Jump to content

terminalserver sicherheitsrichtlinien


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

ich versuche zugriff von einem normalen domänen-benutzer auf den terminalserver in der sbs2003 domäne einzurichten.

 

viele hinweise hier haben mir schon geholfen.

 

ein user ist jetzt drinnen und kann zugreifen.

 

dummerweise kann ich plötzlich kleinen weiteren hinzufügen, weil in der konsole die punkte zur eionstellung der lokalen sicherheitsrichtline gesperrt sind (mit kleinem schlosssymbol versehen - und ich kann keine änderungen vornehmen).

 

selbstverständlich bin ich als administrator angemeldet - ich habe schon versucht als lokaler administratpor und als domänen-admin.

 

die beiden user sind jeweils mitglied in den gleichen gruppen, selbstverständlich auch remotdesktopbenutzer.

 

für einen tip, wie ich die lokalen sicherheitsrichtlinien ändern kann wäre ich sehr dankbar.

 

schöne grüße

 

michael

Link zu diesem Kommentar

Die lokalen Sicherheitsrichtlinien kann man immer ändern, das Schloss bedeutet, dass die Richtlinie aus der Domäne kommt und deswegen die lokale Richtlinie überschreibt. Wenn Du also ändern willst, muss das in einer der Richtlinien der Domäne erfolgen (ich weiss aber eigentlich gar nicht, was Du überhaupt machen willst, was Du einstellen willst, ob Du auf einen Terminalserver im Anwendungsmodus zugreifen willst oder den SBS ... ) ...

Link zu diesem Kommentar

es gibt 2 user.

 

die sollen sich remote am terminalserver anmelden können.

 

beide user sind mitglied der grupper remotedesktopbenutzer

 

domäne/user1 kann sich am terminalserver anmelden

 

domäne/user2 nicht (die lokale richtlinie erlaubt es nicht, dass sie sich remote anmelden)

 

in den lokalen sicheerheitsrichtlinien des terminalservers ist nur domäne/user1 eingetragen und ich kann keinen weiteren hinzufügen ("hinzufügen" ist grau).

 

****erweise weiß ich nicht mehr wie ich user1 hinzugefügt habe.

 

DANKE!

Link zu diesem Kommentar

Um es mal klar zu sagen, Du hast also 2 Server, einen Small Business Server als Domänencontroller und einen Mitgliedsserver, auf dem die Terminaldienste laufen gell ?

Führe auf dem Terminalserver RSOP.MSC aus und schaue bei dem entsprechenden Punkt nach, von welcher Richtlinie die Einstellung kommt, die Du bearbeiten möchtest. Dann stellst Du das auf dem Small Business Server um.

Eigentlich müssen die User aber nur in die Gruppe der Remotedesktopbenutzer auf dem Terminalserver!, nicht auf dem Small Business Server (wenn der Terminalserver ein Mitgliedserver ist, wenn er DC ist, reicht das nicht aus) ...

Link zu diesem Kommentar
Um es mal klar zu sagen, Du hast also 2 Server, einen Small Business Server als Domänencontroller und einen Mitgliedsserver, auf dem die Terminaldienste laufen gell ?
ja, richtig!
Führe auf dem Terminalserver RSOP.MSC aus und schaue bei dem entsprechenden Punkt nach, von welcher Richtlinie die Einstellung kommt, die Du bearbeiten möchtest. Dann stellst Du das auf dem Small Business Server um.
tut mir leid, ich verstehe nicht was du meinst.

- RSOP als SBS/Admin oder als TERMINALSERVER/admin ausgeführt?

- ich habe nichts gefunden was man verstellen könnte

 

Eigentlich müssen die User aber nur in die Gruppe der Remotedesktopbenutzer auf dem Terminalserver!, nicht auf dem Small Business Server (wenn der Terminalserver ein Mitgliedserver ist, wenn er DC ist, reicht das nicht aus) ...
DAS ist ja mein Problem.

