Terminalserver2008R2 Anmeldung nur als Admin

[goat82 2]

Hallo Zusammen,

ich habe das Problem dass sich nur Administratoren am Terminalserver anmelden können.

Der Workarround hier hat leider nicht geholfen. Hat jhemand noch eine Idee?

Wir haben folgende Umgebung:

2008R2 Domaincontroller, Terminalserver mit Xenapp 6.5.

User xy ist in Publicgruppe, welche am Terminalserver in der lokalen Admingruppe ist.

Es funktioniert nur, wenn der User in der lokalen Admingruppe des Terminalserveres ist.

Wie kann ich hier Hauptbenutzer oder Benutzer verwenden um den Zugriff einzuschränken?

Bei Anmelden über RDP zulassen habe ich den User xy hinzugefügt, leider ohne Erfolg.

Wenn der User in der Remotedesktopusergruppe ist, funktioniert es auch nicht, nur in der Administratorengruppe.

Und ja, gpupdate lief auch.

Wo kann ich noch etwas drehen?

 

 

bearbeitet 30. Mai 2018 von goat82

[NorbertFe 2.034]

Die Meldung kommt afaik über Citrix, da ist dann eine Anmeldung über RDP nicht erlaubt.

Dass TS und DC keine besonders sichere Konfiguration darstellt, weißt du hoffentlich selbst. :)

bearbeitet 30. Mai 2018 von NorbertFe

[testperson 1.677]

Hi,

 

im Citrix App Center in den Richtlinien gibt es eine User Policy "Desktop starten". Die musst du auf "Zugelassen" konfigurieren bei XenApp 6.5.

Zitat

Desktop starten

 

XenApp 6.0 oder höher (nur Terminalserver)
Lässt zu oder verhindert, dass Nicht-Administratoren eine Verbindung zu einer Desktopsitzung auf dem Server herstellen können.
Wenn zugelassen, können Nicht-Administratoren die Verbindung herstellen. Standardmäßig können Nicht-Administratoren sich nicht mit Desktopsitzungen verbinden.

 

Gruß

Jan

 

P.S.: XenApp 6.5 ist ab dem 30.06.2018 EOL und nur noch im Extended Support!

P.P.S.:

vor 28 Minuten schrieb NorbertFe:

Dass TS und DC keine besonders sichere Konfiguration darstellt, weißt du hoffentlich selbst. :)

Es sind min. 2 DCs und X Terminalserver. ;) Nicht immer vom Schlimmsten ausgehen. :)

 

bearbeitet 30. Mai 2018 von testperson

[NorbertFe 2.034]

vor 2 Minuten schrieb testperson:

P.S.: XenApp 6.5 ist ab dem 30.06.2018 EOL und nur noch im Extended Support!

Macht nix, Windows 2008R2 ist schon lange im Extended Support. ;)

vor 4 Minuten schrieb testperson:

Es sind min. 2 DCs und X Terminalserver. ;) Nicht immer vom Schlimmsten ausgehen. :)

Müßte ich das voraussetzen, oder steht das irgendwo? :p

[goat82 2]

vor 29 Minuten schrieb NorbertFe:

Die Meldung kommt afaik über Citrix, da ist dann eine Anmeldung über RDP nicht erlaubt.

Dass TS und DC keine besonders sichere Konfiguration darstellt, weißt du hoffentlich selbst. :)

Der Terminalserver ist natürlich seperat. Optimal ist es dennoch nicht.

Im Citrix XenappCenter lassen sich leider nur Administratoren hinzufügenb. Hast du eine Idee wo ich suchen muss?

 

[NorbertFe 2.034]

Gerade eben schrieb goat82:

Der Terminalserver ist natürlich seperat. Optimal ist es dennoch nicht.

Achso, wenns separat ist, hab ich nix gesagt. :) Was wäre denn optimal?

Jan hatte dir den Hinweis gegeben, schon getestet?

 

Bye

Norbert

[goat82 2]

vor 9 Minuten schrieb testperson:

Hi,

 

im Citrix App Center in den Richtlinien gibt es eine User Policy "Desktop starten". Die musst du auf "Zugelassen" konfigurieren bei XenApp 6.5.

 

Gruß

Jan

 

P.S.: XenApp 6.5 ist ab dem 30.06.2018 EOL und nur noch im Extended Support!

P.P.S.:

Es sind min. 2 DCs und X Terminalserver. ;) Nicht immer vom Schlimmsten ausgehen. :)

 

Hi Jan, wo kann ich diese Einstellung aktivieren? Hört sich plausiebel an.

Wir haben 2 DCs und einen Terminalserver mit Xenapp 6.5.

[NorbertFe 2.034]

vor 2 Minuten schrieb goat82:

Hi Jan, wo kann ich diese Einstellung aktivieren? Hört sich plausiebel an.

https://docs.citrix.com/de-de/xenapp-and-xendesktop/xenapp-6-5/xenapp65-w2k8-wrapper/xenapp65-admin-wrapper/ps-maintain-wrapper-v3-tsk.html

 

hört sich für mich plausibel an.

[testperson 1.677]

vor 3 Minuten schrieb goat82:

Hi Jan, wo kann ich diese Einstellung aktivieren? Hört sich plausiebel an.

Wir haben 2 DCs und einen Terminalserver mit Xenapp 6.5.

Auf dem Terminalserver wird es das Citrix AppCenter geben -> XenApp -> <Farm Name> -> Richtlinien -> Benutzer.

Evtl. findet sich da schon eine passende Richtlinie. Ansonsten erstellst du eine neue und nimmst nicht die "Unfiltered". ;)

 

Ggfs. startest du am Terminalserver auch mal die gpmc.msc und guckst, ob es da entsprechende Citrix Richtlinen gibt.

[goat82 2]

Heilige Schei.... es funktioniert!

Vielen Dank an Alle!

Der Testuser xy ist jedoch lokal weder in der Admingruppe, noch im AD einer Admingruppe zugeordnet, nur Benutzer. Er kann trotzdem alle Administratorenaufgaben am Terminalserver ausführen.

Was kann hier noch falsch sein.

 

 

[NorbertFe 2.034]

In welchen Gruppen (AD und lokal am TS) steckt er denn?

[goat82 2]

Auf Terminalserver in der Gruppe: Domaine\Benutzer

Auf dem DC in der Gruppe Terminalservertest

 

[NorbertFe 2.034]

Ein whoami /groups war dir jetzt zu umständlich zu lesen? ;)

wenn der User wirklich Adminrechte hat, dann ist da irgendwo eine geschachtelte Gruppenmitgliedschaft schuld.

[testperson 1.677]

Wäre der User lokaler Administrator, dann hättest du die o.g. Richtlinie nicht benötigt.

Geht evtl. nur der Servermanager o.ä. auf oder kann der User tatsächlich Einstellungen ändern für die es administrative Rechte braucht?

[Sunny61 806]

Und nachdem Einstellungen getätigt worde sind, auch unbedingt auf Speichern klicken. Funktioniert das Speichern auch?