Windows 2000 und Active Directory
  • Verschiedene Gruppenrichtlinien für lokale und Terminal Server Anmeldung

    • Problem: W2k-Terminalserver. Benutzer melden sich sowohl an einem Terminalserver, als auch an lokalen W2k PC's an. Je nachdem, ob die Anmeldung lokal am PC oder am Terminalserver erfolgt, sollen anderen Gruppenrichtlinien verarbeitet werden.

    Loesung:
    1. Im Active Directory eine OU erstellen (z.B. Terminalserver)

    2. Den (oder die) Terminalserver Computer-Objekt in diese OU verschieben

    3. Eine Gruppenrichtlinie erstellen. Namen z.B. "Terminalserver Loopback", dann "Bearbeiten" auswählen, in Computerkonfiguration, Administrative Vorlagen-System-Gruppenrichtlinien-Loopbackverarbeitungsmodus für Benutzergruppenrichtlinien aktivieren. GPO schliessen, Eigenschaften, "benutzerdefinierte Konfigurationseinstellungen deaktivieren" anhaken. Die Berechtigungen können so bleiben.

    4. Nun die Gruppenrichtlinie(n) für die Benutzer erstellen (in der OU Terminalserver). In Benutzerkonfiguration Richtlinien wie gewünscht vergeben, Richtlinie schließen. Eigenschaften auswählen, "Konfigurationseinstellungen des Computer deaktivieren" anhaken.

    5. Sollen auf dem Terminalserver für verschienden Benutzergruppen unterschiedliche Richtlinien gelten, dann müssen zuerst entsprechende globale Gruppen angelegt werden. Die Richtlinien für die Benutzer anlegen (s.o.), jeweils unter Eigenschaften, Sicherheitseinstellungen, den Eintrag "Authentifizierte Benutzer" löschen bzw. die Eigenschaft "Richtlinie übernehmen" nicht mehr anhaken. Dann "Hinzufügen" und die entsprechende Gruppen auswählen und die Berechtigungen "Lesen" und "Gruppenrichtlinie übernehmen" anhaken.

    Wenn die Benutzer sich von einem PC aus anmelden, dann gelten die Richtlinien der entsprechenden OU, in der die Benutzer sich befinden. Bei Anmeldung über den Terminalserver, werden die Gruppenrichtlinien der OU Terminalserver angewendet.

    Dieser Tipp wurde mir von Nils Jasperneite zugesendet - Vielen Dank

    zur Übersicht
  • Lokale Laufwerke des Windows 2000 Terminal Servers ausblenden

    • Unter Windows 2000 kann man mittels der MMC (Microsoft Management Console) die lokalen Laufwerke für den Benutzer ausblenden.
    Die MMC wird über Start -> Ausführen mit dem Befehl MMC gestartet. Über den Menüpunkt Konsole -> Snap-In hinzufügen/entfernen... -> Hinzufügen kommt man in das Fenster Eigenständige Snap-In hinzufügen, in diesem Fenster wählt ihr das Snap-In "Gruppenrichtlinien" aus.
    Nachdem ihr die Fenster mit Schließen und OK geschlossen habt seht ihr auf der linken Seite "Richtlinien für lokale Computer", diese erweitert ihr zu Benutzerkonfiguration -> Administrative Vorlagen -> Windows Komponenten -> Windows Explorer.

    Hier findet ihr die beiden Richtlinien
    "Diese angegebenen Datenträger im Fenster Arbeitsplatz ausblenden" und
    "Zugriff auf Laufwerk vom Arbeitsplatz nicht zulassen".
    Über diese Richtlinien könnt ihr einstellen auf welche Laufwerke der Benutzer Zugriff hat und welche ausgeblendet werden sollen, leider ist hier die Auswahl der Laufwerke standardmäßig recht beschränkt (A, B, C und D).

    Um die Auswahl zu erweitern muß in der Datei system.adm, die sich im Verzeichnis Winnt\System32\GroupPolicy\Adm\ befindet, weitere Werte eingetragen werden. Öffnet die Datei mit einem Editor und sucht nach den Abschnitten
    POLICY !!NoDrives und
    POLICY !!NoViewOnDrive
    Unterhalb dieser Abschnitte findet ihr den Eintrag (ITEMLIST) mit den Werten (z.B. NAME !!ABONLY) für die betreffenden Laufwerke. ITEMLIST
    NAME !!ABOnly VALUE NUMERIC 3
    NAME !!COnly VALUE NUMERIC 4
     NAME !!DOnly VALUE NUMERIC 8
     NAME !!ABConly VALUE NUMERIC 7
     NAME !!ABCDOnly VALUE NUMERIC 15
     NAME !!ALLDrives VALUE NUMERIC 67108863 DEFAULT
    Hier könnt ihr die von Euch benötigten Werte einfügen, z.B. für die Laufwerke A, B, C, D, X und Z
    NAME !!ABCDXZOnly VALUE NUMERIC 41943055
     Das errechnen der Wertes für die Laufwerke folgt dem gleichen Schema wie unter Lokale Laufwerke des Terminal Servers ausblenden beschrieben. Zum errechnen des Wertes gibt es hier eine Exceltabelle, die Euch das Umrechnen erleichtert.

    Achtung! - Wird ein neuer Wert hinzugefügt muß auch unterhalb des Abschnittes
    [strings] die Beschreibung für den neuen Wert hinzugefügt werden, am besten kopiert Ihr eine vorhandene Zeile z.B.
    ABCDOnly="Nur Laufwerke A, B, C und D beschränken" und ändert die eingefügte Kopie für Euch ab z.B.
    ABCDXZOnly="Nur Laufwerke A, B, C, D, X und Z beschränken" zur Übersicht