Dienstag, 19. Juli 2011

Laufwerke ausblenden auf einem Windows Server 2008 Terminalserver

Bei einem Terminalserver sollen die Benutzer nicht alle Laufwerke zu Gesicht bekommen. Es braucht also eine "Beschneidungs-Gruppenrichtlinie"

Die Benutzerrichtlinie
  • Richtlinien
  • Administrative Vorlagen
  • Windows Komponenten
  • Windows Explorer
  • "Diese angegeben Datenträger im Fenster Arbeitsplatz ausblenden"
hilft einem nur weiter, wenn man sich mit A, B, C und / oder D zufrieden gibt.

Um weitere Laufwerke sperren zu können, kann man sich mittels hidecalc http://www.dabcc.com/ThinSol/Files/hidecalc.zip eine adm-Datei erstellen und diese in den Gruppenrichtlinieneditor laden.

Die neue Einstellung findet sich unter
  • Richtlinien
  • Administrative Vorlagen
  • Klassische administrative Vorlagen
Problematisch wird es nun, wenn es auch User gibt, die sowohl auf dem Terminal-Server, als auch auf dem lokalen Client arbeiten. Würde man denen jetzt ohne besondere Massnahmen die generell die "Beschneidungs-Gruppenrichtlinie" zuordnen, dann würde diese auch für die Anmeldung von Usern via eigenen Client gelten, was eher nicht wünschenswert ist.

Hier helfen Loopback-Policys. Dies sind Computerpolicys (Policy = Gruppenrichtlinie), bei der zusätzlich unter
  • Computerkonfiguration
  • Administrative Vorlagen
  • System
  • Gruppenrichtlinien
  • Loopbackverarbeitungsmodus für Benutzergruppenrichtlinien
aktiviert ist.

Ist dies aktiviert, führt der Computer auch noch den Benutzerteil der Richtlinie aus (auch wenn die angemeldeten Benutzer nicht in der gleichen OU sind und den Benutzerteil von anderen eventuell vorhandenen Richtlinien, weshalb man die Option "ersetzen" vorziehen sollte um die Fehlesuche einfacher zu machen).

Man muss dabei nur noch darauf achten, dass der Administrator das Recht "Gruppenrichtlinie übernehmen" denied bekommt, da ansonsten die Bescheidungsrichtlinien auch für diesen gelten.

Troubleshooting

Beim Testen wurde lange Zeit die Gruppenrichtlinie nicht übernommen. In einem Fall habe ich die Rechte durch diverses ändern "zerschossen". Notfalls neue Richtlinie erstellen. In einem anderen Fall half es, sowohl auf DC als auch auf Terminalserver "gpupdate /force" zu machen (ich habe es bisanhin immer nur auf dem DC gemacht).

Keine Kommentare:

Kommentar veröffentlichen