Wir haben vor Kurzem unsere Domäne, Active Directory, Gruppenrichtlinien usw. bereinigt. Unsere MCSDCS-DNS-Zone befand sich am falschen Ort, unser SYSVOL konnte nicht repliziert werden, da es seit über einem Jahr in einem Journal-Wrap-Fehler gesperrt war, und unser zentrales Repository für Richtliniendefinitionen hatte sich irgendwann selbst zerstört. Insgesamt hat unsere Domäne also unter den Jahren gelitten, in denen zu viele verschiedene Systemadministratoren mit unterschiedlichem Erfahrungsniveau durchliefen. Zudem wurde sie von 2000 bis 2003 und dann von 2003 bis 2008 aktualisiert, und wir bereiten uns auf ein weiteres Upgrade im nächsten Jahr vor.
Ein Problem, das wir anscheinend hatten, war eine sehr aufgeblähte Standarddomänenrichtlinie, der alle möglichen zufälligen Einstellungen hinzugefügt worden waren. Einige Einstellungen waren vermutlich irgendwann veraltet und ich konnte sie im Editor nicht finden, um sie zu deaktivieren. Ich habe eine Menge Zeug in themenbezogenere GPOs verschoben, sichergestellt, dass sie noch konsolidiert waren usw. Nachdem wir das getan hatten, wurden alle unsere RDP-Einstellungen auf fast allen Maschinen im Gebäude auf die Standardeinstellungen zurückgesetzt – allerdings nicht auf allen, aber es gab kein offensichtliches anderes Muster basierend auf der OU des Benutzers oder PCs oder Win 7 vs. Win 10 usw. Wir verwenden die Windows-Firewall nicht, also liegt es nicht an den Firewall-bezogenen Einstellungen. Es sind die spezifischen Einstellungen in den Systemeigenschaften > Registerkarte „Remote“.
An diesem Punkt wurde mir klar, dass unsere Admin-Vorlagen im zentralen Repository zerstört worden waren (ich bin selbst noch ein Neuling in der Windows-Domänenverwaltung). Ich vermutete, dass entweder die Standarddomänenrichtlinie oder eine der anderen Richtlinien, die ich repariert oder entfernt hatte, eine Einstellung enthielt, die ich im Editor im GPO nicht sehen konnte, weil wir diese Richtlinienvorlage nicht einmal geladen hatten. Nachdem ich die Standardvorlagen geladen hatte, bearbeitete ich die richtige Einstellung, wendete das GPO an, erzwang das Update … und nichts. Ich stellte sicher, dass die Durchsetzung erzwungen wurde, stellte sicher, dass es meinen Benutzer treffen würde, bestätigte es in GPRESULT und verknüpfte es dann sogar mit den USER- und PC-OUs, die meinen AD-Objekten am nächsten sind … und immer noch nichts.
Ich habe die beiden Registrierungsschlüssel manuell zur Gruppenrichtlinie hinzugefügt, um Remotedesktop zuzulassen und NLA nicht erforderlich zu machen. Immer noch nichts. Ich kann diese Registrierungsschlüssel manuell umschalten und die Einstellungen im Fenster „Systemeigenschaften“ wieder ändern, um die Schlüssel wieder zu bestätigen, aber die Gruppenrichtlinie ändert die Schlüssel nicht.
Ich habe GPRESULT auf der Computereinstellung „scope:computer“ ausgeführt und sehe Folgendes:
Die Einstellungen aus diesem GPO werden in „Einstellungen“ angezeigt.
Die Richtlinie wird unter „Angewandte Gruppenrichtlinienobjekte“ angezeigt und enthält die Meldung „Erzwungen = Ja“.
Das richtige erfolgreiche GPO ist in den einzelnen Einstellungen aufgeführt, der Registrierungsschlüssel lautet „Ergebnis: Erfolg“.
Ja, diese Einstellungen ändern sich auf meinem PC nicht, nachdem ich mehrere GPUPDATE /FORCE-Vorgänge und Neustarts ausgeführt habe und auf den GPO-Aktualisierungszyklus (plus den maximalen Offsetwert) gewartet habe und keine Änderung erfolgt ist!
Kann mir hier jemand den richtigen Weg weisen? Ich wäre für jede Hilfe sehr dankbar!
BEARBEITEN:
Spezifische Einstellungen: Admin-Vorlagenansatz: Windows-Komponenten/Remotedesktopdienste/Remotedesktopsitzungshost/Verbindungen Benutzern erlauben, eine Remoteverbindung über Remotedesktopdienste herzustellen - Aktiviert
Windows-Komponenten/Remotedesktopdienste/Remotedesktopsitzungshost/Sicherheit Benutzerauthentifizierung für Remoteverbindungen mithilfe der Authentifizierung auf Netzwerkebene erforderlich – Deaktiviert
Vorgehensweise für den Registrierungsschlüssel: HKEY_LOCAL_MACHINE SYSTEM\CurrentControlSet\Control\Terminal Server fDenyTSConnections REG_DWORD 0x0 (0)
HKEY_LOCAL_MACHINE SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp UserAuthentication REG_DWORD 0x0 (0)
Es handelt sich BEIDES um Computeränderungen.
Ich habe dies mit dem Gruppenrichtlinienobjekt (GPO) im Bereich der PC-Organisationseinheit versucht und habe auch versucht, das Gruppenrichtlinienobjekt (GPO) sowohl in den Bereich des Benutzers als auch des PCs einzufügen.
Antwort1
Ich hätte Ihre Frage sorgfältiger lesen sollen.
Sie suchen die Gruppenrichtlinieneinstellungen an der falschen Stelle in der Registrierung. Gruppenrichtlinieneinstellungen (aus dem Abschnitt Administrative Vorlagen) werden an einen der folgenden vier Registrierungsspeicherorte geschrieben:
HKEY_LOCAL_MACHINE\SOFTWARE\policies
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies
HKEY_CURRENT_USER\SOFTWARE\policies
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies
Das manuelle Ändern der Registrierungsschlüssel, wie Sie es getan haben, ist ein wenig irreführend. Sie erwarten, dass die Gruppenrichtlinie diese Schlüssel ändert, und wenn Sie nicht die erwarteten Ergebnisse sehen, kommen Sie zu dem Schluss, dass die Gruppenrichtlinie nicht angewendet wird ... aber das ist, wie Ihre GPRESULT-Ergebnisse belegen, der Fall ... Sie suchen einfach an der falschen Stelle, um die Änderungen zu finden.
Wenn diese Einstellungen durch Gruppenrichtlinien konfiguriert werden, sollten Sie sie in der GUI sehen. Im Bild unten ist die Einstellung nicht verfügbar, was bedeutet, dass sie durch Gruppenrichtlinien verwaltet wird:
In der Abbildung unten ist die Einstellung verfügbar, was bedeutet, dass sie nicht durch die Gruppenrichtlinie verwaltet wird:
