Hansi 10 Geschrieben 18. Januar 2008 Melden Geschrieben 18. Januar 2008 mahlzeit, folgendes Problem: wie kann man realisieren, dass die Anmeldung auf einen bzw. mehreren WTS 2003 sever SP1 am Wochenende nicht möglich ist. Obwohl man als Administrator per RDP von außen via VPN arbeiten will. 1. per change login /enable disable funtz es nett, denn dann kann der Admin auch nett mehr rein...also per rdp. 2. Leider wurden die Berechtigungen in der Vergangenheit sehr unsauber gesetzt. So das ich nur die Domänenuser in den Berechtigung der RDP /terminaldienstconfig habe. Nehme ihn das recht weg..kann der Admin ,der ja auch indirekt Mitglied der Gruppe Domänenuser ist, sich auch nicht anmelden. 3 Könnte die Firewall so konfigurieren das RDP nur vom Admin PC funtzt.(von Aussen) 4. VNC ..naja. Gibt’s nicht ne Möglichkeit per GPO das zu regel?will nicht jedem user das Zeitfenster manuell anlegen im ADS.. Oder ?:suspect: :confused: :shock: Für Tips dankbar! Zitieren
Squire 273 Geschrieben 18. Januar 2008 Melden Geschrieben 18. Januar 2008 Sollen die User auch am Wochenende an den normalen LAN PCs arbeiten können? Wenn nein, dann könntest Du das via Anmeldezeitbeschränkung des User Accounts regeln Zitieren
groszmann 10 Geschrieben 18. Januar 2008 Melden Geschrieben 18. Januar 2008 Zitat ...dann könntest Du das via Anmeldezeitbeschränkung des User Accounts regeln Das ist, glaube ich, genau das, was Hansi nicht machen möchte. Aber guckst Du hier:HOW TO: Limit User Logon Time in a Domain in Windows Server 2003 .. und dann die Übernahme der GPO für den Administrator in den Sicherheitseinstellungen verweigern. Gruß Hans Zitieren
grizzly999 11 Geschrieben 18. Januar 2008 Melden Geschrieben 18. Januar 2008 groszmann schrieb: Das ist, glaube ich, genau das, was Hansi nicht machen möchte. Ah ja, aber du postest dann als dein Vorschlag genau die Beschreibung dazu (zu dem was er deiner Meinung nach NICHT machen möchte). Sehr pfiffig :rolleyes: grizzly999 Zitieren
groszmann 10 Geschrieben 18. Januar 2008 Melden Geschrieben 18. Januar 2008 Asche auf mein Haupt, da war ich wohl etwas oberflächlich beim Lesen. Die Überschrift Zitat Step 2: Enforce Logon Hours Restrictionssuggeriert da etwas anderes, als im Folgenden beschrieben wird. Tja, da bin ich jetzt auch ratlos, wie das über GPOs zu realisieren wäre. Gruß Hans Zitieren
Squire 273 Geschrieben 18. Januar 2008 Melden Geschrieben 18. Januar 2008 er muss ja nicht jeden User einzeln anfassen - Active Directory Benutzer und Computer - alle entsprechenden User markieren und dann Rechtsklick Eigenschaften - auf dem Reiter Konto lassen sich dann die Anmeldezeiten für alle ausgewählten Usern gleichzeiig abändern Zitieren
Stephan Betken 43 Geschrieben 18. Januar 2008 Melden Geschrieben 18. Januar 2008 grizzly999 schrieb: Ah ja, aber du postest dann als dein Vorschlag genau die Beschreibung dazu (zu dem was er deiner Meinung nach NICHT machen möchte). Hätte ja sein können, dass er damit durchkommt. Versuch macht kluch (oder so ähnlich). :rolleyes: Zitieren
Hansi 10 Geschrieben 22. Januar 2008 Autor Melden Geschrieben 22. Januar 2008 danke erstmal ! ja...leider haben wir ca. 450 ser in ca. 25 OU...da muss man halt schonmal ne halbe Stunde dumm klicken....daher dachte ich per gpo auf´s toplevel. Zitieren
Stephan Betken 43 Geschrieben 22. Januar 2008 Melden Geschrieben 22. Januar 2008 Hansi schrieb: ja...leider haben wir ca. 450 ser in ca. 25 OU...da muss man halt schonmal ne halbe Stunde dumm klicken... Wieso das denn? Zur Erinnerung: Squire schrieb: er muss ja nicht jeden User einzeln anfassen - Active Directory Benutzer und Computer - alle entsprechenden User markieren und dann Rechtsklick Eigenschaften - auf dem Reiter Konto lassen sich dann die Anmeldezeiten für alle ausgewählten Usern gleichzeiig abändern Du kannst ja auch unter Active Directory-Benutzer und -Computer eine Abfrage erstellen und dann dort die entsprechenden User auswählen, um die Eigenschaften aller ausgewählten User in nur einem Schritt zu ändern. Oder die Alternative: Hansi schrieb: Leider wurden die Berechtigungen in der Vergangenheit sehr unsauber gesetzt. So das ich nur die Domänenuser in den Berechtigung der RDP /terminaldienstconfig habe.Nehme ihn das recht weg..kann der Admin ,der ja auch indirekt Mitglied der Gruppe Domänenuser ist, sich auch nicht anmelden. Dann solltest Du schleunigst die Administratoren hinzufügen (Vollzugriff). Du solltest vielleicht alle Standardberechtigungen wiederherstellen. Administratoren: Vollzugriff SYSTEM: Vollzugriff Remotedesktopbenutzer: Benutzerzugriff Wenn Du dann noch ein Skript baust, welches die Gruppe der Domänenbenutzer zur Gruppe der Remotedesktopbenutzer hinzufügt bzw. ein zweites, welches die eine Gruppe aus der anderen entfernt, dann braucht man doch nur noch zwei geplante Tasks. Richtig? Zitieren
Hansi 10 Geschrieben 28. Januar 2008 Autor Melden Geschrieben 28. Januar 2008 Stevie-B schrieb: Wieso das denn? Zur Erinnerung: Du kannst ja auch unter Active Directory-Benutzer und -Computer eine Abfrage erstellen und dann dort die entsprechenden User auswählen, um die Eigenschaften aller ausgewählten User in nur einem Schritt zu ändern. ? Wie ??:shock: :confused: Zitieren
Stephan Betken 43 Geschrieben 28. Januar 2008 Melden Geschrieben 28. Januar 2008 In Active Diretory-Benutzer und -Computer den Container namens Gespeicherte Abfragen rechtsklicken und Neu - Abfrage auswählen. Dort kannst Du einen Namen und eine Beschreibung für diese Abfrage eingeben und natürlich auch den Abfragestamm (wenn Du nur einzelne Container durchsuchen möchtest) festlegen. Unter Festlegen kannst Du die Abfrage dann für Deine Bedürfnisse anpassen. Z. B. für alle Benutzer: Suchen Allgemeine Abfragen Name Hat einen Wert Danach die Benutzer auswählen und die Eigenschaften anzeigen. So hast Du die Möglichkeit, alle ausgewählten Benutzer zeitgleich zu ändern. Die Standardberechtigungen sollten aber trotzdem wiederhergestellt werden. Zitieren
Hansi 10 Geschrieben 31. Januar 2008 Autor Melden Geschrieben 31. Januar 2008 danke..hat wunderbar geklapt!;) Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.