Zentrale TerminalServer-Profile trotz Domänenvetrauenstellung nutzen

Wer schon einmal eine oder mehrere weitere Domänen an die Hauptdomäne eines Windows Netzwerkes angebunden hat, weiß das es viele kleine Sachen gibt, die man beachten muss.
Bei dem letzten Projekt hatten wir eine weitere Domäne für eine ausländische Niederlassung über eine Vertrauenstellung anbinden wollen. Die Benutzer sollten mit RemoteApps (Windows Server 2008 Terminal Services) an dem entfernten Hauptstandort arbeiten. Das Problem welches nun bestand war, dass sich das Benutzerkonto in einer anderen Domäne befindet, als der Computer (TerminalServer) an dem sich angemeldet wird.

Beispiel :
Benutzer ist in Domäne D-2
Computer ist in der Domäne D-1
Beide Domänen sind über eine Vertrauensstellung verbunden

Bei Anmeldung des Users aus der anderen Domäne (D-2), wurde dem Benutzer immer ein temporäres Profil auf dem TerminalServer (D-1) untergeschoben und man konnte dadurch natürlich keine Benutzereinstellungen tätigen und speichern.

Die Lösung ist aber denkbar einfach… sofern man weiß, wo die verantwortliche Policy zu finden ist:

Ort: Computer Konfiguration / Administrative Vorlagen / System / Gruppenrichtlinien
Name: „Gesamtstrukturübergreifende Benutzerrichtlinien und Servergespeicherte Benutzerprofile zulassen“

Erklärung der GPO (Windows Server 2003):

Lässt benutzerbasierte Verarbeitung von Richtlinien, servergespeicherte Profile und Benutzerobjektanmeldeskripts für gesamtstrukturübergreifende interaktive Anmeldungen zu.
Diese Einstellung ist für alle Benutzerkonten, die sich interaktiv an einem Computer in einer anderen Gesamtstruktur anmelden, wirksam, wenn eine domänenübergreifende oder gegenseitige Vertrauensbeziehung besteht.
Wenn Sie diese Einstellung nicht konfigurieren, – werden keine benutzerbasierten Richtlinieneinstellungen von der Gesamtstruktur des Benutzers angewendet, – erhalten Benutzer keine servergespeicherten Profile, sondern ein lokales Profil von der lokalen Struktur auf ihren Computer. Der Benutzer erhält eine Warnung und Meldung 1529 wird in das Ereignisprotokoll geschrieben. – wird die Loopback-Gruppenrichtlinienverarbeitung angewendet. Dies geschieht mit Hilfe von computerbezogenen Gruppenrichtlinienobjekten. – wird Meldung 1109 (Loopback wurde in Ersetzungsmodus aufgerufen) in die Ereignisprotokollierung geschrieben.
Wenn Sie diese Einstellung aktivieren, ist das Verhalten wie bei Windows 2000 Server-Produktfamilie, d.h. die Benutzerrichtlinie wird angewendet und ein servergespeichertes Profil wird vom der Vertrauensstruktur zugelassen.
Wenn Sie diese Einstellung deaktivieren, erhalten Sie das gleiche Verhalten wie wenn Sie sie nicht konfiguriert haben.

Diese Policy einfach auf dem TerminalServer aktivieren und schon funktioniert die Anmeldung des Benutzers aus der Domäne die per Vertrauensstellung angebunden ist, ohne dass dieser User ein temporäres Profil zugeordnet bekommt, welches bei der Abmeldung vom TerminalServer automatisch gelöscht wird.

Hinweis: Der Tipp kam von IOK und war GOLD WERT!
Hier der KB-Artikel dazu: http://support.microsoft.com/kb/910206/en-us

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.