2K3 - Keine RDP-Verbindung ohne Admin-Rechte möglich

[Ukyo184 10]

Hallo,

 

ich habe bei einem Windows 2003 SMB Server folgendes Problem. Es ist keine Verbindung auf den Server per RDP möglich, wenn der Benutzername keine Admin-Rechte hat. Beim Versuch sich per RDP anzumelden kommt folgende Fehlermeldung:

 

"Sie müssen über die Berechtigung "Anmeldung über Terminaldienste zulassen" verfügen, um sich remote an dem Computer anmelden zu können. Standardmäßig verfügen Mitglieder der Gruppe "Remotedesktopbenutzer" über diese Berechtigung. Wenn Sie kein Mitglied der Gruppe "Remotedesktopbenutzer" oder einer anderen Gruppe, die über diese Berechtigung verfügt, sind bzw. wenn die Gruppe Remotedesktopbenutzer nicht über diese Berechtigung verfügt, muss Ihnen die entsprechende Berechtigung manuell zugewiesen werden."

 

Der entsprechende Benutzer ist Mitglied der Gruppe Remotedesktopbenutzer und ich habe an den Einstellungen für diese Gruppe keine Veränderungen vorgenommen. Wenn ich dem Benutzer Adminrechte gebe und die Anmeldung erneut probiere, funktioniert es.

 

Wie und wo kann ich dem User denn manuell die Berechtigung geben sich remote anzumelden bzw. wo sehe ich ob die Gruppe Remotedesktopbenutzer noch über diese Rechte verfügt? Hat jemand noch eine andere Idee, woran es liegen könnte?

 

Danke im voraus für eure Hilfe.

 

Gruß Ukyo

[Operator 10]

Hi Ukyo184,

 

führe auf dem Server mal tscc.msc aus und konfiguriere das RDP Protokoll. Unterhalb von Berechtigungen kannst Du sehen, wer via RDP Zugriff hat. Evtl. fehlt hier die Remotedesktop-Benutzer Gruppe mit der Berechtigung "Benutzerzugriff".

 

Es kann aber sein, daß solche Einstellungen auch via Richtlinie konfiguriert worden sind, dann hilft Dir eine lokale Änderung der Einstellungen wenig. Sowas muss dann in der Richtlinie geändert werden.

 

Gruß

Andre

[grizzly999 11]

Das es ein DC ist, reicht die Mitgliedschaft in der Remotedesktopbenutzer-Gruppe nicht aus. Es muss den Nicht-Admins zusätzlich das Benutzerrecht "Anmeldung: Anmeldung über Terminaldienste zulassen" gegeben sein. Zu finden, natürlich in den Benutzerrechten der entsprechenden Gruppenrichtlinie, hier also auf der OU Domain Controllers

 

 

grizzly999

[Ukyo184 10]

Zu finden, natürlich in den Benutzerrechten der entsprechenden Gruppenrichtlinie, hier also auf der OU Domain Controllers

 

Hi,

 

danke für den Tipp.

 

Ich hab das jetzt hinbekommen. Und zwar habe ich bei den Standard-Domänencontroller-Sicherheitseinstellungen unter Windows Einstellungen - Sicherheitseinstellungen - lokale Richtlinien - zuweisen von Benutzerrichtlinien den Punkt "Anmelden über Terminaldienste zulassen" aktiviert und habe dort die Gruppe Remotedesktopbenutzer hinzugefügt.

 

Hast du das gemeint oder gibt es noch einen anderen Weg?

 

Könntest du mir bitte noch verraten, was OU bedeutet?

 

Danke und Gruß

 

Ukyo

[grizzly999 11]

Ja, das war exakt das, was ich meinte ;)

 

OU = Organisational Unit = Organisationseinheit

 

 

grizzly999

[IThome 10]

Kann der SBS mittlerweile als Terminalserver eingesetzt werden oder warum sollen Nicht-Admins per RDP zugreifen (z.B. Server-Operatoren sollen auch Remote verwalten?) ?

[grizzly999 11]

Der SBS hat keine Terminaldienste im Sinne eines Terminalserver, auf dem Benutzer arbeiten können.

Er hat nur den Remotedesktop mit seiner Beschränkung auf 2 Sessions plus Konsolensession.

 

grizzly999

[IThome 10]

Das meinte ich, hat sich also nichts verändert :)

[Ukyo184 10]

Kann der SBS mittlerweile als Terminalserver eingesetzt werden oder warum sollen Nicht-Admins per RDP zugreifen (z.B. Server-Operatoren sollen auch Remote verwalten?) ?

 

Hi,

 

es ist so, dass in dem Netzwerk in dem der Server steht (und ansonsten übrigens nur noch 2 Clients) eine Datenbankanwendung läuft, auf die 1-2 User sporadisch aus der Ferne zugreifen müssen. Da diese User aber keine Admin-Rechte besitzen sollten, sollen in diesem Fall Nicht-Admins per RDP auf den Server zugreifen können.

 

Gruß Ukyo

[IThome 10]

Also eine Supersparlösung ;) Kenne ich ...und täglich grüßt das Murmeltier ... :D