IThome 10 Geschrieben 3. Mai 2007 Melden Teilen Geschrieben 3. Mai 2007 Überprüfe mal die Gruppenmitgliedschaft dort auf dem TS. Dort gehören die User rein, entweder direkt oder durch die Mitgliedschaft einer Gruppe, die zum Mitglied der lokalen Remotedesktopbenutzer wird ... Remotedesktopbenutzer auf dem DC und Remotedesktopbenutzer auf einem Member sind verschiedene Gruppen ... Zitieren Link zu diesem Kommentar
nightmare197 10 Geschrieben 3. Mai 2007 Melden Teilen Geschrieben 3. Mai 2007 Leider ist dem nicht so. In der lokalen Gruppe "Remotedesktopbenutzer" auf dem TS sind keine Benutzer und auch keine Gruppe vorhanden. Nur auf dem DC in der Gruppe "Remotedesktopbenutzer" sind die User drin. Die User können sich trotzdem am TS anmelden. Habe noch mal die lokale GPO vom TS geprüft. Bei "Anmelden über Terminaldienste zulassen" sind die Gruppen: Administratoren und Remotedesktopbenutzer vorhanden. Alles so wie bei der Produktiven Domäne (Die weiter oben beschrieben wurde). Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 3. Mai 2007 Melden Teilen Geschrieben 3. Mai 2007 Sind die User Mitglied der lokalen Administratorengruppe auf dem TS ? Können Sie sich noch anmelden, wenn sie nicht mehr Mitglied der domänenlokalen Gruppe Remotedesktopbenutzer sind (ich denke ja) ? Oder ist eine andere Gruppe für den Zugriff auf den TS erstellt worden, per GPO das Recht "Anmelden über Terminaldienste zulassen" gewährt worden und das RDP-TCP Verbindungsobjekt angepasst worden ? Zitieren Link zu diesem Kommentar
nightmare197 10 Geschrieben 4. Mai 2007 Melden Teilen Geschrieben 4. Mai 2007 Moin, Sind die User Mitglied der lokalen Administratorengruppe auf dem TS ? Nein, sind Sie nicht. :eek: Können Sie sich noch anmelden, wenn sie nicht mehr Mitglied der domänenlokalen Gruppe Remotedesktopbenutzer sind (ich denke ja) ? Sie sind nur in der Domänengruppe "Remotedesktopbenutzer". Und wenn Sie dort herausgenommen werden, dann können Sie sich nicht mehr anmelden. Oder ist eine andere Gruppe für den Zugriff auf den TS erstellt worden, per GPO das Recht "Anmelden über Terminaldienste zulassen" gewährt worden und das RDP-TCP Verbindungsobjekt angepasst worden ? Siehe Beitrag vom 03.05.2007 16:14: Habe noch mal die lokale GPO vom TS geprüft. Bei "Anmelden über Terminaldienste zulassen" sind die Gruppen: Administratoren und Remotedesktopbenutzer vorhanden. Sonst keine Gruppen/User. Ich verstehe das nicht... Wir hatten genau das gleiche Problem schon einmal vor ca. 1 Jahr. Dort wurde der DC neu installiert und es funktionierte danach (Testanlage). Hoffe ich bringe hier keinen zur Verzweiflung. Gruß Christian Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 4. Mai 2007 Melden Teilen Geschrieben 4. Mai 2007 Ehrlich gesagt, habe ich noch NIE die Remotedesktopbenutzer im BUILTIN-Container im Active Directory konfiguriert, wenn ich einen Memberserver als Terminalserver betrieben habe. Ich habe IMMER die lokale Remotedesktopbenutzer-Gruppe bearbeitet. Sie ist es, der das entsprechende Benutzerrecht gegeben wird und sie ist es, der der Zugriff im RDP-TCP Objekt in der Terminaldienstekonfiguration erlaubt wird. Irgendwie unverständlich, was Du schilderst (oder ich habe es bis jetzt immer falsch verstanden) ... Ich habe das mit dem GPO geschrieben, weil ein AD-GPO die lokalen Richtlinien überschreibt, es dann also vollkommen wurscht ist, was da drin steht ... Zitieren Link zu diesem Kommentar
nightmare197 10 Geschrieben 4. Mai 2007 Melden Teilen Geschrieben 4. Mai 2007 Komando zurück. Du hast mich nicht falsch verstanden. Dein vorletzter Beitrag hat mich dazu bewegt einmal auf unserer Testanlage nach den lokalen Administratorgruppe vom TS zu gucken. Und siehe da, dort gibt es eine Gruppe die mit den Benutzern gefüllt ist die sich auf dem TS anmelden. Schlussfolgerung: Ein TS in der Domäne wird so konfiguriert wie Du es beschrieben hast. Die lokale Gruppe "Remotedesktopbenutzer" vom TS ist zur Konfiguration gedacht/bestimmt. Leider hat das bei uns wohl jemand anders verstanden und einfach eine Gruppe den lokalen Administratoren des TS hinzugefügt. So eine frechheit. Es tut mir leid das ich deine Zeit vergeudet habe und nochmals Danke das Du mit mir mein Problem durchgegangen bist. Vielen Dank Christian (alias Nightmare197) P.S. Sieht dann nicht die lokale GPO so aus wie die AD-GPO? Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 4. Mai 2007 Melden Teilen Geschrieben 4. Mai 2007 Die sehen schon fast gleich aus, haben aber eine andere Priorität ... Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.