Ich habe einen Terminalserver, der von vielen Leuten, aber für unterschiedliche Zwecke verwendet wird. Unser Programm besteht aus zwei Teilen, nennen wir sie Benutzerteil und Managerteil. Das sind zwei verschiedene .exe-Dateien. Ich möchte, dass das Programm automatisch ausgeführt wird, wenn sich der Benutzer anmeldet (ich weiß, wie das über GPO geht). Aber ich möchte die Anwendung je nach Benutzerrolle variieren. Natürlich möchte ich diese Rollen mit zwei Domänengruppen wie „TS-Benutzer“ und „TS-Manager“ steuern.
Ich suche nach dem effizientesten Weg, dieses Ziel zu erreichen. Kann jemand seine Erfahrungen zu einer solchen Frage teilen? Der Server ist W2K2003 in einer 2003-Level-Domain.
Antwort1
Kein Problem.
Erstellen Sie zwei globale Sicherheitsgruppen im Active Directory, beispielsweise „TS-Benutzer“ und „TS-Manager“.
Erstellen und verknüpfen Sie drei (3) Gruppenrichtlinienobjekte in der Organisationseinheit, in der sich idealerweise nur der Terminalservercomputer befindet. Nennen Sie sie „Loopback-GPO-Verarbeitung und allgemeine Benutzereinstellungen“, „TS-Benutzereinstellungen“ und „TS-Managereinstellungen“.
Öffnen Sie in der Gruppenrichtlinie „Loopback-Gruppenrichtlinie-Verarbeitung und allgemeine Benutzereinstellungen“ die Knoten „Computerkonfiguration“, „Administrative Vorlagen“, „System“ und „Gruppenrichtlinie“ und aktivieren Sie die Richtlinie „Loopback-Verarbeitungsmodus für Benutzergruppenrichtlinie“. Wenn Sie möchten, dass andere Benutzer-Gruppenrichtlinie-Einstellungen, die an anderen Stellen im Verzeichnis festgelegt sind, für Benutzer gelten, wenn sie sich an diesem Computer anmelden, wählen Sie im Feld „Modus“ die Option „Zusammenführen“. Wenn Sie möchten, dass nur die Benutzereinstellungen in diesen drei Gruppenrichtlinien gelten, wählen Sie „Ersetzen“. Legen Sie in dieser Gruppenrichtlinie auch alle „Benutzerkonfigurations“-Einstellungen fest, die für diese Benutzer gleich sein sollen.
Legen Sie in den „TS-Benutzereinstellungen“ und „TS-Managereinstellungen“ der Gruppenrichtlinie die verschiedenen Einstellungen fest, die für jede dieser Gruppen erforderlich sind. Öffnen Sie im Gruppenrichtlinieneditor die „Eigenschaften“ für den Stammknoten der Gruppenrichtlinie und navigieren Sie zur Registerkarte „Sicherheit“. Entfernen Sie „Authentifizierte Benutzer“ aus der Berechtigung für jede Richtlinie und fügen Sie die entsprechende AD-Gruppe hinzu, die Sie oben mit den Berechtigungen „Lesen“ und „Gruppenrichtlinie anwenden“ erstellt haben. Tun Sie dies für jede dieser Gruppenrichtlinienrichtlinien. (Dadurch wird verhindert, dass die Einstellungen für Benutzer angewendet werden, die der „falschen“ Gruppe angehören.)
Starten Sie abschließend den Terminalservercomputer neu, sodass er in den Loopback-Gruppenrichtlinienverarbeitungsmodus wechselt (der nur beim Booten umgeschaltet wird).
Sie sollten sehen, dass die Einstellungen von jedem dieser GPOs angewendet werden. Die Benutzereinstellungen „Loopback-GPO-Verarbeitung und allgemeine Benutzereinstellungen“ gelten unabhängig davon, wer sich anmeldet. Die Benutzereinstellungen „TS-Benutzereinstellungen“ gelten nur, wenn sich ein Mitglied der Gruppe „TS-Benutzer“ anmeldet, und dasselbe gilt für „TS-Manager“.
Das ist ein kurzer Crashkurs in Loopback-Gruppenrichtlinienverarbeitung und Filterung von Gruppenrichtlinienanwendungen nach Sicherheitsgruppen. Wir tun dies ständig, um das zu erreichen, was Sie beschreiben. Es könnte ein wenig Einarbeitung erfordern, bis Sie es verstehen, aber versuchen Sie es. Ein praktischer Vorteil ist, dass Sie dies „simulieren“ können, indem Sie eine Organisationseinheit mit einem Windows XP-Computer darin verwenden, auf dem „Remote Desktop“ aktiviert ist, sodass Sie die Richtlinien inszenieren und testen können (wenn auch jeweils nur ein Benutzer), bis Sie bereit sind, die Gruppenrichtlinienobjekte mit der echten Organisationseinheit zu verknüpfen, in der Ihr Terminalserver-Computer „lebt“.