RDP via Gruppenrichtlinien -> FRUST!

Hallo!

Ich versuche gerade per Gruppenrichtlinien einer Gruppe von Usern auf
einigen Rechnern den Zugang mit Remotedesktop ein zu richten.

Ich habe also für die User eine Gruppe erstellt und sie in die Gruppe
gesteckt:
RDP-Gruppe

Dann habe ich mit der OU, in der sich die PC's befinden auf denen Remote
zugegriffen werden soll eine Gruppenrichtlinie verknüpft:
RDP-Mitarbeiter

RDP-Mitarbeiter ist folgendermaßen konfiguriert:
Anmelden über Terminaldienste zulassen --->>> DOMAIN\RDP-Mitarbeiter
Firewall für RDP offen


Jetzt versuchen ich mich zu verbinden und als Fehlermeldung bekomme ich:
Sie müssen über die Berechtigung "Anmelden über Terminaldienste
Verfügen"....
Versuche ich mich mit einem Admin remote an zu melden funktioniert es.


So und jetzt wirds gruselig:
ich mache gpresult (gpupdate /force habe ich schon 10000x gemacht und
auch neu gestartet) und unter angewendete Gruppenrichtlinien taucht
"RDP-Mitarbeiter" nicht auf. Jetzt denkt der erste, "alles klar, GPO
kommt nicht an, kann ja nicht funktionieren". Lustigerweise werden die
PC's mit System Center Essentials 2007 verwaltet und wenn ich Software
über SCE2007 einspiele usw, funktioniert das alles, diese
Gruppenrichtlinien zeigt gpresult allerdings auch nicht an, jedoch
werden diese 100%ig befolgt, weil SCE2007 ordnungsgemäß funktioniert.


Wie so oft sitze ich jetzt vor meinem Bildschirm und bekomme diese
Gefühle von Hass auf Grund von Machtlosigkeit gegen diese Situation. Ich
verstehe es einfach nicht. Da will man was einrichten und es geht nicht
ok, kein Ding, das System sagt einem was man machen muss und man machts,
danach gehts immer noch noch nicht und das System sagt einem das, was
man gerade schon gemacht hat. Ich will nicht mehr... Ich muss im Lotto
gewinnen, damit dieser Albtraum ein Ende findet!

aaaaaa cmd als Admin ausgeführt zeit alle GPO's via gpresult an aaaaaa
das bringt zwar wieder etwas Logik rein aber es funktioniert deswegen
noch nicht besser aaaaa LOTTO ICH KOMME!!!

Sebastian schrieb:
> Hallo!
>
> Ich versuche gerade per Gruppenrichtlinien einer Gruppe von Usern auf
> einigen Rechnern den Zugang mit Remotedesktop ein zu richten.
>
> Ich habe also für die User eine Gruppe erstellt und sie in die Gruppe
> gesteckt:
> RDP-Gruppe
>
> Dann habe ich mit der OU, in der sich die PC's befinden auf denen Remote
> zugegriffen werden soll eine Gruppenrichtlinie verknüpft:
> RDP-Mitarbeiter
>
> RDP-Mitarbeiter ist folgendermaßen konfiguriert:
> Anmelden über Terminaldienste zulassen --->>> DOMAIN\RDP-Mitarbeiter
> Firewall für RDP offen
>
>
> Jetzt versuchen ich mich zu verbinden und als Fehlermeldung bekomme ich:
> Sie müssen über die Berechtigung "Anmelden über Terminaldienste
> Verfügen"....
> Versuche ich mich mit einem Admin remote an zu melden funktioniert es.
>
>
> So und jetzt wirds gruselig:
> ich mache gpresult (gpupdate /force habe ich schon 10000x gemacht und
> auch neu gestartet) und unter angewendete Gruppenrichtlinien taucht
> "RDP-Mitarbeiter" nicht auf. Jetzt denkt der erste, "alles klar, GPO
> kommt nicht an, kann ja nicht funktionieren". Lustigerweise werden die
> PC's mit System Center Essentials 2007 verwaltet und wenn ich Software
> über SCE2007 einspiele usw, funktioniert das alles, diese
> Gruppenrichtlinien zeigt gpresult allerdings auch nicht an, jedoch
> werden diese 100%ig befolgt, weil SCE2007 ordnungsgemäß funktioniert.
>
>
> Wie so oft sitze ich jetzt vor meinem Bildschirm und bekomme diese
> Gefühle von Hass auf Grund von Machtlosigkeit gegen diese Situation. Ich
> verstehe es einfach nicht. Da will man was einrichten und es geht nicht
> ok, kein Ding, das System sagt einem was man machen muss und man machts,
> danach gehts immer noch noch nicht und das System sagt einem das, was
> man gerade schon gemacht hat. Ich will nicht mehr... Ich muss im Lotto
> gewinnen, damit dieser Albtraum ein Ende findet!

Hi,

Sebastian schrieb:
> RDP-Mitarbeiter ist folgendermaßen konfiguriert:
> Anmelden über Terminaldienste zulassen --->>> DOMAIN\RDP-Mitarbeiter
> Firewall für RDP offen
> Jetzt versuchen ich mich zu verbinden und als Fehlermeldung bekomme ich:
> Sie müssen über die Berechtigung "Anmelden über Terminaldienste
> Verfügen"....
> Versuche ich mich mit einem Admin remote an zu melden funktioniert es.
>
>
> So und jetzt wirds gruselig:
> ich mache gpresult (gpupdate /force habe ich schon 10000x gemacht und
> auch neu gestartet)

.... und "Immer auf das Netzwerk warten" ist aktiviert?

> und unter angewendete Gruppenrichtlinien taucht
> "RDP-Mitarbeiter" nicht auf. Jetzt denkt der erste, "alles klar, GPO
> kommt nicht an, kann ja nicht funktionieren". Lustigerweise werden die
> PC's mit System Center Essentials 2007 verwaltet und wenn ich Software
> über SCE2007 einspiele usw, funktioniert das alles, diese
> Gruppenrichtlinien zeigt gpresult allerdings auch nicht an, jedoch
> werden diese 100%ig befolgt, weil SCE2007 ordnungsgemäß funktioniert.

Was auch immer SCE2007 ist .. gehts denn wenn es ohne dem ist?

Tschö
Mark
--
Mark Heitbrink - MVP Windows Server - Group Policy

Homepage: www.gruppenrichtlinien.de - deutsch
Blog: gpupdate.spaces.live.com - english

SCE2007 -> http://www.microsoft.com/germany/sys...e/default.mspx

"Immer auf das Netzwerk warten" habe ich noch nie gesehen, wo finde ich
diese Einstellung?



Mark Heitbrink [MVP] schrieb:
> Hi,
>
> Sebastian schrieb:
>> RDP-Mitarbeiter ist folgendermaßen konfiguriert:
>> Anmelden über Terminaldienste zulassen --->>> DOMAIN\RDP-Mitarbeiter
>> Firewall für RDP offen
>> Jetzt versuchen ich mich zu verbinden und als Fehlermeldung bekomme ich:
>> Sie müssen über die Berechtigung "Anmelden über Terminaldienste
>> Verfügen"....
>> Versuche ich mich mit einem Admin remote an zu melden funktioniert es.
>>
>>
>> So und jetzt wirds gruselig:
>> ich mache gpresult (gpupdate /force habe ich schon 10000x gemacht und
>> auch neu gestartet)
>
> ... und "Immer auf das Netzwerk warten" ist aktiviert?
>
>> und unter angewendete Gruppenrichtlinien taucht
>> "RDP-Mitarbeiter" nicht auf. Jetzt denkt der erste, "alles klar, GPO
>> kommt nicht an, kann ja nicht funktionieren". Lustigerweise werden die
>> PC's mit System Center Essentials 2007 verwaltet und wenn ich Software
>> über SCE2007 einspiele usw, funktioniert das alles, diese
>> Gruppenrichtlinien zeigt gpresult allerdings auch nicht an, jedoch
>> werden diese 100%ig befolgt, weil SCE2007 ordnungsgemäß funktioniert.
>
> Was auch immer SCE2007 ist .. gehts denn wenn es ohne dem ist?
>
> Tschö
> Mark

Sebastian schrieb:
> "Immer auf das Netzwerk warten" habe ich noch nie gesehen, wo finde ich
> diese Einstellung?

Gilt ab XP aufwärts.
http://www.gruppenrichtlinien.de/Grundlagen/faq.htm#36

Tschö
Mark
--
Mark Heitbrink - MVP Windows Server - Group Policy

Homepage: www.gruppenrichtlinien.de - deutsch
Blog: gpupdate.spaces.live.com - english

mhm das ist eine interessante Einstellung. Für das aktuelle Problem hat
sie leider nicht geholfen.

