Hallo zusammen,

wir haben den LBVM wie auf Gruppenrichlinien.de beschrieben eingestellt.
Wegen der Übersicht haben wir nicht eine TerminalServer GPO, sondern
mehrere, die jeweils thematisch zusammengefaßte Einstellungen beinhalten.
Die Eintellung für die GPO mit dem LBVM (sonst keine weiteren Einstellungen
darin enthalten) besagen, dass die Dom-Admins diese nicht lesen dürfen, es
ist also _kein_ Haken bei allow (Apply Group Policy), aber, auch kein Haken
bei deny drin.

Trotzdem werden die GPOs mit den User-Einstellungen, die für den
Terminalserver gelten, auf den Administrator angewandt.

gpresult sagt allerdings, dass die GPOs nicht angewandt wurden und auch
rsop.msc :-(

Es bleiben keine lokalen Profile gespeichert und die auf dem Server
enthalten keine .pol Dateien.

Irgendeine Idee?

Gruß
Davorin

"Davorin Scharping" <dasch*thinprint.de> schrieb
Hi,

> Die Eintellung für die GPO mit dem LBVM (sonst keine weiteren
> Einstellungen darin enthalten) besagen, dass die Dom-Admins diese nicht
> lesen dürfen, es ist also _kein_ Haken bei allow (Apply Group Policy),
> aber, auch kein Haken bei deny drin.

Wer darf sie denn anwenden?

Bye
Norbert

"Norbert Fehlauer" <n.fehlauer*gmx.net> wrote in message
news:B03DD432-3A5D-4ADF-9205-29DFEC162071*microsoft.com...
> "Davorin Scharping" <dasch*thinprint.de> schrieb
> Hi,
>
>> Die Eintellung für die GPO mit dem LBVM (sonst keine weiteren
>> Einstellungen darin enthalten) besagen, dass die Dom-Admins diese nicht
>> lesen dürfen, es ist also _kein_ Haken bei allow (Apply Group Policy),
>> aber, auch kein Haken bei deny drin.
>
> Wer darf sie denn anwenden?
Der Terminalserver und die Gruppe der Terminaluser, in der ist der
Administrator nicht enthalten.

Hi,

Davorin Scharping schrieb:
> wir haben den LBVM wie auf Gruppenrichlinien.de beschrieben eingestellt.

Nein. Habt ihr nicht.

> [...] dass die Dom-Admins diese nicht lesen dürfen, es ist also _kein_
> Haken bei allow (Apply Group Policy), aber, auch kein Haken bei
> deny drin.
> Trotzdem werden die GPOs mit den User-Einstellungen, die für den
> Terminalserver gelten, auf den Administrator angewandt.

Richtig, weil:
- ihr die SiGruppe Auth. Benutzer noch drin habt
- der Admin Mitglied einer der Gruppen ist, die übernehmen dürfen

Tschö
Mark
--
Mark Heitbrink - MVP Windows Server - Group Policy

Homepage: www.gruppenrichtlinien.de - deutsch
Discuss : www.freelists.org/list/gpupdate

"Davorin Scharping" <dasch*thinprint.de> schrieb
Hi,

>> Wer darf sie denn anwenden?
> Der Terminalserver und die Gruppe der Terminaluser, in der ist der
> Administrator nicht enthalten.

Marks Hinweis bzgl. Authentifizierte Benutzer berücksichtigt?
Was spricht gegen deny an dieser Stelle?

Bye
Norbert

> Davorin Scharping schrieb:
>> wir haben den LBVM wie auf Gruppenrichlinien.de beschrieben eingestellt.
>
> Nein. Habt ihr nicht.
>
>> Trotzdem werden die GPOs mit den User-Einstellungen, die für den
>> Terminalserver gelten, auf den Administrator angewandt.
>
> Richtig, weil:
> - ihr die SiGruppe Auth. Benutzer noch drin habt
Nur:
- CREATOR OWNER (special permissions)
- Domain Administrators (Read, Write, Create.., Delete.., Special=Allow,
Apply=deny)
- ENTERPRISE DOMAIN CONTROLLERS (read, Special)
- SYSTEM (read, write, create..., delete...special)
- TS01$ (read, apply) <- Test-Server
- TS02$ (apply=deny) <- Echt-Server
- TS03$ (apply=deny) <- Echt-Server
- TSTestusers (read, apply) <- Test-Gruppe

> - der Admin Mitglied einer der Gruppen ist, die übernehmen dürfen
Domain Administrators sind Mitglied keiner Gruppe, die oben angegeben ist
:-(