Christoph_A4 10 Geschrieben 9. Mai 2011 Melden Teilen Geschrieben 9. Mai 2011 Hallo, ganz kurz die Anforderung der Terminalserver-User: Diese sollen sich über den Terminal Services Manager auf die Sessions anderer Terminalserver-User schalten können. Der Zugriff auf alle anderen Snap-ins soll verhindert werden. über die Gruppenrichtlinien gibt es die Möglichkeit den Zugriff auf MMC-Snap-ins zu verweigern. (Benutzerkonfiguration -> Richtlinien -> ADM -> Windows Komponenten -> Microsoft Management Console) Dort findet man alle möglichen Snap-ins, die man jeweils explizit als nicht ausführbar konfigurieren kann. EINZIG das Snap-in "Terminal Services Manager" fehlt. Steckt eine Logik dahinter? Zitieren Link zu diesem Kommentar
WSUSPraxis 48 Geschrieben 9. Mai 2011 Melden Teilen Geschrieben 9. Mai 2011 Hallo Christoph, ich erlaube mir die Frage für was das genau gut sein soll ? Viele Grüße Arnd Zitieren Link zu diesem Kommentar
Christoph_A4 10 Geschrieben 10. Mai 2011 Autor Melden Teilen Geschrieben 10. Mai 2011 Guten Morgen, inwiefern meinst du "gut"? Es soll unterbunden werden, dass von den Mitarbeitern auch nur eine MMC geöffnet werden kann, außer die Terminal Services Manager.msc Zitieren Link zu diesem Kommentar
NorbertFe 2.105 Geschrieben 10. Mai 2011 Melden Teilen Geschrieben 10. Mai 2011 Das Aufschalten auf andere Sitzungen geht afair sowieso nur als Administrator. Und wenn das die Bedingung wäre, wäre das Einschränken der MMC nur Makulatur. ;) Bye Norbert Zitieren Link zu diesem Kommentar
Christoph_A4 10 Geschrieben 10. Mai 2011 Autor Melden Teilen Geschrieben 10. Mai 2011 Nein, das Aufschalten auf andere Sitzungen ist auch ohne Adminrechte möglich. Die Berechtigungen dafür erhält der User/die Gruppe explizit über die RDP-Berechtigungen. Zitieren Link zu diesem Kommentar
Kraftzwerg 10 Geschrieben 16. Mai 2011 Melden Teilen Geschrieben 16. Mai 2011 Hallo zusammen, würde auch gerne einigen Usern unserer Terminalserver das Ausführen der Tsadmin.msc erlauben und stehe vor dem gleichen Problem wir Christoph. Habe mir das GPO-Template mit den "freischaltbaren" Snap-ins mal mit dem ADMX-Editor angesehen. Dort wird bei Freischaltung im Reg-Key: Software\Policies\Microsoft\MMC\XXX der Wert "Restrict_Run" auf 0 gesetzt. XXX steht dabei für das jeweilige Snap-in. Hab diesen Schlüssel für TSAdmin.msc einmal per GPO erzeugt. (User-Config\Einstellungen\Windows-Einstellungen\Registrierung). Nun kommt zunächst die Meldung "The snap-in below, referenced in this document, has been restricted by policy..." Bestätigt man diese mit ok, dann lässt sich die TSAdmin.msc normal starten und nutzen. Die Meldung kommt nicht, wenn man eine der voreingestellten .msc in den GPO "freischaltet". Kennt das jemand und hat nen Lösungsansatz? Zitieren Link zu diesem Kommentar
Kraftzwerg 10 Geschrieben 16. Mai 2011 Melden Teilen Geschrieben 16. Mai 2011 So, habe die Fehlermeldung nun wegbekommen. Bislang läuft es nur per Registry-Key, der via GPO an die User verteilt wird. Werde jetzt versuchen das noch in eine admx Datei einzubauen. Um die TSAdmin.msc zu den Ausnahmen der .msc hinzufügen zu können, müssen folgende Keys zu HKCU hinzugefügt werden: -Für das Snap-in "Terminalservermanager": Software\Policies\Microsoft\MMC\FX:{3FCE72B6-A31B-43ac-ADDA-120E1E56EB0F} -Für das Snap-in "Folders": Software\Policies\Microsoft\MMC\{C96401CC-0E17-11D3-885B-00C04F72C717} In beiden Keys ein Dword mit dem Namen "Restrict_Run" erstellen und den Wert "0" für zulassen bzw. "1" für nicht zulassen eintragen. Danach lässt sich tsadmin.msc als Benutzer starten. Welche Benutzer das dürfen kann man dann ja über Berechtigung steuern. Zitieren Link zu diesem Kommentar
matrix1999 10 Geschrieben 20. Juli 2011 Melden Teilen Geschrieben 20. Juli 2011 Hallo zusammen! Wie kann ich Rechte auf den "Terminaldienstelizenzierungsmanager" auf ähnliche Weise vergeben ohne lokale Adminrechte zu verteilen? Da der Manager auf einem DC installiert ist, hätte man sonst zu viele Rechte lokal bzw. im AD und die haben wir gerade mit viel Mühe eingegrenzt. Danke im Voraus! Gruß Matrix1999 Zitieren Link zu diesem Kommentar
Kraftzwerg 10 Geschrieben 21. Juli 2011 Melden Teilen Geschrieben 21. Juli 2011 Morgen, ich denke das Öffnen der Konsole wird am Terminalserver auf ähnliche Weise eingeschränkt. Dazu musst du halt den Schlüssel rausfinden, der für die Lizensierung zuständig ist. Denke aber in diesem Fall ist das nur die halbe Miete. In meinem Fall war es so, dass die MSC am Ende ja auf eine Anwendung am Terminalserver selbst zugreift. Dort hat der Benutzer die nötigen Rechte. In deinem Fall ist es aber so, dass der User nicht nur die MSC starten, sondern über sie auch auf einen anderen Server zugreifen können muss. Da musst du also am DC Rechte drehen, wenn es möglich ist. Genauso ist es im Prinzip, wenn man im TSadmin die Liste der Server vom Sessionbroker importieren will. Braucht man auch Adminrechte am SB und die Möglichkeit tsadmin am Terminalserver auszuführen. GL Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.