Zwei Domänen - ein Terminalserver - Lokale Gruppenrichtlinien auf dem Terminalserver

[thommyf]

Hallo,

habe ein Problem (ist zwar eher optischer Natur - aber ein Problem)

folgendes Szenario.

Terminalserver - in der lokalen Richtlinie ist der Punkt "Befehl "Herunterfahren" entfernen und Zugriff darauf verweigern" aktiviert.
Der Terminalserver gehört zur Domäne 1.

Wenn ich mich aus Domäne 1 (NT 4.0 PDC) anmelde, verschwindet der Herunterfahren Befehl .
Wenn ich mich aus Domäne 2 (2003 SRV - neue Domäne, bin ich am umstellen) anmelde, sehe ich den Befehl Herunterfahren, aber wenn ich daraufklicke
kommt nur "Trennen" und "Abmelden" - das ist ja auch richtig so.

Hat jemand eine Idee, warum die lokale Sicherheitsrichtlinie des Terminalservers nicht angewendet wird ?

Vielen Dank schon mal !

 

[Hibbelharry]

Das kenn ich gar nicht anders. Ich denke das ist so designed. Würde die Richtlinie nicht angewendet werden wären die Befehle auch dann im Menü da. Von daher scheinste das richtig zu haben.

Grüz
Hibbel

 

[thommyf]

wie meinst Du das ?

ich verstehe Deine Ausführung leider nicht ganz.

 

[Mornsgrans]

Aktiviere mal das "Klassisches Startmenü"

.

 

[thommyf]

hi

das ist auch aktiviert.
Bei der Anmeldung eines Benutzers aus der 2. Domäne übernimmt der Terminalserver seine lokale Richtlinie nicht.
Ich verstehe die Logik dahinter nicht so ganz.

Die Lokale Sicherheitsrichtlinie gilt doch für den Terminalserver und hat doch nichts damit zu tun, in welcher Domäne sich der Nutzer anmeldet !?

 

[soundofsilence]

RE: hi

[quote='thommyf',index.php?page=Thread&postID=610128#post610128]
Die Lokale Sicherheitsrichtlinie gilt doch für den Terminalserver und hat doch nichts damit zu tun, in welcher Domäne sich der Nutzer anmeldet !?[/quote]

Gelten lokale Richtlinien nicht nur für lokale Benutzer? Hast Du das mal getestet?

 

[drkohl]

Den Gedanken hatte ich auch gerade... Kommen die Richtlinien für eine Domänenanmeldung nicht vom DC?

 

[Mornsgrans]

GPO


.

 

[drkohl]

Ok, ich habe mich einmal mehr schlecht ausgedrückt. :whistling:

Werden lokale Richtlinien nicht durch Domänenrichtlinien gleichen Typs überschrieben?

 

[Mornsgrans]

Aber nur, wenn zwischen den Domänen eine Vertrauensstellung besteht.

Hier haben wir zwei Domänen
D1:
- NT4 Server
- Terminalserver
D2:
- Win2003 DC

Die Policies der D2 greifen nur, wenn zwischen den Domänen eine Vertrauensstellung besteht.
Daran denken: Alle Rechte und Beschränkungen beziehen sich nicht auf einen Objektnamen, sondern dessen SID.
In diesem Fall wird die lokale Sicherheitsrichtlinie erst mit Beitritt des Terminalservers zu D2 durch die GPO überschrieben.

Es kommt auch darauf an, wie sich ein User am Terminalserver anmeldet. Bei "Anmelden an:" <D1> greifen mögliche Policies der D1 (bei NT4 eher unwahrscheinlich). Bei "Anmelden an:" <Terminalserver> greifen lokale Sicherheitsrichtlinien, bei "Anmelden an:" <D2> wird der Benutzer abgewiesen, wenn keine Vertrauensstellung besteht und der Terminalserver zu D1 gehört.

Es wäre jetzt interessant, zu wissen, wie diese lokalen Sicherheitsrichtlinien aussehen.

.