Ich bin mir sicher, dass es nur daran liegt:

-->Lokale Sicherheitseinstellungen --> zuweisen von Benutzerrechten --> Anmelden über Terminaldienste zulassen

 

Da steht User1 drinnen und ich kann keinen weiteren hinzufügen.

 

Ich werde es bleiben lassen, ich habe sicher irgendwop was verbockt.

Nachdem wir nur 3 User haben (ich habe den SBS nur wegen dem SQL für unsere Warenwirtschaft), finde ich sicher eine andere Lösung.

 

Danke für deine Mühe!!!

 

Michael

Link zu diesem Kommentar

Genau das ist der Grund, weil es dort drin steht. Dort gehören die Remotedesktopbenutzer und Administratoren rein. Du öffnest auf dem SBS Active Directory Benutzer und Computer, erzeugst Dir eine Organisationseinheit mit Namen Terminaldienste oder so. Dort hinein verschiebst Du das Computerkonto des Terminalservers. Dann öffnest Du die Gruppenrichtlinienverwaltung und erzeugst ein neues Gruppenrichtlinienobjekt ind der neu erstellten OU, in der Du unter

Computerkonfiguration - Windowseinstellungen - Sicherheitseinstellungen - Lokale Richtlinien - Zuweisen von Benutzerrechten das Benutzerrecht "Anmelden über Terminaldienste zulassen" so änderst, dass dort Administratoren und Remotedesktopbenutzer steht (hinschreiben, nicht durchsuchen). Dann ein GPUPDATE auf dem Terminalserver oder Du startest ihn neu ...

Um zu sehen, woher diese Einstellung kommt, führst Du RSOP.MSC als Domänenadmin auf dem Terminalserver aus und kannst es gegebenenfalls auch in der angezeigten Richtlinie ändern ...

Link zu diesem Kommentar
  • 2 Wochen später...

Hallo liebe Mitglieder,

 

ich wollte jetzt nicht ein neuen Thread für mein gleiches Problem öffnen. Darum schreib ich es in diesen.

 

Folgendes:

 

1x DC W2K3 SP1 Standard

1x Terminalserver W2K3 SP1 Standard

 

Es gibt eine Domäne in diesem sich auch der Terminalserver als Mitglied der Domäne befindet. Jetzt sollten doch eigendlich die Benutzer die in der Domänen-Gruppe "Remotedesktopbenutzer" sind, zugriff auf dem Terminalserver bekommen. Leider ist das bei mir nicht der Fall. Es kommt die standart Ausrede:

 

*** Sie müssen über die Berechtigung "Anmelden über Terminaldienste zulassen" verfügen...***

 

Laut GPO sind das die "Administratoren" und "Remotedesktopbenutzer". Nur leider bekommt kein Domänen-User der in der Domänen-Gruppe "Remotedesktopbenutzer" ist zugriff. Warum? Setze ich einen Domänen-Benutzer in die Lokale-Gruppe des Terminalservers funktioniert die Anmeldung mit einem Domänen-Benutzer.

 

Kann mir jemand erklären was der Terminalserver nun noch brauch um auch mit der Domänen-Gruppe "Remotedesktopbenutzer" eine Anmeldung zulässt?

 

Vielen Dank und ein lieben Gruß,

Christian

Link zu diesem Kommentar

Entschuldigung, habe das nur der Übersichtshalber gemacht. Soll ich jetzt einen neuen öffnen?

 

Wozu ist dann die Gruppe "Remotedesktopbenutzer" in der ADS?

 

Wir haben hier noch eine Teststellung, W2K3 Standard DC und einen TerminalServer W2K3 Standard, diese sind in einer Domäne. Hier sind alle Benutzer in der Gruppe "Remotedesktopbenutzer" über den DC und diese Domän-Benutzer können sich an dem TS anmelden. Warum klappt das nicht in der anderen Domäne (Sind beide voneinander unabhängig).

 

Gruß

Christian

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...