Zum Inhalt wechseln


Foto

RDP auf DC für Admin Konten

Windows Server 2012 R2 GPO Active Directory

  • Bitte melde dich an um zu Antworten
5 Antworten in diesem Thema

#1 BlackCodeDe

BlackCodeDe

    Newbie

  • 3 Beiträge

 

Geschrieben 18. April 2017 - 09:01

Hallo Zusammen,
 
ich bin gerade dabei eine bestehende Berechtigungsstruktur umzubauen. Und komme an einen Punkt nicht weiter, nämlich das die Admin Konten der IT Admins auf den Domain Controllern per RDP anmelden können. Damit die Änderung an den GPO durchgeführt werden können usw.
 
Aktueller Stand:
 
AD Controller von 2008 - 2016
 
Jeder der Admins benutzt das Domän Administrator Konto um Änderungen an der AD durchzuführen. Wenn es mal zu einen Audit kommen sollte, ist es bestimmt das erste was wir auf den Füßen fallen wird.
 
 
Zukünftiger Stand:
 
Jeder IT Admin erhält bzw hat schon einen personlisierten Admin Konto ohne direkt Domain Admin zusein. Mit Konto sollen dann alle änderungen durchgeführt werden, die nicht unbedingt Domnen Admin Rechte benötigen.
 
Ich habe schon folgendes Versucht:
 
Ich habe einen Domänen Lokale Remote Gruppe erstellt für die DC´s z.B.: SS-L-Remote-ADC. Diese Gruppe habe ich in der Default Domain Controller Policy unter
 
"Computer/Richtlinien/Windows-Einstellungen/Sicherheitseinstellungen/Lokale Richtlinien/Zuweisen von Benutzerrechten/Anmelden über Remotedesktopdienste zulassen"
 
hinzugefügt. Und natürlich den Benutzern diese Gruppenmitgliedschaft hinzugefügt.
 
Aber leider erhalte ich die Meldung "Die Verbindung wurde abgelehnt, da das Benutzerkonto nicht zur Remoteanmeldung autorisiert ist"
 
Da auf einen DC keine Lokalen Benutzergruppen exisitieren, kann ich dort auch keine Gruppen zu den "Remotedesktop Benutzern" hinzufügen.
 
Habe ich eine Richtlinie übersehen, die noch gesetzt werden muss? 
 
Gruß
 
BlackCodeDe


#2 testperson

testperson

    Board Veteran

  • 4.659 Beiträge

 

Geschrieben 18. April 2017 - 09:42

Hi,

 

in der Regel muss sich niemand am DC anmelden. Nutze auf den Clients der Admins einfach die RSAT Tools zur Administration.

 

Gruß

Jan


Good morning, that's a nice TNETENNBA!

#3 BlackCodeDe

BlackCodeDe

    Newbie

  • 3 Beiträge

 

Geschrieben 18. April 2017 - 09:55

Hi Board Veteran,

 

ja, das ist eine Möglichkeit die von mir intensiv genutzt wird, aber bei den anderen Admins auf Ablehnung stößt. Es gibt dennoch Fälle, das man sich per RDP auf dem DC anmelden muss, aber auch da soll der Domänen Administrator nicht genutzt werden sollen, nur ihre Personalisierten Konten.

 

Kannst du mir sonst bei den oben genannten Szenario irgendwie behilflich sein?

 

Gruß

 

BlackCodeDe



#4 zahni

zahni

    Expert Member

  • 16.520 Beiträge

 

Geschrieben 18. April 2017 - 10:31   Lösung

Die  "Lokalen Gruppen" der  DCs findest du im AD unter "Builtin".

Ansonsten noch das Benutzerrecht "SeRemoteInteractiveLogonRight" auf den DCs beachten. Dort  steht per Default nur die Gruppe  "Administratoren" aus "Builtin" drin.


Bearbeitet von zahni, 18. April 2017 - 10:31.

Wen du nicht mit Können beeindrucken kannst, den verwirre mit Schwachsinn!


#5 BlackCodeDe

BlackCodeDe

    Newbie

  • 3 Beiträge

 

Geschrieben 18. April 2017 - 12:50

Hi Zahni,

 

das war der entscheidene Tipp. Die Builtin Gruppen habe ich komplett aus dem Fokus verloren. Nachdem ich die Benutzer in die Remote Desktop Benutzer hinzugefügt habe, war das Anmelden kein Problem mehr. 

 

Vielen Dank

 

Gruß

 

BlackCodeDe



#6 NilsK

NilsK

    Expert Member

  • 12.475 Beiträge

 

Geschrieben 18. April 2017 - 18:41

Moin,

Von wem erwartest du denn ein Audit? Unterliegt das Unternehmen einer Regulierung? Dann gibt es doch sicher auch Richtlinien.

Gruß, Nils

Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!




Auch mit einem oder mehreren der folgenden Tags versehen: Windows Server 2012 R2, GPO, Active Directory