RDP für Benutzer am DC

[Nakie 10]

Hallo,

 

wir haben im Netzwerk einen Terminal Server 2003 und einen Domain Controller 2003. Die Benutzer sollen sich alle am TS anmelden, was auch einwandfrei funktioniert. Die Benutzer sollen sich aber nicht direkt per RPD am DC anmelden können, sondern nur Benutzer die in der Gruppe Administratoren sind.

 

Wie kann ich dies am besten einstellen? Leider fehlt mir hier der Ansatz.

[Stephan Betken 43]

Hallo nakie,

 

so wie es eigentlich standard ist.

Normalerweise können sich Benutzer nicht am DC anmelden (am TS eigentlich auch nicht), Admins hingegen schon. Beim TS kannst Du die Gruppe "Domänen-Benutzer" in die lokale Gruppe der Remotedesktopbenutzer einfügen und fertig.

Ist denn schon was eingerichtet? Hört sich fast so an.

[Nakie 10]

Hallo Stephan,

 

ja es ist schon etwas eingerichtet und das Problem ist, dass der Terminal Server auch ein Domain Controller gleichzeitig ist. Daher kann ich die Benutzer nicht aus der Gruppe nehmen oder verstehe ich gerade etwas falsch?

 

Also ich habe es gerade nochmal getestet ein Benutzer der in der Gruppe Remote-Benuzter ist, kann sich auch am DomainController 1 und 2 anmelden.

 

Auf dem ersten DC ist aber nur Exchange installiert, daher sollten die Benutzer sich nicht dort anmelden können.

 

Gibt es da eine möglichkeit?

[niesfisch 10]

Hallo,

 

schau doch einfach mal auf den Servern unter Verwaltung --> Terminaldiensteverwaltung. Alle Nutzer und Gruppen die unter "Berechtigungen" aufgeführt sind dürfen sich anmelden. Das kannst du dann nach deinen Bedürfnissen auf den zwei Kisten anpassen.

Trotzdem, wenn Du dir zwei DCs leisten kannst, sollte doch auch noch ein seperater TS drin sein. Mich würde gruseln wenn sich Benutzer interaktiv auf einem meiner DCs tummeln würden. Wirklich nicht empfehlenswert!

 

Gruß

Andreas

[Stephan Betken 43]

Hm, ich hatte verstanden, dass es einen DC gibt und einen TS (von einem DC, der TS ist, war nicht wirklich die Rede). Eigentlich ging es ja um die Mitgliedschaft einer lokalen Gruppe, um die Zugriffe zu separieren. Das klappt natürlich nicht auf einem DC.

Meiner Meinung nach wäre die sinnigste Option auf dem TS DCPROMO auszuführen. Dann wäre dieser nur noch TS.

[Nakie 10]

Stimmt, hatte mich etwas unklar ausgedückt. Habe das System auch erst vor kurzem übernommen. Also nochmal zusammenfassend, derzeit gibt es einen Server auf dem Windows 2003 als und Exchange installiert ist und einen weiteren der auch als DC in der ADS eingetragen ist, der aber als reiner File und TS-Server genutzt wird.

 

Meine Frage die ich jetzt hierzu habe. Kann ich per DCPROMO den TS-Server gefahrlos zum Memberserver herunterstufen? Muss ich da wegen den Terminal-Diensten etwas beachten?

[Stephan Betken 43]

Die Frage kann ich leider nicht wirklich beantworten, da ich noch nie einen TS hatte der heruntergestuft werden musste.

 

Eigentlich dürfte es keine Probleme geben (ein Backup ist trotzdem Pflicht), aber beschwören kann ich das nicht.

[Nakie 10]

Hey!

Super vielen Dank für die schnelle antwort :) Eine Sicherung werde ich auf jeden Fall erst machen, aber ich muss vorher noch viele andere Sachen in diesem Netz erledigen weil es ist eine große Baustelle wo der TS nur ein kleiner Teil von ist.

 

Schönes Wochenende!