Toon posts:

[2003] Configuren van Terminal Server

Pagina: 1
Acties:
  • 1.561 views sinds 30-01-2008
  • Reageer

zaterdag 16 september 2006 20:33

Acties:

Verwijderd

Topicstarter
De volgende situatie:
- 2003 SBS server (dus met AD, Exchanges, DNS, etc)
- 2003 Standard R2 ingericht als Terminal Server en hangt ook in het domein

De domeingebruikers kunnen inloggen op de terminal-server. Echter zij hebben hierop te veel rechten. De rechten wil ik voor op de volgende punten beperken voor de domeingebruikers:
- niet (minimaal) lezen en schrijven naar de lokale schijven van de terminal server
- de mogelijkheid dat ik als beheerder de bureaubladen kan beheren
- de domeingebruikers mogen geen software installeren op de terminal server
- outlook moet per gebruiker automatisch de juiste instellingen krijgen.

Nu ben ik zelf een heel eind gekomen dmv de lokale GPO (dus op de terminal server), echter de aanpassingen hierin worden ook doorgevoerd voor de administrator (mijzelf dus). Dit wil ik niet.

Enig idee hoe ik dit kan oplossen en wat is hiervoor de meest gebruikelijke methode?

zaterdag 16 september 2006 21:51

Acties:
  • mutsje
  • Registratie: September 2000
  • Laatst online: 12-02 15:49

mutsje

Certified Prutser

Als policies worden doorgevoerd voor administrators simpel de groep domain admins alleen read rechten geven op de policy maar geen apply policy rechten (installeerd Group Policy Management Console en je kan easy policies managen , zie de howto over GPMC etc geschreven door mij en Lucky7)

Verder je hebt een policie deny access to disk xx , xx en xx dus die zet je voor normale users op deny all disk.

Outlook instellingen zoek op www.microsoft.com/technet of speur www.brainmadden.com/forum af en je zult het antwoord vinden.

zondag 17 september 2006 22:08

Acties:
  • elevator
  • Registratie: December 2001
  • Niet online

elevator

Officieel moto fan :)

Een meer gebruikte optie is om ook nog met loopback policies aan de gang te gaan, enkel restricten voor admins zorgt er namelijk voor dat je terminal server policies ook ge-applied worden op je normale PCs (althans - voor je users op hun normale Pcs) en dat is vaak niet de bedoeling :)

dinsdag 19 september 2006 13:33

Acties:
  • Dennisch
  • Registratie: November 2002
  • Laatst online: 27-01-2022

Dennisch

Ik denk dat het programma RES PowerFuse is wat jij zoek.
Dit is een 'shell' die de rechten beperkt van de gebruikers en je (als beheerder) in staat stelt achtergronden (en zelfs het menu-structuur) aan te passen zoals jij (de beheerder) dat wilt.

AMD Athlon X2 6000+ AM2, MSI K9N SLI Platunim, XFX GTX 260 xXx 896mb, 4 GB DDR2 800, 2 TB HDD

dinsdag 19 september 2006 14:11

Acties:
  • sanfranjake
  • Registratie: April 2003
  • Niet online

sanfranjake

Computers can do that?

(overleden)
Dennisch schreef op dinsdag 19 september 2006 @ 13:33:
Ik denk dat het programma RES PowerFuse is wat jij zoek.
Dit is een 'shell' die de rechten beperkt van de gebruikers en je (als beheerder) in staat stelt achtergronden (en zelfs het menu-structuur) aan te passen zoals jij (de beheerder) dat wilt.
Alleen jammer dat het prijskaartje van RES Powerfuse vrijwel nooit binnen het budget van een gemiddeld kleinbedrijf past, maar afgezien daarvan levert het ook bijna geen oplossing voor de vragen die topicstarter nu stelt ;)

Waar ik heel benieuwd naar ben is wat ADoorn zelf al heeft geprobeerd. Het inrichten van een terminal server kan heel eenvoudig zijn, maar ook heel complex. Het ligt er maar net aan welke applicaties je gebruikt. In de topicstart zie ik in ieder geval 0,0 aan informatie over de zelf al ondernomen en gevonden informatie. Dat is iets wat essentieel is op dit forum. Lees daarover de Algemene gedragsregels (Netiquette) nog maar eens goed door.

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters

dinsdag 19 september 2006 14:56

Acties:
  • FaceDown
  • Registratie: Juni 2003
  • Laatst online: 04-02 22:51

FaceDown

Storende factor.

Loopback processing of Group Policy

Daar staat uitgelegd hoe een loopback policy werkt. Toch snap ik het niet helemaal. Als je die GPO-setting op 'enabled' zet; betekent dit dat je GPO's kunt instellen per computer? Met andere woorden: Dat je OU's kunt maken waarin computers zitten en dat je voor die OU's GPO's kunt instellen? Of zit ik er nu helemaal naast?

