Terminalserver 2008

Opret en GroupPolicy til Terminalservern(det er vigtigt det kun er til terminal-serveren) der blokere IExplorer.exe

Du kan gøre det ved evt at oprette en OU til den(under den nuværede OU den ligger i), og flytte terminalserveren der ned i.

Under selve din GroupPolicy, der kan du så under "security filtering" tilføje de brugere (eller oprette en gruppe med dem) som du vil ha der skal ha blokeret deres Internet Explorer.

På den måde blokere du KUN Internet Explorer på terminalserveren, og ikke på deres normale klient

Den terminal server som jeg skal have blokeret på er den eneste der er i dens OU som det er nu, men jeg har allerede en gpo sat på den OU.

Kan jeg godt tilføje flere gpoer til samme OU, eller skal jeg oprette en under OU?

Hvordan blokere jeg for IE i en GPO?

Du kan godt have flere GPO'er på samme OU.

1 - Start med at oprette GPO'en og navngiv den noget du kan huske ... eks TerminalBlockIE

2 - Edit din GPO og naviger til "Computer Configuration-> Windows Settings -> Security Settings -> Software Restriction Policies."

3 - Hvis der ikke er en restriction allerede i mappen, så lave en ny "Software Restriction Policy"

4 - Right click Additional Rules og klik på New Hash Rule

5 - Browse ned til IE stien og vælg EXE filen

6 - vælg "disallowed" og OK

7 - Højerklik på din OU med terminalserveren , og vælg "link existing GPO"

8 - Husk at fjerne alle brugere under "security filtering" på GPO'en og tilføj derefter de brugere eller grupper der skal ha blocket IE. Når den er linket, så højerklik på GPO'en og vælg "Enforce"

9 - Skriv "gpupdate /force" i din kommandoprompt og genstart serveren.

10 - log på som en af de brugere der skal blockes, og se om du kan starte IE

Jeg har nu prøvet at gøre dette også tilknytte gpo'en til den OU som min test server er i.
Men jeg kan stadig på denne åbne IE med den bruger som ellers skulle være blokeret.

og du har husket at enforce den?

PRøv at skriv gpresult i din kommandoe prompt, og se om policyen er applyet til din konto

Gpo'en bliver ikke vist under "anvendte gruppepolitikobjekter", men jeg får under punktet Komponentstatus en fejl for den nye GPO jeg har oprettet.
Der står dette i fejlen fra gpresult:

Infrastruktur for gruppepolitik Mislykkedes 17-10-2011 13:35:35
Infrastruktur for gruppepolitik mislykkedes på grund af nedenstående fejl.

Den angivne sti blev ikke fundet.

Bemærk! Ingen af de andre gruppepolitikkomponenter kunne behandle deres politik på grund af fejl i gruppepolitikkerne. Statusoplysninger for de andre komponenter er derfor ikke tilgængelige.

Yderligere oplysninger kan være blevet logført. Se fanen Politikhændelser i konsollen eller programhændelseslogfilen for hændelser mellem 17-10-2011 13:35:33 og 17-10-2011 13:35:35.

Når jeg kigger i eventloggen så får jeg denne fejl:

Behandlingen af gruppepolitikken mislykkedes. Windows forsøgte at læse filen \\Domain.local\SysVol\Domain.local\Policies\{648A3F95-25E8-42B6-AF41-7C8C0A666F46}\gpt.ini fra en domænecontroller, men det lykkedes ikke. Gruppepolitikindstillinger kan først anvendes, når denne fejl er løst. Problemet kan være forbigående og kan have en eller flere af følgende årsager:
a) Navnefortolkning/netværksforbindelse til den aktuelle domænecontroller.
b) Ventetid for tjenesten File Replication (en fil, der er oprettet på en anden domænecontroller er ikke blevet replikeret til den aktuelle domænecontroller).
c) Klienten (DFS er blevet deaktiveret.