[2008r2] Desktop redirection op TS die ook DC is*

Hallo,

Ik heb bij een klant ivm budget een Domain Controller tevens als TS ingericht, omdat een paar gebruikers toegang met TS moeten kunnen hebben. Ja ik weet het, niet de best practice

Ik heb een policy aangemaakt die allerlei dingen uitschakeld zoals start >run enzovoorts, en tevens de program files en start menu redirect.

De policy hangt aan de Domain Controllers OU, en wordt toegepast op de computer object van de DC, en op een groep "TS users".

Deze config gebruik ik ook bij klanten welke een aparte TS server hebben, alleen in deze config wordt de policy niet toegepast!

Ook als ik als een user inlog op de DC/TS en start > run > cmd > gpresult /user gebruikersnaam /v doe, meld hij dat er geen policies worden toegepast.

Iemand enig idee hoe dit kan?

Question Mark schreef op vrijdag 18 maart 2011 @ 12:54:
[...]

Of je hebt loopback policy processing niet aangezet, of je gebruikers zitten niet in de "domain controllers OU" (en dat laatste wil je niet).

Oplossing is dus om loopback policy processing aan te zetten.

Heel raar...
Mijn policy met desktop settings:

- Gelinkt aan OU domain controllers. Eerst wordt de DC policy toegepast, dan de TS policy.
- Security filtering bevat: De SG met TS users, en het computeraccount van de DC.
- Bij computer settings staat de policy "User group policy loopback processing mode" op "replaced".

Heb al een restart van de server gedaan en gpupdate /force, mag niet baten. En nee, "computer settings disabled" staat niet aan

Graag jullie input

Spectre75 schreef op vrijdag 18 maart 2011 @ 14:28:
Een open deur intrappen, maar misschien is dit de reden dat iedereen roept dat je deze combinatie nooit moet doen

Wat krijg je als je een RSOP draait (ook even Policy Events tabje bekijken, staat ook vaak zinnige info) ?

Zoals je ziet, er wordt helemaal geen administrative template settings meegenomen.
Als ik als de user rsop.msc wil draaien, wordt er om credentials gevraagd. Ik moet dan admin credentials opgeven om verder te gaan. Vervolgens doe ik change query en kies de TS user om tot bovenstaande screenshot te komen.

Zou het te maken hebben met de rechten op de GP?
Domain users heeft wel apply policy rechten op de deze GPO.

Spectre75 schreef op zondag 20 maart 2011 @ 11:49:
Bedenk me opeens dat je User Right Assignment op een DC anders is dan op een Domain Member Server. Verklaart ook waarom je bij het RSOP gedeelte admin credentials moest opgeven.

Ik vrees dat je je DC flink moet gaan uitkleden op securty gebied op dit allemaal goed werkend te krijgen.

Als je dit echt wilt gaan doen, begin dan eens met het local security policy van een domain member server te vergelijken met het security policy voor je DC. Daar zitten de nodige verschillen in. Kan dus zijn dat je users op een DC niet dezelfde lokale rechten hebben als ze lokaal op een domain member server hebben.

Oke, dit zal dan in de kosten gaan lopen om het allemaal voor elkaar te krijgen...
Misschien dat ik een VM aan kan maken op de server waar de DC op draait, en dan een TS installatie doe? Heb er geen goede ervaringen mee. De vorige keer dat ik VMware server op een DC installeerde, was spontaan de hele DNS server corrupt enzovoorts. Werkt dit beter met bijvoorbeeld MS Virtual PC?