Mark Heitbrink [MVP] schrieb:
> Sebastian schrieb:
>> "Immer auf das Netzwerk warten" habe ich noch nie gesehen, wo finde ich
>> diese Einstellung?
>
> Gilt ab XP aufwärts.
> http://www.gruppenrichtlinien.de/Grundlagen/faq.htm#36
>
> Tschö
> Mark

Moin,

Sebastian schrieb:
> mhm das ist eine interessante Einstellung. Für das aktuelle Problem hat
> sie leider nicht geholfen.

Schade, das war der "Standard-Schalter" für das PRoblem:
Ich habe den Rechner schon 90x neugestartet und her hat immer noch
nicht die neue Einstellungen übernommen ...

Andere Idee:
Geht es wenn du die Benutzer in die Gruppe der Remotedesktopbenutzer
steckst? Reden wir eigentlich über Server oder XP Workstations?
Bei Servern solltest du auf jeden Fall noch das die Berechtigungen auf
dem RDP Protokoll selbst überprüfen.
http://www.gruppenrichtlinien.de/How...nal_Server.htm

Noch eine nlöde Frage: Gehts wenn du deine Gruppe per Hand in die
Lokale SiRiLi einträgst?

Tschö
Mark
--
Mark Heitbrink - MVP Windows Server - Group Policy

Homepage: www.gruppenrichtlinien.de - deutsch
Blog: gpupdate.spaces.live.com - english

Mark Heitbrink [MVP] schrieb:
> Moin,
>
> Andere Idee:
> Geht es wenn du die Benutzer in die Gruppe der Remotedesktopbenutzer
> steckst?

Nein, selbst dann geht es nicht (mit Administratoren funktioniert es)

> Reden wir eigentlich über Server oder XP Workstations?

Die Clients auf denen Zugegriffen werden soll laufen unter Vista
(Ultimate), der Domänenserver ist ein 2003-R2.

> Bei Servern solltest du auf jeden Fall noch das die Berechtigungen auf
> dem RDP Protokoll selbst überprüfen.
> http://www.gruppenrichtlinien.de/How...nal_Server.htm

Das trifft bei mir wohl nicht zu, hat aber gut getan diese Beschreibung
zu lesen :-)

> Noch eine nlöde Frage: Gehts wenn du deine Gruppe per Hand in die
> Lokale SiRiLi einträgst?

Nun, ich denke hier liegt der Fehler. Da ich heute wieder klar denken
kann (gestern Lotto gespielt) fällt mir auf, dass ich in der Lokalen
Richtlinie keine User eintragen kann. Das ist zwar ok, weil die
Richtlinie von der Domäne kommt, folgendes verstehe ich aber nicht:
Es gibt zwei RDP-Richtlinien
Richtlinie 1 erlaubt es den Gruppen A und B eine RDP-Verbindung her zu
stellen.
Richtlinie 2 erlaubt es der Gruppe C ein RDP-Verbindung her zu stellen.
Was jetzt beim Client ankommt ist laut gpresult Richtlinie 1 und 2, wenn
ich mir die Lokale Richtlinie auf dem Client ansehe, sehe ich aber nur
die Gruppen aus Richtlinie 1, Gruppe C fehlt also.

Ich habe also zwei Gruppenrichtlinienobjekte, die die selbe Einstellung
bearbeiten (Anmelden über Terminaldienste zulassen) jedoch mit anderen
Einträgen (1. A,B 2. C). Ich bin jetzt davon ausgegangen, dass die
Richtlinien zusammengefasst werden und beim Client A,B,C ankommt. Ist
das falsch?


AAAAAAAAAAAA VERDAMMT! JEtzt fällt mir gerade ein, dass User der
Richtlinie 1 auch nicht Remote arbeiten können, das passt wieder nicht
zusammen. Ich werde mal alle GPO-Verknüpfungen aufheben und eine neue
erstellen und wenn das nicht hilft noch einen Lotto-Schein ausfüllen...

> Tschö
> Mark

Bye
Sebastian

Hi,

Sebastian schrieb:
> Nun, ich denke hier liegt der Fehler. Da ich heute wieder klar denken
> kann (gestern Lotto gespielt) fällt mir auf, dass ich in der Lokalen
> Richtlinie keine User eintragen kann. Das ist zwar ok, weil die
> Richtlinie von der Domäne kommt,

Richtig. Sie ist Domänenbestimmt.

