Avatar billede cliffha Nybegynder
13. oktober 2011 - 08:52 Der er 7 kommentarer og
1 løsning

Terminalserver 2008

Hej

Jeg har nogle Windows 2008 terminalservere, hvor jeg gerne vil blokere for adgangen til IE for nogle af brugerne.

Hvis jeg prøver på at ændre sikkerheds indstillingen til at afvise, den gruppe som ikke skal have adgang, så kan jeg ikke få lov til at ændre på rettighederne.

Er der en anden måde at blokere for det?
Avatar billede vistodk Nybegynder
13. oktober 2011 - 11:31 #1
Opret en GroupPolicy til Terminalservern(det er vigtigt det kun er til terminal-serveren) der blokere IExplorer.exe

Du kan gøre det ved evt at oprette en OU til den(under den nuværede OU den ligger i), og flytte terminalserveren der ned i.

Under selve din GroupPolicy, der kan du så under "security filtering" tilføje de brugere (eller oprette en gruppe med dem) som du vil ha der skal ha blokeret deres Internet Explorer.
Avatar billede vistodk Nybegynder
13. oktober 2011 - 11:32 #2
På den måde blokere du KUN Internet Explorer på terminalserveren, og ikke på deres normale klient
Avatar billede cliffha Nybegynder
13. oktober 2011 - 16:37 #3
Den terminal server som jeg skal have blokeret på er den eneste der er i dens OU som det er nu, men jeg har allerede en gpo sat på den OU.

Kan jeg godt tilføje flere gpoer til samme OU, eller skal jeg oprette en under OU?

Hvordan blokere jeg for IE i en GPO?
Avatar billede vistodk Nybegynder
13. oktober 2011 - 18:36 #4
Du kan godt have flere GPO'er på samme OU.

1 - Start med at oprette GPO'en og navngiv den noget du kan huske ... eks TerminalBlockIE

2 - Edit din GPO og naviger til "Computer Configuration-> Windows Settings -> Security Settings -> Software Restriction Policies."

3 - Hvis der ikke er en restriction allerede i mappen, så lave en ny "Software Restriction Policy"

4 - Right click Additional Rules og klik på New Hash Rule

5 - Browse ned til IE stien og vælg EXE filen

6 - vælg "disallowed" og OK

7 - Højerklik på din OU med terminalserveren , og vælg "link existing GPO"

8 - Husk at fjerne alle brugere under "security filtering" på GPO'en og tilføj derefter de brugere eller grupper der skal ha blocket IE. Når den er linket, så højerklik på GPO'en og vælg "Enforce"

9 - Skriv "gpupdate /force" i din kommandoprompt og genstart serveren.

10 - log på som en af de brugere der skal blockes, og se om du kan starte IE
Avatar billede cliffha Nybegynder
14. oktober 2011 - 15:32 #5
Jeg har nu prøvet at gøre dette også tilknytte gpo'en til den OU som min test server er i.
Men jeg kan stadig på denne åbne IE med den bruger som ellers skulle være blokeret.
Avatar billede vistodk Nybegynder
14. oktober 2011 - 22:26 #6
og du har husket at enforce den?
Avatar billede vistodk Nybegynder
14. oktober 2011 - 22:27 #7
PRøv at skriv gpresult i din kommandoe prompt, og se om policyen er applyet til din konto
Avatar billede cliffha Nybegynder
17. oktober 2011 - 15:02 #8
Gpo'en bliver ikke vist under "anvendte gruppepolitikobjekter", men jeg får under punktet Komponentstatus en fejl for den nye GPO jeg har oprettet.
Der står dette i fejlen fra gpresult:

Infrastruktur for gruppepolitik Mislykkedes 17-10-2011 13:35:35
Infrastruktur for gruppepolitik mislykkedes på grund af nedenstående fejl.

Den angivne sti blev ikke fundet.

Bemærk! Ingen af de andre gruppepolitikkomponenter kunne behandle deres politik på grund af fejl i gruppepolitikkerne. Statusoplysninger for de andre komponenter er derfor ikke tilgængelige.

Yderligere oplysninger kan være blevet logført. Se fanen Politikhændelser i konsollen eller programhændelseslogfilen for hændelser mellem 17-10-2011 13:35:33 og 17-10-2011 13:35:35.

Når jeg kigger i eventloggen så får jeg denne fejl:

Behandlingen af gruppepolitikken mislykkedes. Windows forsøgte at læse filen \\Domain.local\SysVol\Domain.local\Policies\{648A3F95-25E8-42B6-AF41-7C8C0A666F46}\gpt.ini fra en domænecontroller, men det lykkedes ikke. Gruppepolitikindstillinger kan først anvendes, når denne fejl er løst. Problemet kan være forbigående og kan have en eller flere af følgende årsager:
a) Navnefortolkning/netværksforbindelse til den aktuelle domænecontroller.
b) Ventetid for tjenesten File Replication (en fil, der er oprettet på en anden domænecontroller er ikke blevet replikeret til den aktuelle domænecontroller).
c) Klienten (DFS er blevet deaktiveret.
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester