Jump to content
Sign in to follow this  
atmichael

terminalserver sicherheitsrichtlinien

Recommended Posts

Hallo,

 

ich versuche zugriff von einem normalen domänen-benutzer auf den terminalserver in der sbs2003 domäne einzurichten.

 

viele hinweise hier haben mir schon geholfen.

 

ein user ist jetzt drinnen und kann zugreifen.

 

dummerweise kann ich plötzlich kleinen weiteren hinzufügen, weil in der konsole die punkte zur eionstellung der lokalen sicherheitsrichtline gesperrt sind (mit kleinem schlosssymbol versehen - und ich kann keine änderungen vornehmen).

 

selbstverständlich bin ich als administrator angemeldet - ich habe schon versucht als lokaler administratpor und als domänen-admin.

 

die beiden user sind jeweils mitglied in den gleichen gruppen, selbstverständlich auch remotdesktopbenutzer.

 

für einen tip, wie ich die lokalen sicherheitsrichtlinien ändern kann wäre ich sehr dankbar.

 

schöne grüße

 

michael

Share this post


Link to post

Die lokalen Sicherheitsrichtlinien kann man immer ändern, das Schloss bedeutet, dass die Richtlinie aus der Domäne kommt und deswegen die lokale Richtlinie überschreibt. Wenn Du also ändern willst, muss das in einer der Richtlinien der Domäne erfolgen (ich weiss aber eigentlich gar nicht, was Du überhaupt machen willst, was Du einstellen willst, ob Du auf einen Terminalserver im Anwendungsmodus zugreifen willst oder den SBS ... ) ...

Share this post


Link to post

es gibt 2 user.

 

die sollen sich remote am terminalserver anmelden können.

 

beide user sind mitglied der grupper remotedesktopbenutzer

 

domäne/user1 kann sich am terminalserver anmelden

 

domäne/user2 nicht (die lokale richtlinie erlaubt es nicht, dass sie sich remote anmelden)

 

in den lokalen sicheerheitsrichtlinien des terminalservers ist nur domäne/user1 eingetragen und ich kann keinen weiteren hinzufügen ("hinzufügen" ist grau).

 

****erweise weiß ich nicht mehr wie ich user1 hinzugefügt habe.

 

DANKE!

Share this post


Link to post

Melde Dich am Terminalserver mal als Administrator an und führe RSOP.MSC aus. Dort kannst Du sehen, woher die Einstellung kommt ...

Ist der Terminalserver ein Domänencontroller ?

Share this post


Link to post

der domänencontroller ist ein sbs2003 (für 3 user).

 

ich befürchte ich habe, da ich mich seit nt kaum mehr damit beschäftigt habe, zu wenig ahnung von der materie.

 

danke!

 

michael

Share this post


Link to post

Dass der SBS ein Domänencontroller ist, ist mir schon klar, aber ist der Terminalserver auch ein Domänencontroller ? Oder soll der SBS über RDP angesprochen werden (was von der Verwaltung abgesehen lizenzrechtlich nicht in Ordnung ist) ?

Share this post


Link to post

ich sag's ja, ich glaube ich bin nicht mehr am laufenden.

 

der terminalserver ist kein domänencontroller, sollte er das sein?

 

ich habe den terminalserver als servercomputer im sbs hinzugefügt.

 

michael

Share this post


Link to post

Um es mal klar zu sagen, Du hast also 2 Server, einen Small Business Server als Domänencontroller und einen Mitgliedsserver, auf dem die Terminaldienste laufen gell ?

Führe auf dem Terminalserver RSOP.MSC aus und schaue bei dem entsprechenden Punkt nach, von welcher Richtlinie die Einstellung kommt, die Du bearbeiten möchtest. Dann stellst Du das auf dem Small Business Server um.

Eigentlich müssen die User aber nur in die Gruppe der Remotedesktopbenutzer auf dem Terminalserver!, nicht auf dem Small Business Server (wenn der Terminalserver ein Mitgliedserver ist, wenn er DC ist, reicht das nicht aus) ...

Share this post


Link to post
Um es mal klar zu sagen, Du hast also 2 Server, einen Small Business Server als Domänencontroller und einen Mitgliedsserver, auf dem die Terminaldienste laufen gell ?
ja, richtig!
Führe auf dem Terminalserver RSOP.MSC aus und schaue bei dem entsprechenden Punkt nach, von welcher Richtlinie die Einstellung kommt, die Du bearbeiten möchtest. Dann stellst Du das auf dem Small Business Server um.
tut mir leid, ich verstehe nicht was du meinst.

- RSOP als SBS/Admin oder als TERMINALSERVER/admin ausgeführt?

