Anwenden von Gruppenrichtlinie-Objekten auf Terminaldiensteserver

  • Artikel

In diesem Artikel wird beschrieben, wie Sie Gruppenrichtlinie Objekte auf Terminaldiensteserver anwenden.

Gilt für: Windows Server 2012 R2
Ursprüngliche KB-Nummer: 260370

Zusammenfassung

Microsoft Windows Server 2003 Terminal Services-Server und Microsoft Windows 2000 Terminal Services-Server werden für Benutzer im Anwendungsservermodus installiert. Wenn sich die Terminaldiensteserver in einer Active Directory-Domäne befinden, implementiert der Domänenadministrator Gruppenrichtlinie Objekte (GPOs) auf dem Terminaldiensteserver, um die Benutzerumgebung zu steuern. In diesem Artikel wird das empfohlene Verfahren zum Anwenden von Gruppenrichtlinienobjekten auf Terminaldienste beschrieben, ohne dass sich dies negativ auf andere Server im Netzwerk auswirkt.

Weitere Informationen

Es gibt zwei Methoden zum Anwenden von Gruppenrichtlinienobjekten auf Terminaldienste, ohne dass sich dies negativ auf andere Server im Netzwerk auswirkt.

Methode 1

Legen Sie die Terminalservercomputer in eine eigene Organisationseinheit (OE) ein. Mit dieser Konfiguration können relevante Computerkonfigurationseinstellungen in Gruppenrichtlinienobjekten abgelegt werden, die nur für Terminalservercomputer gelten. Diese Konfiguration wirkt sich nicht auf die Benutzererfahrung auf Arbeitsstationen oder auf anderen Servern aus und ermöglicht es Ihnen, eine streng kontrollierte Terminalserverumgebung für Benutzer zu erstellen. Diese Organisationseinheit sollte keine Benutzer oder andere Computer enthalten, damit Domänenadministratoren die Terminaldienste optimieren können. Die Organisationseinheit kann auch zur Steuerung an untergeordnete Gruppen wie Serveroperatoren oder einzelne Benutzer delegiert werden.

Führen Sie die folgenden Schritte aus, um eine neue Organisationseinheit für die Terminaldiensteserver zu erstellen:

  1. Klicken Sie auf Start, zeigen Sie auf Programme, zeigen Sie auf Verwaltung, und klicken Sie dann auf Active Directory-Benutzer und -Computer.

  2. Erweitern Sie den linken Bereich.

  3. Klicken Sie auf domainname.xxx.

  4. Klicken Sie im Menü Aktion auf Neu und dann auf Organisationseinheit.

  5. Geben Sie im Feld Name einen Namen für den Terminaldiensteserver ein.

  6. Klicken Sie auf OK.

    Die neue Organisationseinheit "Terminaldienste" wird jetzt in der Liste im linken Bereich angezeigt und enthält keine Standardobjekte. Die Terminaldiensteserver befinden sich entweder in der Organisationseinheit Computer oder in der Organisationseinheit Domänencontroller.

  7. Suchen Sie die Terminaldiensteserver, und klicken Sie dann auf die Terminaldiensteserver, klicken Sie auf Aktion und dann auf Verschieben.

  8. Klicken Sie im Dialogfeld Verschieben auf den bzw. die neuen Terminaldiensteserver, und klicken Sie dann auf OK.

  9. Klicken Sie auf die neue Oe "Terminaldienste", um zu überprüfen, ob die Verschiebung erfolgreich durchgeführt wurde.

Führen Sie die folgenden Schritte aus, um ein Terminaldienste-Gruppenrichtlinie-Objekt zu erstellen:

