Remoteanmeldungen zulassen

[praxmo 0]

Einen wunderschönen guten Morgen wünsche ich!

 

Aufgrund der Problematik, dass die Berechtigungen in unserem AD absoluten Unsinn ergeben, mache ich mich gerade an ein frisches Konzept ran:

 

Um für jede Serverart den Zugriff festzulegen (z.B. nur 2 der Admins sollen auf den DC dürfen) habe ich mir GPOs erstellt.

 

Auf den Terminalservern war bisher die Gruppe Domänen-Benutzer lokal zur Remoteanmeldung autorisiert. Über Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten\"Anmelden über RemoteDesktopDienste zulassen" habe ich eine Gruppe RDS-User (Mitglieder sind 4 OUs mit den Usern), VORDEFINIERT/Remotedesktopbenutzer, VORDEFINIERT/Administratoren.

 

Sollte mit der Richtlinie dann nicht eigentlich die Gruppe Domänen-Benutzer aus den zulässigen Remoteverbindern verschwinden und die aus der GPO eingetragen werden? Sobald ich diese händisch entferne, kommt keiner mehr drauf. Laut gpresult findet die Richtlinie auch Anwendung.

 

Vielen Dank!

 

 

[NorbertFe 2.061]

vor 24 Minuten schrieb praxmo:

Berechtigungen in unserem AD absoluten Unsinn

Das unten beschriebene hat aber nichts mit Berechtigungen in deinem AD zu tun. Sind schließlich Rechte die du auf Ressourcen vergibst.

Vielleicht hilft das hier weiter:

https://evilgpo.blogspot.com/2015/04/wer-bin-ich-und-was-darf-ich.html

[praxmo 0]

vor 2 Stunden schrieb NorbertFe:

Das unten beschriebene hat aber nichts mit Berechtigungen in deinem AD zu tun. Sind schließlich Rechte die du auf Ressourcen vergibst.

Vielleicht hilft das hier weiter:

https://evilgpo.blogspot.com/2015/04/wer-bin-ich-und-was-darf-ich.html

Hallo NorbertFe,

 

vielen Dank für deinen Beitrag. Ich habe den verlinkten Beitrag durchgelesen, jedoch bringt er mich an der Stelle nicht so genau weiter.

 

Ich habe in meinem Fall nach folgendem Artikel gearbeitet:

https://www.gruppenrichtlinien.de/artikel/remote-desktop-server-terminal-server/

 

Da die Gruppe RDS_User nicht Mitglied der Gruppe Remotedesktopbenutzer sind bei mir, muss ja laut Artikel Schritt 7 lokal der Zugriff auf das RDP-Protokoll erteilt werden. Trotzdessen komme ich nur per RDP auf den Server, wenn der anzumeldende Nutzer auch Mitglied der Remotedesktopbenutzergruppe ist.

 

Ist das so korrekt?

 

[NorbertFe 2.061]

Schachteln wäre aber besser. ;)

[praxmo 0]

vor 3 Minuten schrieb NorbertFe:

Schachteln wäre aber besser. ;)

Alles klar, müssen die Remotedesktopbenutzer auch Zugriff siehe Schritt 7 haben oder reicht es da die RDS_User einzutragen?

[Dukel 455]

Per Group Policy sind per Default die Gruppen RemoteDesktopBenutzer zugelassen, dass diese sich per Remote Desktop einloggen können.

Entweder man ändert diese Sicherheitseinstellung oder man fügt die eigene Gruppe den RemoteDesktopBenutzer hinzu.

[NorbertFe 2.061]

Genau. Beide Wege sind korrekt. Welcher der für einen praktischere ist, sollte man ausprobieren.

[daabm 1.366]

[OT] Bei den RDS-Usern hat das mit der lokalen Gruppe NICHT funktioniert, das muß tatsächlich die lokale RDS-Usergruppe sein. Warum auch immer, man kann keine zweite/andere computerlokale Gruppe für RDS berechtigen... Bei allen anderen Benutzerrechten funktioniert's.[/OT]