Remote RDP aktivieren

[m2k2 10]

Hallo,

 

als Domänenadmin möchte ich einen entfernten XP Client remote aktivieren, per Networkregistry"hack", habe ich "fDenyTSConnections" genullt. Nun kann ich mich aber immer noch nicht interaktiv am Rechner anmelden. Der Domadmin ist nicht in der lokalten Remotedesktopgroup.

 

Wie bekomme ich den da rein, oder hab ich nur was übersehen ?

[Mag 11]

Der Domänen Admin sollte in der lokalen Administratorgruppe sein, das reicht aus um die rdp Verbindung aufzubauen.

Der Firewallport muss natürlich auch offen sein

[m2k2 10]

Windowsfirewall ist deaktiv. und drauf komme ich ja, jedoch kommt die Meldung, dass derjenige sich nicht interaktiv anmelden darf (local Policy denke ich), wenn ich den Admin in die Remoteuser stecke (Test Wkst), klappts ja. Hab ich einen Denkfehler ?

[IThome 10]

Wenn er sich nicht interaktiv anmelden darf, hat er das Benutzerrecht "Anmelden über Terminaldienste zulassen" nicht. Das Setzen des Keys ändert keinerlei Einstellungen eines Benutzerrechtes. Per Default haben dieses Benutzerrecht auf einer XP-Maschine die Administratoren und Remotedesktopbenutzer. Wenn der Domänen-Admin Mitglied der lokalen Administratorengruppe auf der XP-Maschine ist (was beim Joinen zur Domäne so eingerichtet wird), kann er zugreifen. Wenn nicht, bekommt man solche Fehlermeldungen ...

[m2k2 10]

Das ist eben, was ich nicht verstehe, die Maschine gehört der Domäne an, und ich komme auf diese als Administrator zu und bekomme diese Meldung. Mir ist klar das der RegKey nur die Remote freischaltet, jedoch nicht die Rechte. Was kann das denn sein ? Wenn ich unter Systemeigenschaften -> Remote schaue, wird bei Remotedesktop der Hacken gesetzt oder nicht (RemoteReg oder lokal, egal), nun muss ich aber immer noch hingehen und den Administrator (Domänenverzeichnis) zu den Remotebenutzern hinzuzufügen um anschließend erfolgreich auf die Maschine zu kommen ? Unter dem "Zufügefeld" steht aber immer DOMÄNE\Administrator hat bereits Zugriff.

 

???

[m2k2 10]

In der DDP unter Zuweisen von Benutzerrechten z.B. steht "Anmelden über Terminaldienste zulassen" = Remotedesktopbenutzer. Wie gesagt, Domänenweite Richtlinie. Die Builtin Remotedesktopbenutzer haben den Administrator als Member !

[IThome 10]

Schau doch einfach mal nach, ob dieses Recht vorhanden ist oder nicht. Danach kannst Du Dir immer noch Gedanken darüber machen, warum es so ist, wie es ist. Eventuell ist es ja eine Domänenrichtlinie, die die lokalen Benutzerrechte einstellt ...

edit: da haste doch Deinen Fehler. Was haben die Builtin\Remotedesktopbenutzer auf den DCs mit den Remotedesktopbenutzern auf der XP-Maschine zu tun. Du musst dieses Recht den Administratoren (auf der XP-Maschine) gewähren, damit sich ein Administrator, ohne Mitglied der Remotedesktopbenutzer (auch auf der XP-Maschine) zu sein, per RDP anmelden kann. Warum stellst Du sowas in einer Default Policy ein, wenn überhaupt, dann solltest Du ein weiteres GPO mit diesen Einstellungen erzeugen und oberhalb der Default Policy linken ...

[m2k2 10]

edit: da haste doch Deinen Fehler. Was haben die Builtin\Remotedesktopbenutzer auf den DCs mit den Remotedesktopbenutzern auf der XP-Maschine zu tun ...

 

Ja, das war nur eine Feststellung, die ich weitergeben wollte.

[IThome 10]

Also eine Gruppenrichtlinie, die das Verhalten erklärt ...

[m2k2 10]

Aber der Administrator hat doch somit in der Domäne alle Rechte, auch per Domain Policy. Oder hab ich wieder was falsch verstanden ?

[m2k2 10]

Mir ist klar die DDP nicht unbedingt zu verändern, sondern eine zusätzliche zu verlinken. Ich möchte einfach nur Remote einen Remotearbeitsplatz aktivieren. Sowas muss doch möglich sein ?

[IThome 10]

Laut Deiner Beschreibung ist der Administrator Mitglied der Gruppe BUILTIN\Remotedesktopbenutzer. Du willst aber auf eine XP-Maschine rauf und nicht auf einen DC. Der Administrator (eigentlich sollten es die Administratoren sein) ist dort aber kein Mitglied, der ist Mitglied der BUILTIN\Remotedesktopbenutzer. Erzeuge also eine neue Policy, die dieses Benutzerrecht den Administratoren (in dieser Gruppe sind die Domänen-Admins per Default enthalten) und den Remotedesktopbenutzern gewährt. Setze diese Einstellung in der Default Domain Policy auf "Nicht definiert" und verknüpfe die neue Policy in die OU, in der sich die Computerkonten befinden (sonst gilt es für alle, auch Memberserver). Dann musst Du nur noch warten ...

[m2k2 10]

Irgendwie komme ich von dem Schlauch nicht runter...

 

1. Ich möchte eine XP Workstation remote freischalten, damit ich per RD drauf komme.

2. Den Registry Eintrag habe ich remote erledigen können, jetzt komme ich aber immer noch nicht drauf da der Domänen Admin keine Rechte hat ?

 

@ithome

bitte erkläre für mich ganz genau wo das Problem ist und was zu tun ist.

 

Lieben Dank

[IThome 10]

Du erzeugst eine Richtlinie, in der Du das Benutzerrecht einstellst. Du fügst die Remotedesktopbenutzer und Administratoren zu (beides hinschreiben, nicht suchen und auswählen). Diese neue Richtlinie verknüpfst Du dort, wo sich die zu steuernden Computer befinden. In der Default Domain Policy, in der im Moment dieses Benutzerrecht eingestellt wird, setzt Du diese Einstellung auf "Nicht definiert". Wenn man es genau nimmt, würde es ausreichen die Richtlinie in der DDP einfach auf "Nicht definiert" zu setzen, da dann wieder die lokalen Richtlinien auf den Clients gelten (Remotedesktopbenutzer und Administratoren haben dieses Recht). Willst Du aber etwas Abweichendes konfigurieren, dann musst Du es entsprechend in einer neuen Domänenrichtlinie definieren.

[m2k2 10]

Wenn man es genau nimmt, würde es ausreichen die Richtlinie in der DDP einfach auf "Nicht definiert" zu setzen, da dann wieder die lokalen Richtlinien auf den Clients gelten (Remotedesktopbenutzer und Administratoren haben dieses Recht).

 

Das war mein Verständnisproblem, wenn ich also die jetztige DDP anpasse und den Administrator rausschmeisse greifen die lokalen policys ? Das wusste ich nicht !