jeg gøre følgende:

1. på den lokale terminal, i gruppen "remote desktop users" gør jeg "xpdigital\domain admin" & "xpdigital\domain users" medlem

2. i GPO'en laver jeg en "deny logon locally" til de sikkerhedsgrupper i vores domæne der IKKE må logge på terminalen?

3. opretter en GPO med "loop back processing" og begrænser brugerne som normalt`


jeg kunne sværge på, at man kunne styre det via GPO'en direkte fra AD helt uden om lokal brugerstyring...
Avatar billede helt83 Nybegynder
04. oktober 2011 - 10:06 #22
Vil det sige at det virker nu?
Avatar billede juleulven Nybegynder
04. oktober 2011 - 10:29 #23
det har jeg ikke prøvet... jeg fiskede bare efter en bekræftigelse på om det jeg havde skrevet var korrekt...
Avatar billede helt83 Nybegynder
04. oktober 2011 - 10:48 #24
LOL

1: OK
2: lige meget for det er kun brugerne af gpo der kan logge på pga.
denne: I din gpo under Computer Configuration - Windows Settings - Security Settings - Lacal Policies/User Rights Assignment - Policy Allow log on through Terminal Service: hvilke Setteing har du her?

de bruger der står her kan logge på.

3: OK

Du er sikker på der ikke ligger noget gammel gpo halløj og spøger?

mvh
helt83
Avatar billede juleulven Nybegynder
04. oktober 2011 - 19:08 #25
#24 det jeg ikke forstår er, at når jeg udfører #1 så kan hele domænet logge på

når jeg så laver en GPO som defineret i pkt2 kan folk der er UDEN for de sikkerhedsgrupper defineret stadig logge på terminalserveren ...
Her har jeg gruppen "WTS_Permitted" som har sikkerhedsgrupperne "Tilbehør/IT-Gruppen/Leder-Gruppen"

men på trods af dette kan "maskinsalgs-gruppen" stadig logge på terminalserveren ...

Og nej der ligger HELT sikkert noget og spøger... aner bare ikke hvad :)


Ydermere har vi fået RPC Error (domain unreacheble, secure session not possible) da vi forsøgte, at logge vores testserver af og på domænet---

vores servere er desværre ET KÆMPE rod...  :-(
Avatar billede helt83 Nybegynder
04. oktober 2011 - 21:19 #26
Hej igen

Kender du funktionen Group Policy Results i Group Policy Management: for her kan du nøjagtig se hvad brugerne bliver ramt af og hvilken gpo der "vinder"

hvor mange gpo´er har du i jeres domain?
Avatar billede juleulven Nybegynder
04. oktober 2011 - 22:51 #27
Antal GPO'er mener jeg ligger på 8 eller sådan noget...
SBS2003 server så den laver jo en bunke af sig selv...

default domain
domain controller
password policy
wmi filters x 2
den jeg har lavet wts
og et par andre ...

og jeg har allerede slettet et par "dubletter"
Avatar billede helt83 Nybegynder
06. oktober 2011 - 21:09 #28
hvad med Group Policy Management har du fået tjekket denne?

mvh
helt83
Avatar billede juleulven Nybegynder
13. oktober 2011 - 15:43 #29
så er sagen løst .... Vil gerne sende en speciel tak til helt83 for din vedholdended :-)
drop mig et svar så får du lidt point ...

Løsningen var meget nær:
1. lav GPO
2. fjern "authenticated users" fra "Security filtering"
3. tilføj den "user" eller "security group" der skal rammes
4. HUSK, at tilføje selve "computeren" fra AD (altså computername)
5. gpupdate /force
6. log test bruger på og observer

Det der fik mig i retningen af løsningen var "GPO Modeling"
her stod der, at min GPO WTS var "Denied because of security filtering".

Efter jeg tilføjede "xpdterm" (terminalserverens computernavn) kørte det :-)
Avatar billede helt83 Nybegynder
16. oktober 2011 - 09:07 #30
he he der er altså mange steder det kan gå galt med gpo ;O), men hvor er det altså bare et praktisk værktøj.

godt du fik det løst.

mvh
helt83
Avatar billede juleulven Nybegynder
16. oktober 2011 - 13:27 #31
det der undrer mig meget er, at hardwaren skal medtages i Security filtering... og endnu mere, at det ikke står i nogle af de mange vejledninger jeg har fundet...

men ja... rigtig godt det er løst.
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester