praxmo 0 Geschrieben 7. August 2020 Melden Geschrieben 7. August 2020 Einen wunderschönen guten Morgen wünsche ich! Aufgrund der Problematik, dass die Berechtigungen in unserem AD absoluten Unsinn ergeben, mache ich mich gerade an ein frisches Konzept ran: Um für jede Serverart den Zugriff festzulegen (z.B. nur 2 der Admins sollen auf den DC dürfen) habe ich mir GPOs erstellt. Auf den Terminalservern war bisher die Gruppe Domänen-Benutzer lokal zur Remoteanmeldung autorisiert. Über Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten\"Anmelden über RemoteDesktopDienste zulassen" habe ich eine Gruppe RDS-User (Mitglieder sind 4 OUs mit den Usern), VORDEFINIERT/Remotedesktopbenutzer, VORDEFINIERT/Administratoren. Sollte mit der Richtlinie dann nicht eigentlich die Gruppe Domänen-Benutzer aus den zulässigen Remoteverbindern verschwinden und die aus der GPO eingetragen werden? Sobald ich diese händisch entferne, kommt keiner mehr drauf. Laut gpresult findet die Richtlinie auch Anwendung. Vielen Dank! Zitieren
NorbertFe 2.155 Geschrieben 7. August 2020 Melden Geschrieben 7. August 2020 vor 24 Minuten schrieb praxmo: Berechtigungen in unserem AD absoluten Unsinn Das unten beschriebene hat aber nichts mit Berechtigungen in deinem AD zu tun. Sind schließlich Rechte die du auf Ressourcen vergibst. Vielleicht hilft das hier weiter: https://evilgpo.blogspot.com/2015/04/wer-bin-ich-und-was-darf-ich.html Zitieren
praxmo 0 Geschrieben 7. August 2020 Autor Melden Geschrieben 7. August 2020 vor 2 Stunden schrieb NorbertFe: Das unten beschriebene hat aber nichts mit Berechtigungen in deinem AD zu tun. Sind schließlich Rechte die du auf Ressourcen vergibst. Vielleicht hilft das hier weiter: https://evilgpo.blogspot.com/2015/04/wer-bin-ich-und-was-darf-ich.html Hallo NorbertFe, vielen Dank für deinen Beitrag. Ich habe den verlinkten Beitrag durchgelesen, jedoch bringt er mich an der Stelle nicht so genau weiter. Ich habe in meinem Fall nach folgendem Artikel gearbeitet: https://www.gruppenrichtlinien.de/artikel/remote-desktop-server-terminal-server/ Da die Gruppe RDS_User nicht Mitglied der Gruppe Remotedesktopbenutzer sind bei mir, muss ja laut Artikel Schritt 7 lokal der Zugriff auf das RDP-Protokoll erteilt werden. Trotzdessen komme ich nur per RDP auf den Server, wenn der anzumeldende Nutzer auch Mitglied der Remotedesktopbenutzergruppe ist. Ist das so korrekt? Zitieren
NorbertFe 2.155 Geschrieben 7. August 2020 Melden Geschrieben 7. August 2020 Schachteln wäre aber besser. ;) Zitieren
praxmo 0 Geschrieben 7. August 2020 Autor Melden Geschrieben 7. August 2020 vor 3 Minuten schrieb NorbertFe: Schachteln wäre aber besser. ;) Alles klar, müssen die Remotedesktopbenutzer auch Zugriff siehe Schritt 7 haben oder reicht es da die RDS_User einzutragen? Zitieren
Dukel 460 Geschrieben 7. August 2020 Melden Geschrieben 7. August 2020 Per Group Policy sind per Default die Gruppen RemoteDesktopBenutzer zugelassen, dass diese sich per Remote Desktop einloggen können. Entweder man ändert diese Sicherheitseinstellung oder man fügt die eigene Gruppe den RemoteDesktopBenutzer hinzu. Zitieren
NorbertFe 2.155 Geschrieben 7. August 2020 Melden Geschrieben 7. August 2020 Genau. Beide Wege sind korrekt. Welcher der für einen praktischere ist, sollte man ausprobieren. Zitieren
daabm 1.386 Geschrieben 9. August 2020 Melden Geschrieben 9. August 2020 [OT] Bei den RDS-Usern hat das mit der lokalen Gruppe NICHT funktioniert, das muß tatsächlich die lokale RDS-Usergruppe sein. Warum auch immer, man kann keine zweite/andere computerlokale Gruppe für RDS berechtigen... Bei allen anderen Benutzerrechten funktioniert's.[/OT] Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.