praxmo

Guten Morgen,

da habt ihr auf jeden Fall Recht - ich werde die Thematik der Regelmäßigkeit wohl nochmal ausdiskutieren müssen.

@daabm Ich habe den OU-Membern einfach entsprechende Gruppen zugewiesen  

Gruß

Hallo Nils,

die Sicherheit wurde herabgesetzt, da der User sonst keine Möglichkeit hat das Passwort bei Anmeldung zu ändern.

Gruß

Hallo Nils,

ist Bestandteil einer CyberPolice (Versicherung).

Gruß

Guten Morgen,

bei uns steht gerade das Hinterlegen einer regelmäßigen Passwortänderung an.

Um diese umzusetzen, habe ich eine Fine Grained Password Policy erstellt, die für 4 OUs greifen soll.

Weiterhin habe ich eine Terminalserververknüpfung verteilt mit folgender Ergänzung : enablecredsspsupport:i:o

Folgende Probleme habe ich nun:

1. Wie forciere ich am sinnvollsten die Änderung? Per Powershell alle Mitgliedskonten der OU auf "Muss Kennwort beim nächsten Anmelden neu erstellen" setzen?

2. Manche User versuchen sich mit der neuen Terminalserververknüpfung anzumelden und mit der oben genannten Ergänzung passiert nichts.

3. Wie kann man dies am sinnvollsten über Dauer lösen? Muss CredSSPSupport dauerhaft deaktiviert werden? Die Passwörter sollten schließlich in gewissen Rhythmen gewechselt werden müssen.

Vielen Dank!

vor 6 Minuten schrieb testperson:

Hi,

 

ich würde "das Spiel" umdrehen und den Task (per GPO) samt Script auf die Clients bringen und dort ausführen lassen.

Eine andere Frage wäre, warum liegen die Daten für das Archivsystem auf den Clients und nicht auf einem File-Server?

 

Gruß

Jan

Hallo Jan,

keine schlechte Idee!

Zu deiner Frage: Es handelt sich hier um Protokolle, die auf den Clients generiert werden.

Gruß

vor 2 Minuten schrieb Sunny61:

Kann denn der Archivbenutzer über die Freigabe auf den Client zugreifen? \\Client\Freigabe

Hallo Sunny61,

nein - wie kann ich denn eine Freigabe über GPO definieren?

Gruß

Hallo,

ich plane einen bestimmten Ordner auf Clients freizugeben bzw. einem bestimmten Nutzer Rechte zu geben, sodass er da Dateien abholen kann.

Hintergrund: Unser Archivsystem hat auf dem Archivserver in der Aufgabenplanung eine cmd, die in gewissen Abständen auf vorgegebenen Clients (via Hostname) Dateien via MOVE abholt und diese auf den Server schiebt.

Folgendes habe ich bisher versucht:

- dem Archivbenutzer erlaubt, sich als Stapelverarbeitungsauftrag anzumelden

- CC -> Windows-Settings -> Security-Settings -> File System -> betreffenden Ordner hinzugefügt und dem Archivbenutzer Vollzugriff gewährt

Vielleicht hat ja jemand eine Idee.

Viele Grüße!

vor 3 Minuten schrieb NorbertFe:

Schachteln wäre aber besser. ;)

Alles klar, müssen die Remotedesktopbenutzer auch Zugriff siehe Schritt 7 haben oder reicht es da die RDS_User einzutragen?

vor 2 Stunden schrieb NorbertFe:

Das unten beschriebene hat aber nichts mit Berechtigungen in deinem AD zu tun. Sind schließlich Rechte die du auf Ressourcen vergibst.

Vielleicht hilft das hier weiter:

https://evilgpo.blogspot.com/2015/04/wer-bin-ich-und-was-darf-ich.html

Hallo NorbertFe,

vielen Dank für deinen Beitrag. Ich habe den verlinkten Beitrag durchgelesen, jedoch bringt er mich an der Stelle nicht so genau weiter.

Ich habe in meinem Fall nach folgendem Artikel gearbeitet:

https://www.gruppenrichtlinien.de/artikel/remote-desktop-server-terminal-server/

Da die Gruppe RDS_User nicht Mitglied der Gruppe Remotedesktopbenutzer sind bei mir, muss ja laut Artikel Schritt 7 lokal der Zugriff auf das RDP-Protokoll erteilt werden. Trotzdessen komme ich nur per RDP auf den Server, wenn der anzumeldende Nutzer auch Mitglied der Remotedesktopbenutzergruppe ist.

Ist das so korrekt?

Einen wunderschönen guten Morgen wünsche ich!

Aufgrund der Problematik, dass die Berechtigungen in unserem AD absoluten Unsinn ergeben, mache ich mich gerade an ein frisches Konzept ran:

Um für jede Serverart den Zugriff festzulegen (z.B. nur 2 der Admins sollen auf den DC dürfen) habe ich mir GPOs erstellt.

Auf den Terminalservern war bisher die Gruppe Domänen-Benutzer lokal zur Remoteanmeldung autorisiert. Über Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten\"Anmelden über RemoteDesktopDienste zulassen" habe ich eine Gruppe RDS-User (Mitglieder sind 4 OUs mit den Usern), VORDEFINIERT/Remotedesktopbenutzer, VORDEFINIERT/Administratoren.

Sollte mit der Richtlinie dann nicht eigentlich die Gruppe Domänen-Benutzer aus den zulässigen Remoteverbindern verschwinden und die aus der GPO eingetragen werden? Sobald ich diese händisch entferne, kommt keiner mehr drauf. Laut gpresult findet die Richtlinie auch Anwendung.

Vielen Dank!

Hallo testperson,

lese ich mir direkt mal durch und prüfe ich. Und vielmals Entschuldigung an alle User, die sich über die Auswahl meiner Artikel angegriffen gefühlt haben 

Gruß

Hallo und vielen Dank für die Antworten.

Jetzt habe ich trotzdem noch eine Frage, die mir nach den Artikeln noch nicht klar wird: Ich habe eine OU mit den Clients und dort ist eine GPO verknüpft, die z.B. Software installiert (über Softwareverteilung -> Computerkonfiguration).

Wieso greift diese GPO nicht?

Gruß

Hallo,

bei uns in der AD gibt es folgendes Szenario:

Clients sind in der OU domain\clients\user clients

User sind in der OU domain\user\user accounts

Wenn ich eine GPO erstelle und diese nur mit "domain\clients\user clients" wird diese nicht vollzogen.

Was ist da die beste Möglichkeit? Ich möchte ungern alles mit WMI-Filtern vollmachen, der Übersicht halber.

Und greifen dann sowohl Benutzer- als auch Computereinstellungen?

Viele Grüße

prax