- ich habe nichts gefunden was man verstellen könnte

 

Eigentlich müssen die User aber nur in die Gruppe der Remotedesktopbenutzer auf dem Terminalserver!, nicht auf dem Small Business Server (wenn der Terminalserver ein Mitgliedserver ist, wenn er DC ist, reicht das nicht aus) ...
DAS ist ja mein Problem.

Ich bin mir sicher, dass es nur daran liegt:

-->Lokale Sicherheitseinstellungen --> zuweisen von Benutzerrechten --> Anmelden über Terminaldienste zulassen

 

Da steht User1 drinnen und ich kann keinen weiteren hinzufügen.

 

Ich werde es bleiben lassen, ich habe sicher irgendwop was verbockt.

Nachdem wir nur 3 User haben (ich habe den SBS nur wegen dem SQL für unsere Warenwirtschaft), finde ich sicher eine andere Lösung.

 

Danke für deine Mühe!!!

 

Michael

Share this post


Link to post

Genau das ist der Grund, weil es dort drin steht. Dort gehören die Remotedesktopbenutzer und Administratoren rein. Du öffnest auf dem SBS Active Directory Benutzer und Computer, erzeugst Dir eine Organisationseinheit mit Namen Terminaldienste oder so. Dort hinein verschiebst Du das Computerkonto des Terminalservers. Dann öffnest Du die Gruppenrichtlinienverwaltung und erzeugst ein neues Gruppenrichtlinienobjekt ind der neu erstellten OU, in der Du unter

Computerkonfiguration - Windowseinstellungen - Sicherheitseinstellungen - Lokale Richtlinien - Zuweisen von Benutzerrechten das Benutzerrecht "Anmelden über Terminaldienste zulassen" so änderst, dass dort Administratoren und Remotedesktopbenutzer steht (hinschreiben, nicht durchsuchen). Dann ein GPUPDATE auf dem Terminalserver oder Du startest ihn neu ...

Um zu sehen, woher diese Einstellung kommt, führst Du RSOP.MSC als Domänenadmin auf dem Terminalserver aus und kannst es gegebenenfalls auch in der angezeigten Richtlinie ändern ...

Share this post


Link to post

Hallo liebe Mitglieder,

 

ich wollte jetzt nicht ein neuen Thread für mein gleiches Problem öffnen. Darum schreib ich es in diesen.

 

Folgendes:

 

1x DC W2K3 SP1 Standard

1x Terminalserver W2K3 SP1 Standard

 

Es gibt eine Domäne in diesem sich auch der Terminalserver als Mitglied der Domäne befindet. Jetzt sollten doch eigendlich die Benutzer die in der Domänen-Gruppe "Remotedesktopbenutzer" sind, zugriff auf dem Terminalserver bekommen. Leider ist das bei mir nicht der Fall. Es kommt die standart Ausrede:

 

*** Sie müssen über die Berechtigung "Anmelden über Terminaldienste zulassen" verfügen...***

 

Laut GPO sind das die "Administratoren" und "Remotedesktopbenutzer". Nur leider bekommt kein Domänen-User der in der Domänen-Gruppe "Remotedesktopbenutzer" ist zugriff. Warum? Setze ich einen Domänen-Benutzer in die Lokale-Gruppe des Terminalservers funktioniert die Anmeldung mit einem Domänen-Benutzer.

 

Kann mir jemand erklären was der Terminalserver nun noch brauch um auch mit der Domänen-Gruppe "Remotedesktopbenutzer" eine Anmeldung zulässt?

 

Vielen Dank und ein lieben Gruß,

Christian

Share this post


Link to post

Die müssen in die Gruppe Remotedesktopbenutzer des Terminalservers (da sollen sie ja auch zugreifen), nicht auf dem DC ...

Nächstes Mal eröffne einen eigenen Thread und übernehme keinen anderen ... :)

Share this post


Link to post

Entschuldigung, habe das nur der Übersichtshalber gemacht. Soll ich jetzt einen neuen öffnen?

 

Wozu ist dann die Gruppe "Remotedesktopbenutzer" in der ADS?

 

Wir haben hier noch eine Teststellung, W2K3 Standard DC und einen TerminalServer W2K3 Standard, diese sind in einer Domäne. Hier sind alle Benutzer in der Gruppe "Remotedesktopbenutzer" über den DC und diese Domän-Benutzer können sich an dem TS anmelden. Warum klappt das nicht in der anderen Domäne (Sind beide voneinander unabhängig).

 

Gruß

Christian

Share this post


Link to post

Wenn auf DCs zugegriffen werden soll z.B.

Sind das DCs , auf die Benutzer via Terminaldienste zugreifen (in der anderen Domäne) ?

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...