Hallo Zusammen,
ich bin gerade dabei eine bestehende Berechtigungsstruktur umzubauen. Und komme an einen Punkt nicht weiter, nämlich das die Admin Konten der IT Admins auf den Domain Controllern per RDP anmelden können. Damit die Änderung an den GPO durchgeführt werden können usw.
Aktueller Stand:
AD Controller von 2008 - 2016
Jeder der Admins benutzt das Domän Administrator Konto um Änderungen an der AD durchzuführen. Wenn es mal zu einen Audit kommen sollte, ist es bestimmt das erste was wir auf den Füßen fallen wird.
Zukünftiger Stand:
Jeder IT Admin erhält bzw hat schon einen personlisierten Admin Konto ohne direkt Domain Admin zusein. Mit Konto sollen dann alle änderungen durchgeführt werden, die nicht unbedingt Domnen Admin Rechte benötigen.
Ich habe schon folgendes Versucht:
Ich habe einen Domänen Lokale Remote Gruppe erstellt für die DC´s z.B.: SS-L-Remote-ADC. Diese Gruppe habe ich in der Default Domain Controller Policy unter
"Computer/Richtlinien/Windows-Einstellungen/Sicherheitseinstellungen/Lokale Richtlinien/Zuweisen von Benutzerrechten/Anmelden über Remotedesktopdienste zulassen"
hinzugefügt. Und natürlich den Benutzern diese Gruppenmitgliedschaft hinzugefügt.
Aber leider erhalte ich die Meldung "Die Verbindung wurde abgelehnt, da das Benutzerkonto nicht zur Remoteanmeldung autorisiert ist"
Da auf einen DC keine Lokalen Benutzergruppen exisitieren, kann ich dort auch keine Gruppen zu den "Remotedesktop Benutzern" hinzufügen.
Habe ich eine Richtlinie übersehen, die noch gesetzt werden muss?
Gruß
BlackCodeDe