WTS Anmeldung zeitlich beschränken

[Hansi 10]

mahlzeit,

 

folgendes Problem:

 

wie kann man realisieren, dass die Anmeldung auf einen bzw. mehreren WTS 2003 sever SP1 am Wochenende nicht möglich ist. Obwohl man als Administrator per RDP von außen via VPN arbeiten will.

 

1. per change login /enable disable funtz es nett, denn dann kann der Admin auch nett mehr rein...also per rdp.

2. Leider wurden die Berechtigungen in der Vergangenheit sehr unsauber gesetzt. So das ich nur die Domänenuser in den Berechtigung der RDP /terminaldienstconfig habe.

Nehme ihn das recht weg..kann der Admin ,der ja auch indirekt Mitglied der Gruppe Domänenuser ist, sich auch nicht anmelden.

 

3 Könnte die Firewall so konfigurieren das RDP nur vom Admin PC funtzt.(von Aussen)

 

4. VNC ..naja.

 

Gibt’s nicht ne Möglichkeit per GPO das zu regel?will nicht jedem user das Zeitfenster manuell anlegen im ADS..

Oder ?:suspect: :confused: :shock:

 

Für Tips dankbar!

[Squire 212]

Sollen die User auch am Wochenende an den normalen LAN PCs arbeiten können? Wenn nein, dann könntest Du das via Anmeldezeitbeschränkung des User Accounts regeln

[groszmann 10]

...dann könntest Du das via Anmeldezeitbeschränkung des User Accounts regeln

Das ist, glaube ich, genau das, was Hansi nicht machen möchte.

 

Aber guckst Du hier:HOW TO: Limit User Logon Time in a Domain in Windows Server 2003

 

.. und dann die Übernahme der GPO für den Administrator in den Sicherheitseinstellungen verweigern.

 

 

 

Gruß

 

Hans

[grizzly999 11]

Das ist, glaube ich, genau das, was Hansi nicht machen möchte.

Ah ja, aber du postest dann als dein Vorschlag genau die Beschreibung dazu (zu dem was er deiner Meinung nach NICHT machen möchte). Sehr pfiffig :rolleyes:

 

 

grizzly999

[groszmann 10]

Asche auf mein Haupt,

 

da war ich wohl etwas oberflächlich beim Lesen. Die Überschrift

Step 2: Enforce Logon Hours Restrictions

suggeriert da etwas anderes, als im Folgenden beschrieben wird.

 

Tja, da bin ich jetzt auch ratlos, wie das über GPOs zu realisieren wäre.

 

 

 

Gruß

 

Hans

[Squire 212]

er muss ja nicht jeden User einzeln anfassen -

 

Active Directory Benutzer und Computer - alle entsprechenden User markieren und dann Rechtsklick Eigenschaften - auf dem Reiter Konto lassen sich dann die Anmeldezeiten für alle ausgewählten Usern gleichzeiig abändern

[Stephan Betken 43]

Ah ja, aber du postest dann als dein Vorschlag genau die Beschreibung dazu (zu dem was er deiner Meinung nach NICHT machen möchte).

 

Hätte ja sein können, dass er damit durchkommt. Versuch macht kluch (oder so ähnlich). :rolleyes:

[Hansi 10]

danke erstmal !

 

 

ja...leider haben wir ca. 450 ser in ca. 25 OU...da muss man halt schonmal ne halbe Stunde dumm klicken....daher dachte ich per gpo auf´s toplevel.

[Stephan Betken 43]

ja...leider haben wir ca. 450 ser in ca. 25 OU...da muss man halt schonmal ne halbe Stunde dumm klicken...

 

Wieso das denn? Zur Erinnerung:

 

er muss ja nicht jeden User einzeln anfassen -

 

Active Directory Benutzer und Computer - alle entsprechenden User markieren und dann Rechtsklick Eigenschaften - auf dem Reiter Konto lassen sich dann die Anmeldezeiten für alle ausgewählten Usern gleichzeiig abändern

 

Du kannst ja auch unter Active Directory-Benutzer und -Computer eine Abfrage erstellen und dann dort die entsprechenden User auswählen, um die Eigenschaften aller ausgewählten User in nur einem Schritt zu ändern.

 

Oder die Alternative:

Leider wurden die Berechtigungen in der Vergangenheit sehr unsauber gesetzt. So das ich nur die Domänenuser in den Berechtigung der RDP /terminaldienstconfig habe.

Nehme ihn das recht weg..kann der Admin ,der ja auch indirekt Mitglied der Gruppe Domänenuser ist, sich auch nicht anmelden.

 

Dann solltest Du schleunigst die Administratoren hinzufügen (Vollzugriff). Du solltest vielleicht alle Standardberechtigungen wiederherstellen.

Administratoren: Vollzugriff

SYSTEM: Vollzugriff

Remotedesktopbenutzer: Benutzerzugriff

 

Wenn Du dann noch ein Skript baust, welches die Gruppe der Domänenbenutzer zur Gruppe der Remotedesktopbenutzer hinzufügt bzw. ein zweites, welches die eine Gruppe aus der anderen entfernt, dann braucht man doch nur noch zwei geplante Tasks. Richtig?

[Hansi 10]

Wieso das denn? Zur Erinnerung:

 

 

 

Du kannst ja auch unter Active Directory-Benutzer und -Computer eine Abfrage erstellen und dann dort die entsprechenden User auswählen, um die Eigenschaften aller ausgewählten User in nur einem Schritt zu ändern.

 

?

 

Wie ??:shock: :confused:

[Stephan Betken 43]

In Active Diretory-Benutzer und -Computer den Container namens Gespeicherte Abfragen rechtsklicken und Neu - Abfrage auswählen. Dort kannst Du einen Namen und eine Beschreibung für diese Abfrage eingeben und natürlich auch den Abfragestamm (wenn Du nur einzelne Container durchsuchen möchtest) festlegen. Unter Festlegen kannst Du die Abfrage dann für Deine Bedürfnisse anpassen.

Z. B. für alle Benutzer:

Suchen Allgemeine Abfragen

Name Hat einen Wert

 

Danach die Benutzer auswählen und die Eigenschaften anzeigen. So hast Du die Möglichkeit, alle ausgewählten Benutzer zeitgleich zu ändern.

 

Die Standardberechtigungen sollten aber trotzdem wiederhergestellt werden.

[Hansi 10]

danke..hat wunderbar geklapt!;)