Terminal Server Problem

[b00h00 10]

Hallo

 

Zuerst muß ich bemerken das ich mich nicht sehr gut in dieser Materie auskennen. Wir betreiben einen windows 2003 server und wollen den als terminal server benutzen.

 

Den Terminal und Lizensierungsserver habe ich schon aufgesaetzt. Der Lizensierungsserver ist aktiviert aber es wurden noch keine Lincensen hinzugefuegt. Die Administratorgruppe kann auch problemlos auf den Server zugreifen. Ich bin als Admin eingelogt. Der Computer funktioniert gleichzeitig auch als Domaincontroller.

 

Zum Problem: Ich will jetzt weiter benutzer hinzufuegen. Weil ich mich nicht auskenne bin ich anhand der onlinehilfe vorgegangen:

Computerverwaltung(local)

System

 

In System sollte jetzt das Tool lokale Benutzer und Gruppen zur verfuegung stehen. Es ist da aber einfach nicht drin.

 

Was mache ich falsch? Ich bin bei der ganzen Sache ziemlich hilflos. Ich hoffe das mir hier einer helfen kann.

 

Danke

Jakob

[Operator 10]

Hi,

 

an einem DomainController gibt es keine lokalen Benutzer mehr.

Benutze hierzu das Domain-Verwaltungs-Tool "Active Directory Benutzer und Computer" unter Start / Programme / Verwaltung.

 

Dort kannst Du dann Benutzerkonten anlegen.

 

Wieviele Leute sollen denn an dem Terminal Server arbeiten?

Im allgemeinen ist es nicht sinnvoll einen Domain-Controller als Terminal-Server zu nutzen.

Ein paar Admins ok.. aber keine Benutzer.

 

Gruß

Andre

[b00h00 10]

Erstmal vielen Danke fuer die Antwort.

 

An dem Terminalserver werden voraussichtlich schon einige Leute arbeiten. Die Domain wird aber auser fuer den Terminalserver nicht viel genutzt werden. Das Netzwerk laeuft hier auf linuxbasis und der Terminalserver soll den Linuxnutzern Windows-Programme zur verfuegen stellen (powerpoint etc.).

 

Das Projekt ist noch in einer sehr fruehen Phase (wie man an meinen Problemen auch sieht) und es kann gut sein das wir das ganze Ding dann nochmal neu aufziehen und auf mehrere Rechner verteilen. Der Lizensierungsserver ist z.B. auch auf dem gleichen Computer, was ja auch nicht sehr sinnvoll sein soll.

 

Zu dem Problem und deiner Antwort: Die User sind im Active Dirercotry schon vorhanden. Es muessen ihnen also nur die passenden Rechte gegeben werden. Ich habe leider keine dementsprechende group policy gefunden. Im builtin gibt es eine Remotedesktop Benutzergruppe aber irgendwie scheint damit auch nicht zu gehen.

 

Waere super wenn mir da einer weiterhelfen koennte.

 

Jakob

[Operator 10]

Unter den Computereinstellungen / Windows-Einstellungen / Lokale Richtlinien / Lokale Sicherheit (so ungefähr... der Pfad kommt jetzt ausm Hirn ohne auf Richtigkeit überprüft worden zu sein) gibts einen Punkt "Anmeldung via Terminal-Dienste erlauben". Dort könntest Du z.B. die Domänen-Benutzer eintragen (also die Gruppe).

 

Meinst Du sowas?

 

 

Andre

[wirtnix 10]

es ist WIRKLICH nicht ratsam, auf dem Active-Directory-"PDC" einen terminalserver laufen zu lassen.

 

Sollte eine Anwendung den Server zum Abschmieren bringen (Office...) hat das auswirkungen auf alle angemeldeten user, die evtl. bis nach dem reboot nicht mehr auf dateien, mails, usw zugreifen können.

[Operator 10]

@wirtnix

 

1. Es gibt keinen Active Directory PDC mehr. Alle DC's sind gleichgestellt und können ins AD schreiben.

 

2. Ein abgeschmierter Terminal-Server hat immer Auswirkungen auf alle angemeldetenen Benutzer.

Andere PC's sind davon aber nicht betroffen und können die 5 Minuten, die der Neustart dauert normal weiterarbeiten...

 

**** ist nur, wenn der Server eine Eier-legend-Woll-Milch-Sau ist und auch noch File/Print-Server, Router und Datenbank-Server ist ;-)

 

Also der Aussage, daß es nicht gut ist stimme ich zu, aber die Gründe sind nicht richtig.

 

Andre

[wirtnix 10]

ich ging davon aus, dass es sich bei der vorliegenden konfig. um eine "eierlegende wollmilchsau" handelt.

[b00h00 10]

Also erstmal danke an euch fuer die konstruktiven posts.

 

@operator:

 

Dein Post hat mir auf die Spruenge geholfen. Vielen dank. Ich wwere da sonstr nie allein drauf gekoimmen. Bei den Standard- Domaenencontroller-Sicherheitsenstellung gibt es den entsprechenden Punkt "Anemldung an Terminaldienste zulassen".

 

Da habe ich dann die Remotedesktopbenutzer aus dem builtin hinzugefuegt. Ist das ratsam oder sollte ich dafuer eine extra Gruppe aufmachen?

 

Was dann ganz lustig war: Ich konnte mich nicht mehr als Admin ins Terminal einloggen nur noch als Benutzer. Mußte dann zum Server latschen und die Admingruppe auch noch explizit adden, was natuerlich ein Sicherheitsrisiko ist. Die Gruppe wird dann wahrscheinlich wenn alles fertig ist wieder entfernt.

 

Bei dem DC handelt es sich tatsaechlich nicht um eine eierlegende wollmilchsau. Die ganze Domain ist eigentlich nur dafuer da den Linuxnutzern Windowsprogramme zur verfuegung zu stellen.

 

Also danke nochmal

Jakob

[Operator 10]

Hi,

 

also normalerweise ändert man die vordefinierten Richtlinien nicht.

Würde stattdessen einfach eine weitere Richtlinie in der OU erstellen und dort die Einstellung vornehmen.

Gegen die Gruppe Remotedesktopbenutzer spricht nichts... vor allem, da das ganze ja eh nicht so groß werden soll.

 

Und was für Dich bei entsprechender Größe interessant sein könnte sind die Microsoft Services for Unix.

Damit kannst Du u.A. Account-Daten synchronisieren etc.

http://www.microsoft.com/windows/sfu/

 

Also bei Fragen einfach posten :-)

 

Andre