Anmeldung an Terminalserver zulassen - GPO

[Dutch_OnE 39]

Guten Morgen,

 

ich habe 2 DCs, wovon einer ein RODC ist. In der Default Policy steht, dass der Administrator überall das Recht "Anmeldung über Terminaldienste zulassen" hat. 

 

Nun ist der RODC in einer eigenen OU. Dort hat jemand einen zweiten Admin über GPO ebenfalls das Recht "Anmeldung über Terminaldienste zulassen" gegeben. Dieser Admin soll ich wohl nur an diesem Server anmelden dürfen und nicht in der kompletten Domain.

 

Problem ist, dass der zweite Admin sich an diesem Server anmelden kann, dafür aber der Dom-Admin nicht mehr.

Gut, dachte ich mir, dass ich den Dom-Admin in das Objekt auch hinzufüge, aber es geht trotzdem nicht. Die GPO ist synchron und der RODC zeigt auch die Verarbeitung an.

 

In der lokalen Sicherheitslinie steht nur der zweite Admin, sollte aber doch egal sein, da Domänenumgebung.

 

Unter System - Remoteeinstellungen - Benutzer Auswählen stehen auch beide Admins.

 

Trotzdem geht der Dom-Admin nicht.

 

Jemand eine Idee?

 

Gruß DO

bearbeitet 10. August 2017 von Dutch_OnE

[NilsK 2.968]

Moin,

 

bevor wir ans Detail gehen: Warum ein RODC?

 

Gruß, Nils

[Dutch_OnE 39]

Der Server ist an einem anderen Standort und dort sollte wohl keine "fummeln" dürfen.

[NilsK 2.968]

Moin,

 

m-hm. Lassen wir das einstweilen dahingestellt. Ich bin kein Freund von RODCs, und meist werden sie auch falsch implementiert. Heißt "ich habe 2 DCs", dass es nur einen schreibbaren DC gibt? Das wäre dann dringend zu ändern.

 

DCs sollte niemals in andere OUs verschoben werden, das gilt auch für RODCs. Das wird mit deinem Problem nicht direkt zu tun haben, ich würde es aber trotzdem ändern, weil es künftiges Troubleshooting erschweren und auch für seltsame Probleme sorgen kann.

 

Ich habe jetzt noch nicht ganz verstanden, was wo eingetragen wurde. Kannst du das bitte noch mal genau beschreiben? Relevant wäre dabei auch, von welchen Konten die Rede ist - wer ist "der Dom-Admin"?

 

Gruß, Nils

[Dutch_OnE 39]

Hallo Nils,

der DC ist in der OU Domain Controllers, der RODC in der OU RODC Server, die wiederum in Domain Controller liegt.

Er liegt sozusagen eine Ebene unter dem DC.

In der Default Policy + Default DC Policy sind Remotedesktopuser und Administratoren mit dem Recht "Anmeldung an Terminalserver zulassen" ausgestattet.

 

In der OU, wo der RODC liegt ist eine weitere GPO, in der Remotedesktopuser, Administratoren und der User Hilfsadmin mit dem Recht ausgestattet.

Der Hilfsadmin kann sich an dem RODC über RDP anmelden, der Dom-Admin nicht mehr.

 

Ich füge praktisch nur einen weitern User hinzu und dadurch kann sich kein anderer mehr anmelden. Der Grund ist, dass Hilfsadmin sich nur auf diesem Server über RDP anmelden darf. Ansonsten hätte ich ihn ja auch in die DDP oder DDCP legen können.

UPDATE !!!

Ich habe nun das GPO Objekt entfernt, kann mich aber trotzdem nur als Hilfsadmin einloggen

[NilsK 2.968]

Moin,

 

wenn ich nicht ganz falsch liege, musst du das auf einem RODC über die Local Security Policy einstellen.

 

Empfehlung: Prüfen, ob das mit dem RODC wirklich sinnvoll ist. Ich habe seit zehn Jahren noch keinen Kunden getroffen, bei dem das wirklich passte.

 

Gruß, Nils

[Dutch_OnE 39]

Hallo Nils,

jetzt kommen wir der Sache näher. In der Lokalen Sicherheitsrichtminie steht auch nur der Hilfsadmin, ich kann aber den weder entfernen, noch einen anderen hinzufügen. Noch eine Idee?

UPDATE !!!

 

Jetzt hat es sich von alleine in der lokalen Sicherheitsrichtlinie umgestellt. Remotedesktopuser und Administratoren stehen da jetzt. Vorher Hilfsadmin