Richtlinien für Client-PCs und Server
1. Richtlinienaktualisierung für Clients
Richtlinien können vom Server aus über die Funktion „Richtlinienupdate“ für die betreffenden OU-Members aktualsiert werden:
Voraussetzung ist die Aktivierung der folgenden vordefinierten Firewall-Regeln auf den Client-PCs:
=Remoteverwaltung geplanter Aufgaben
=Windows Verwaltungsinstrumentation WMI
Die Regeln für eingehenden Datenverkehr werden in einer vorhandenen, bzw. neu zu erstellenden Gruppenrichtlinie (Computerkonfiguration) aktiviert:
2. Ordnerumleitung serverbasierter Benutzerprofile
Für die Einrichtung der Benutzerprofile bietet sich folgende Kombination an: Serverbasierte Profile in Kombination mit Ordnerumleitungen der einzelnen Profilordner auf das Homelaufwerk.
Hierzu eine Richtlinie für die betreffende OU der VW-User (Benutzerkonfiguration) mit folgenden Anpassungen erstellen:
Einrichtung der jeweiligen Ordnerumleitungen nach folgendem Muster:
3. Windows 10 Basisanpassungen
Windows 10 Anpassungen für die OU der Client-PCs (Computerkonfiguration)
NACHTRAG: Computerkonfiguration - System - adm. Vorlagen - System - Anmelden:
Bei Neustart des Computers und bei der Anmeldung immer auf das Netzwerk warten: aktiviert
Bzgl. <Windows Defender Firewall> sind folgende Anpassungen notwendig:
NACHTRAG: Zusätzlich: Eingehende Remoteverwaltungsausnahme zulassen: aktiviert
Adreßbereich: 172.16.0.0/16
Abschließende Anpassungen für den RemoteDesktop-Zugriff auf die Clients:
4. WSUS Einstellungen für die OU der Client-PCs (Computerkonfiguration):
5. WSUS Einstellungen Server für die OU Domain Controllers (Computerkonfiguration):
6. Aktivierung Remotedesktop für/auf Server und Clients:
Richtlinie auf OU DC und Client-PCs:
Remoteverbindungen für Benutzer mithilfe der Remotedesktopdienste zulassen:
Computerkonfiguration > Richtlinien > Administrative Vorlagen > Windows-Komponenten > Remotedesktopdienste >
Remotedesktopsitzungs-Host > Verbindungen > „Remoteverbindungen für Benutzer mithilfe der Remotedesktopdienste zulassen“
öffnen und den Punkt auf „Aktiviert“ setzen.
Richtlinie Client-PCs:
Anmelden über Remotedesktopdienste zulassen:
Computerkonfiguration > Richtlinien > Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Zuweisen von Benutzerrechten
Anmelden über Remotedesktopdienste zulassen (Anmelden über Terminaldienste zulassen)
öffnen, bei „Diese Richtlinieneinstellungen definieren“ aktivieren und via dem Button „Benutzer oder Gruppe hinzufügen …“
die Benutzer bzw. Gruppen hinzufügen.
Richtlinie DC und Client-PCs:
Eingehende Remotedesktopausnahmen zulassen:
Computerkonfiguration > Richtlinien > Administrative Vorlagen: Vom lokalen Computer abgerufene Richtliniendefinitionen (ADMX)
Netzwerk > Netzwerkverbindungen > Windows-Firewall > Domänenprofil > „Windows Firewall: Eingehende Remotedesktopausnahmen zulassen“
öffnen, den Punkt auf „Aktiviert“ setzen und in das Eingabefeld den Netzbereich (172.16.0.0) eintragen.
Richtlinie Client-PCs:
Benutzer/Gruppe über die GPO Lokal in die Remotedesktopbenutzer Liste eintragen:
Computerkonfiguration > Einstellungen > Systemsteuerungseinstellungen > Lokale Benutzer und Gruppen > Neu > Lokale Gruppe
Aktualisieren (Empfohlen) > Gruppenname: Remotedesktopbenutzer (integiert) auswählen > unten auf „Hinzufügen…“
klicken und die Benutzer/Gruppe auswählen.
Zusätzliche Info: Haken bei „Alle Mitgliederbenutzer löschen“ = löscht alle vorhandenen Benutzer und trägt die ein,
die hinterlegt wurden.
7. GP-Import auf anderem Server
Erstellte Gruppenrichtlinienobjekte lassen sich sichern und auf anderen Server importieren:
In der Gruppenrichtlinienverwaltung unter Gruppenrichtlinienobjekte das gewünschte Objekt auswählen und sichern:
Auf dem Zielserver in der Gruppenrichtlinienverwaltung unter Gruppenrichtlinienobjekte das gewünschte Objekt erstellen und
anschließend über „Einstellungen importieren“ die vorher auf dem Quellserver exportieren Einstellungen importieren:
Der Warnhinweis bzgl. gefundener UNC-Pfade kann ignoriert werden, sofern Servername und Freigaben der Server identisch sind:
