BlackCodeDe 0 Geschrieben 18. April 2017 Melden Teilen Geschrieben 18. April 2017 Hallo Zusammen, ich bin gerade dabei eine bestehende Berechtigungsstruktur umzubauen. Und komme an einen Punkt nicht weiter, nämlich das die Admin Konten der IT Admins auf den Domain Controllern per RDP anmelden können. Damit die Änderung an den GPO durchgeführt werden können usw. Aktueller Stand: AD Controller von 2008 - 2016 Jeder der Admins benutzt das Domän Administrator Konto um Änderungen an der AD durchzuführen. Wenn es mal zu einen Audit kommen sollte, ist es bestimmt das erste was wir auf den Füßen fallen wird. Zukünftiger Stand: Jeder IT Admin erhält bzw hat schon einen personlisierten Admin Konto ohne direkt Domain Admin zusein. Mit Konto sollen dann alle änderungen durchgeführt werden, die nicht unbedingt Domnen Admin Rechte benötigen. Ich habe schon folgendes Versucht: Ich habe einen Domänen Lokale Remote Gruppe erstellt für die DC´s z.B.: SS-L-Remote-ADC. Diese Gruppe habe ich in der Default Domain Controller Policy unter "Computer/Richtlinien/Windows-Einstellungen/Sicherheitseinstellungen/Lokale Richtlinien/Zuweisen von Benutzerrechten/Anmelden über Remotedesktopdienste zulassen" hinzugefügt. Und natürlich den Benutzern diese Gruppenmitgliedschaft hinzugefügt. Aber leider erhalte ich die Meldung "Die Verbindung wurde abgelehnt, da das Benutzerkonto nicht zur Remoteanmeldung autorisiert ist" Da auf einen DC keine Lokalen Benutzergruppen exisitieren, kann ich dort auch keine Gruppen zu den "Remotedesktop Benutzern" hinzufügen. Habe ich eine Richtlinie übersehen, die noch gesetzt werden muss? Gruß BlackCodeDe Zitieren Link zu diesem Kommentar
testperson 1.676 Geschrieben 18. April 2017 Melden Teilen Geschrieben 18. April 2017 Hi, in der Regel muss sich niemand am DC anmelden. Nutze auf den Clients der Admins einfach die RSAT Tools zur Administration. Gruß Jan Zitieren Link zu diesem Kommentar
BlackCodeDe 0 Geschrieben 18. April 2017 Autor Melden Teilen Geschrieben 18. April 2017 Hi Board Veteran, ja, das ist eine Möglichkeit die von mir intensiv genutzt wird, aber bei den anderen Admins auf Ablehnung stößt. Es gibt dennoch Fälle, das man sich per RDP auf dem DC anmelden muss, aber auch da soll der Domänen Administrator nicht genutzt werden sollen, nur ihre Personalisierten Konten. Kannst du mir sonst bei den oben genannten Szenario irgendwie behilflich sein? Gruß BlackCodeDe Zitieren Link zu diesem Kommentar
Beste Lösung zahni 554 Geschrieben 18. April 2017 Beste Lösung Melden Teilen Geschrieben 18. April 2017 (bearbeitet) Die "Lokalen Gruppen" der DCs findest du im AD unter "Builtin". Ansonsten noch das Benutzerrecht "SeRemoteInteractiveLogonRight" auf den DCs beachten. Dort steht per Default nur die Gruppe "Administratoren" aus "Builtin" drin. bearbeitet 18. April 2017 von zahni Zitieren Link zu diesem Kommentar
BlackCodeDe 0 Geschrieben 18. April 2017 Autor Melden Teilen Geschrieben 18. April 2017 Hi Zahni, das war der entscheidene Tipp. Die Builtin Gruppen habe ich komplett aus dem Fokus verloren. Nachdem ich die Benutzer in die Remote Desktop Benutzer hinzugefügt habe, war das Anmelden kein Problem mehr. Vielen Dank Gruß BlackCodeDe Zitieren Link zu diesem Kommentar
NilsK 2.934 Geschrieben 18. April 2017 Melden Teilen Geschrieben 18. April 2017 Moin, Von wem erwartest du denn ein Audit? Unterliegt das Unternehmen einer Regulierung? Dann gibt es doch sicher auch Richtlinien. Gruß, Nils Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.