  1. Klicken Sie auf die neue Organisationseinheit "Terminaldienste".

  2. Klicken Sie im Menü Aktion auf Eigenschaften.

  3. Klicken Sie auf die Registerkarte Gruppenrichtlinie.

  4. Klicken Sie auf Neu, um das Neue Gruppenrichtlinie-Objekt zu erstellen.

  5. Klicken Sie auf Bearbeiten, um die Gruppenrichtlinie zu ändern.

    Hinweis

    Die meisten relevanten Einstellungen befinden sich unter Computerkonfiguration, Sicherheitseinstellungen oder Lokale Richtlinien. Beispielsweise finden Sie unter Zuweisung von Benutzerrechten in der Liste auf der rechten Seite Die Option Lokal anmelden. Diese Einstellung ist für die Anmeldung bei einer Sitzung in Terminaldiensten erforderlich. Sie finden auch Zugriff auf diesen Computer über das Netzwerk. Diese Einstellung ist erforderlich, um eine Verbindung mit dem Server außerhalb einer Terminaldienstesitzung herzustellen. Hier können Sie auch verhindern, dass Benutzer das System herunterfahren können. Im Ordner Sicherheitsoptionen sollten viele der Einschränkungen vorgenommen werden, und es gibt ähnliche Einstellungen wie die NtConfig.pol-Datei in Windows NT 4.0 Server und Terminal Server Edition. Die Einstellungen für den Benutzerteil der Richtlinie sollten hier nicht angewendet werden, da die Benutzer nicht mit dem Terminaldiensteserver in diese Organisationseinheit eingefügt wurden. Dieser Artikel ist für die Implementierung von Computerrichtlinien geschrieben.

  6. Schließen Sie nach Abschluss der Änderungen den Gruppenrichtlinie-Editor, und klicken Sie dann auf Schließen, um oe-Eigenschaften zu schließen.

Methode 2

Verwenden Sie das Gruppenrichtlinie-Loopbackfeature, um Benutzerkonfigurations-GPO-Einstellungen nur auf Benutzer anzuwenden, wenn sie sich bei den Terminalservern anmelden. Wenn die GPO-Loopbackverarbeitung für die Computer in einer Organisationseinheit aktiviert ist, die nur Terminalserver enthält, wenden diese Computer die Einstellungen für die Benutzerkonfiguration aus dem Satz von Gruppenrichtlinienobjekten an, die für diese Organisationseinheit gelten. Darüber hinaus wenden diese Computer die Benutzerkonfigurationseinstellungen von Gruppenrichtlinienobjekten an, die mit der Organisationseinheit verknüpft oder von dieser geerbt werden, die das Benutzerkonto enthält.

Diese Implementierung wird im folgenden Knowledge Base-Artikel beschrieben:
231287 Loopbackverarbeitung von Gruppenrichtlinie

Wenn dies möglich ist, sollten Die Terminaldienste auf Mitgliedsservern und nicht auf Domänencontrollern installiert werden, da die Benutzer Benutzerrechte lokal anmelden benötigen. Wenn das Recht Lokal anmelden Domänencontrollern zugewiesen wird, wird es aufgrund der freigegebenen Active Directory-Datenbank jedem Domänencontroller in der Domäne zugewiesen. Mitgliedsservern werden standardmäßig Berechtigungen für lokale Anmeldung in der lokalen Sicherheitsrichtlinie gewährt, wenn Terminaldienste im Anwendungsservermodus installiert sind.

Weitere Informationen finden Sie, indem Sie auf die folgende Artikelnummer klicken, um den Artikel in der Microsoft Knowledge Base anzuzeigen:

186529 Lokale Richtlinie lässt die interaktive Anmeldung nicht zu

Das Computerkonto des Terminalservers sollte den Sicherheitseigenschaften des Gruppenrichtlinienobjekts hinzugefügt werden, das für den Loopback erstellt wird. Gehen Sie dazu wie folgt vor:

  1. Wählen Sie das Gruppenrichtlinienobjekt aus, das für den Loopback erstellt wird, und klicken Sie dann auf Eigenschaften.
  2. Klicken Sie auf die Registerkarte Sicherheit und dann auf Hinzufügen.
  3. Wählen Sie im Feld Benutzer, Computer oder Gruppen auswählen das Computerkonto aus, und klicken Sie dann auf OK.
  4. Klicken Sie im Feld Gruppen- oder Benutzernamen auf das Computerkonto.
  5. Aktivieren Sie im Feld Berechtigungen für Computername die Kontrollkästchen Lesen und Gruppenrichtlinie übernehmen in der Spalte Zulassen.
  6. Klicken Sie zweimal auf OK, um die Richtlinieneinstellungen zu schließen und zu speichern.

Datensammlung

Wenn Sie Unterstützung vom Microsoft-Support benötigen, sollten Sie die Informationen sammeln, indem Sie die unter Sammeln von Informationen mithilfe von TSS für Gruppenrichtlinie Probleme beschriebenen Schritte ausführen.