> folgendes verstehe ich aber nicht: Es gibt zwei RDP-Richtlinien
> Richtlinie 1 erlaubt es den Gruppen A und B eine RDP-Verbindung her zu
> stellen. Richtlinie 2 erlaubt es der Gruppe C ein RDP-Verbindung her zu stellen.
> Was jetzt beim Client ankommt ist laut gpresult Richtlinie 1 und 2, wenn
> ich mir die Lokale Richtlinie auf dem Client ansehe, sehe ich aber nur
> die Gruppen aus Richtlinie 1, Gruppe C fehlt also.

Es ist kein MERGE/ZUsammenführen sondern immer ein ERSETZEN! Die
nachfolgende Einstellung überstimtm die vorangegangene.

Ruf ein rsop.msc am Client auf, dann weist du welche GPO "gewinnt",
diese kannst du dann editieren.

Tschö
Mark
--
Mark Heitbrink - MVP Windows Server - Group Policy

Homepage: www.gruppenrichtlinien.de - deutsch
Blog: gpupdate.spaces.live.com - english

Zwei Gruppenrichtlinien, die das selbe konfigurieren nur mit
unterschiedlichen Werten sind anscheinend nicht additiv. Jedenfalls
kommen jetzt wieder die richtigen Berechtigungen am Client an und jetzt
bekomme ich die Meldung:

"Die Verbindung wurde abgelehnt, da das Benutzerkonto nicht zur
Remoteanmeldung autorisiert ist."

Schlechte Lösung:
Wenn ich der lokalen Gruppe (Remotedesktopbenutzer) auf dem Client die
Domänengruppe (RDP-Mitarbeiter) hinzufüge, können sich die Mitarbeiter
anmelden.

Weil ich jetzt nicht auf 100 PC's diese Gruppe Lokal hinzuklicken möchte
suche ich noch nach einer eleganten Lösung per GPO. Hat da jemand was?

Sebastian schrieb:
>
>
> Mark Heitbrink [MVP] schrieb:
>> Moin,
>>
>> Andere Idee:
>> Geht es wenn du die Benutzer in die Gruppe der Remotedesktopbenutzer
>> steckst?
>
> Nein, selbst dann geht es nicht (mit Administratoren funktioniert es)
>
>> Reden wir eigentlich über Server oder XP Workstations?
>
> Die Clients auf denen Zugegriffen werden soll laufen unter Vista
> (Ultimate), der Domänenserver ist ein 2003-R2.
>
>> Bei Servern solltest du auf jeden Fall noch das die Berechtigungen auf
>> dem RDP Protokoll selbst überprüfen.
>> http://www.gruppenrichtlinien.de/How...nal_Server.htm
>
> Das trifft bei mir wohl nicht zu, hat aber gut getan diese Beschreibung
> zu lesen :-)
>
>> Noch eine nlöde Frage: Gehts wenn du deine Gruppe per Hand in die
>> Lokale SiRiLi einträgst?
>
> Nun, ich denke hier liegt der Fehler. Da ich heute wieder klar denken
> kann (gestern Lotto gespielt) fällt mir auf, dass ich in der Lokalen
> Richtlinie keine User eintragen kann. Das ist zwar ok, weil die
> Richtlinie von der Domäne kommt, folgendes verstehe ich aber nicht:
> Es gibt zwei RDP-Richtlinien
> Richtlinie 1 erlaubt es den Gruppen A und B eine RDP-Verbindung her zu
> stellen.
> Richtlinie 2 erlaubt es der Gruppe C ein RDP-Verbindung her zu stellen.
> Was jetzt beim Client ankommt ist laut gpresult Richtlinie 1 und 2, wenn
> ich mir die Lokale Richtlinie auf dem Client ansehe, sehe ich aber nur
> die Gruppen aus Richtlinie 1, Gruppe C fehlt also.
>
> Ich habe also zwei Gruppenrichtlinienobjekte, die die selbe Einstellung
> bearbeiten (Anmelden über Terminaldienste zulassen) jedoch mit anderen
> Einträgen (1. A,B 2. C). Ich bin jetzt davon ausgegangen, dass die
> Richtlinien zusammengefasst werden und beim Client A,B,C ankommt. Ist
> das falsch?
>
>
> AAAAAAAAAAAA VERDAMMT! JEtzt fällt mir gerade ein, dass User der
> Richtlinie 1 auch nicht Remote arbeiten können, das passt wieder nicht
> zusammen. Ich werde mal alle GPO-Verknüpfungen aufheben und eine neue
> erstellen und wenn das nicht hilft noch einen Lotto-Schein ausfüllen...
>
>> Tschö
>> Mark
>
> Bye
> Sebastian