-edit:-

Het is nu ook gelukt. Heb een OU aangemaakt, met daarin de Terminal Server. Voor deze OU heb ik een GPO aangemaakt. De betreffende GPO instelling (zie link hierboven) ingesteld op enabled - merge. Daarna op de TS nog een 'gpupdate /force' gedaan via de command prompt, en daarna ingelogd en hij neemt gewijzigde instellingen gewoon over als ik op de betreffende TS inlog. _/-\o_

[ Voor 32% gewijzigd door FaceDown op 19-09-2006 15:27 ]

Groetjes, FaceDown.

woensdag 20 september 2006 00:29

Acties:
  • CAP-Team
  • Registratie: April 2000
  • Laatst online: 13-02 16:35

CAP-Team

XBL: CAPTeam

Let er dan wel op dat je het toepassen van die policy voor je admin account op deny zet, dan heb je zelf als admin geen last van die policies.

Microsoft Surface Pro 6 | Samsung Galaxy S21FE | XBOX Series X

woensdag 11 oktober 2006 21:06

Acties:
  • mister iks
  • Registratie: September 2001
  • Laatst online: 02-02 23:56

mister iks

sanfranjake schreef op dinsdag 19 september 2006 @ 14:11:
[...]

Alleen jammer dat het prijskaartje van RES Powerfuse vrijwel nooit binnen het budget van een gemiddeld kleinbedrijf past, maar afgezien daarvan levert het ook bijna geen oplossing voor de vragen die topicstarter nu stelt ;)
Wat vroeg de opic starter dan?
Verwijderd schreef op zaterdag 16 september 2006 @ 20:33:


De domeingebruikers kunnen inloggen op de terminal-server. Echter zij hebben hierop te veel rechten. De rechten wil ik voor op de volgende punten beperken voor de domeingebruikers:
- niet (minimaal) lezen en schrijven naar de lokale schijven van de terminal server
- de mogelijkheid dat ik als beheerder de bureaubladen kan beheren
- de domeingebruikers mogen geen software installeren op de terminal server
- outlook moet per gebruiker automatisch de juiste instellingen krijgen.
- niet (minimaal) lezen en schrijven naar de lokale schijven van de terminal server
= "Read Only Blanketing"

- de mogelijkheid dat ik als beheerder de bureaubladen kan beheren
PowerFuse desktop (Windows shell) is volledig te beheren vanuit de Real Enterprise Manager

- de domeingebruikers mogen geen software installeren op de terminal server
= "Security Management" (appguard)

- outlook moet per gebruiker automatisch de juiste instellingen krijgen.
= "Instant Mail"

Bovengenoemde zijn allemaal PowerFuse features

woensdag 11 oktober 2006 21:29

Acties:
  • elevator
  • Registratie: December 2001
  • Niet online

elevator

Officieel moto fan :)

Maar ik hoor niet echt features die niet met standaard GPO's danwel ACL's te fixen zijn?
  • Minimaal lezen en schrijven naar de lokale schiven van de terminal server
    ACLs - eventueel via security templates.
  • De mogelijkheid dat ik als beheerder de bureaubladen kan beheren
    Dit zal je moeten specificeren maar dat kan je met GPO's al veel doen?
  • De domaingebruikers mogen geen software installeren op de terminal server
    Dit kan een normale user al niet - een user heeft geen rechten in "Program Files", geen rechten in de Windows directory, etc. Daarnaast kan je met GPO's bv. ook blokkeren dat programma namen als setup.exe uitgevoerd worden.
  • Outlook moet per gebruiker automatisch de juiste instellingen krijgen
    Dit kan Office Professional in de VLK editie standaard al - anders kan je dit met GPO's regelen normaal gesproken?

vrijdag 13 oktober 2006 13:40

Acties:
  • Spectre75
  • Registratie: Januari 2006
  • Laatst online: 26-12-2024

Spectre75

Een hele handige ADM (= uitbereiding van je GPO settings) voor Terminal Servers en Citrix is de True Control Template.

Hiermee kan je zowat alles doen wat je vraagt, allemaal in 1 GPO.

zaterdag 21 oktober 2006 00:01

Acties:
  • mister iks
  • Registratie: September 2001
  • Laatst online: 02-02 23:56

mister iks

elevator schreef op woensdag 11 oktober 2006 @ 21:29:
Maar ik hoor niet echt features die niet met standaard GPO's danwel ACL's te fixen zijn?
  • Minimaal lezen en schrijven naar de lokale schiven van de terminal server
    ACLs - eventueel via security templates.
  • De mogelijkheid dat ik als beheerder de bureaubladen kan beheren
    Dit zal je moeten specificeren maar dat kan je met GPO's al veel doen?
  • De domaingebruikers mogen geen software installeren op de terminal server
    Dit kan een normale user al niet - een user heeft geen rechten in "Program Files", geen rechten in de Windows directory, etc. Daarnaast kan je met GPO's bv. ook blokkeren dat programma namen als setup.exe uitgevoerd worden.
  • Outlook moet per gebruiker automatisch de juiste instellingen krijgen
    Dit kan Office Professional in de VLK editie standaard al - anders kan je dit met GPO's regelen normaal gesproken?
Er zijn uiteraard meerdere wegen naar Rome.
Echter, met PowerFuse is bovenstaande in 5 minuten te regelen, het is eenvoudig en het geheel blijft overzichtelijk en wanneer er later wijzigingen zijn dan zijn deze zo aangebracht.
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq