Sicherheitsrichtlinie und Terminal Server

[bfw 10]

Hallo zusammen ich habe mal wieder ein kleines Problem,

 

ich habe mir hier zum testen einen Terminal Server auf einem W2KS aufgebaut. Der Zugriff auf diesen funktioniert vom Client und Lokal allerdings nicht so wie es sein sollte.

 

Ich habe im AD den 2 Usern die ich für TS Sessions freigeben wollte den entsprechenden Eintrag gesetzt.

 

Nun habe ich den Fehler das die Lokale Anmeldung verweigert wurde

 

Ich habe dann die entsprechenden User in den Sicherheitsrichtlinien für DC und in den Lokalen Sicherheitsrichtlinen bei "Lokal anmelden" hinzugefügt

 

Nach diesen Einträgen funktioniert es dann auch. Nach einer halben Stunde allerdings sind die Einträge in den Lokalen Sicherheitsrichtlinien komplett andere als ich sie vorgenommen habe und er wirft mir die "effektiven Rechte" einfach wieder raus.

 

Woher könnte er sich diese Einträge holen? Dachte er übernimmt sie immer aus den Sicherheitsrichtlinien für DC? Sicherheitsrichtlinien für Domänen sind übrigens keine vergeben.

[Hirgelzwift 10]

in welcher OU bzw. in welchem container im AD stehen denn die TS? ist der TS ein DC?

[bfw 10]

Also der TS ist ebenfalls ein DC ja

[Hirgelzwift 10]

und du hast das recht in der default domain controller policy definiert?

[bfw 10]

Richtig, ist das falsch? Dachte das mal irgendwo gelesen zu haben

[Hirgelzwift 10]

nein, das ist richtig es dort zu machen.

 

warum es wieder "rausfliegt" kann ich dir auch nicht sagen, klingt komisch :suspect:

[Schluml 10]

ich würde an den default policies nichts ändern, erstell lieber eine neue zusätzliche Policy.

 

ist der DC wo der TS drauf läuft der einzigste DC im Netz? Gibt es noch einen Zweiten von dem vielleicht die default domain controller policy auf den DC mit dem TS repliziert und somit immerwieder überschrieben wird?

[bfw 10]

Also er ist nicht der einzige, es steht noch ein DC im Netz allerdings habe ich das gerade mal geprüft und er hat die selben Einstellungen! Soll heissen er holt sich das ganze auch wo anderst her. Bin komplett überfragt? Wo kann ich sehen von welchem übergeordneten Server der TS jetzt diese Einstellungen herbekommt?

[Hirgelzwift 10]

es gibt bei DC's im grunde keine hirachie. normalerweise zieht die defaultdomaincontrollerpolicy (DDCP) und die defaultdomainpolicy, du solltest aber prüfen ob du auf der OU der DC's noch weitere GPO's anwendest die deine einstellung expliziet negiergen, weil nur dann kann ich mir das verhalten erklären.

 

evtl. definierst du besser eine eigene GPO, erwähnte schluml schon, die in der Hirachie über der DDCP steht also die neue GPO an 1 die DDCP an 2 und setzte auf der neuen GPO erzwingen.

[bfw 10]

Ok, danke werde mir das mal genau anschauen.

 

Was mir aber gerade noch aufgefallen ist das in den momentanen Richtlinien, User bzw. Gruppen vorhanden sind die schon eine Ewigkeit nicht mehr existent sind. Wie kann sowas sein?

[Userle 145]

IMHO sagt die lokale Richtlinie per default, dass Anmeldung über Terminaldienste verweigert werden bzw. nur dem Admin gestattet werden. Diese Richtlinie solltest Du deaktivieren oder aber Deine 2 User als berechtigt hinzufügen.

 

Greetings Ralf