Terminalserver ohne DC?

[RobDust 11]

Hallo!

Wie oben schon beschrieben...

kann ein Terminalserver komplett als einziger Rechner im Netz ohne DC (Für die Benutzerverwaltung auskommen)

Also ich hatte vor die Bentuzer direkt auf dem WTS einzurichten...

aha ja und auch ohne ADS dann...

[Monarch 10]

Ja das geht.

[IThome 10]

Allerdings ist die Einschränkung der User nicht so problemlos möglich wie in einem Active Directory ...

[RobDust 11]

Ich hatte vorher DC mit AD und WTS auf einem Server... lief gut bis eines Tages dicker absturz (gestern :D ) durch Viren verursacht wurde... sehr schöne Benutzer Verwaltung hatte ich da... nun überlege ich den DC wegzulassen wegen der Performace und Sicherheit... hatte zwar NIE Probleme... aber naja wenns geht ok!

[substyle 20]

DC und TS auf einem Server ist auch ein absolutes NOGO!

 

Vielleicht überlegst du dir mal den DC auf dem physikalischen Server zu installieren und die TS in eine VM zu packen. Z.B. mit dem kostenlosen VMWare Server - oder unter Server 2008 mit Hyper-V.

 

Wie groß / klein ist denn die Umgebung. Also wieviele User sind es und womit arbeiten diese?

 

Grüße

subby

[RanCyyD 10]

Habe ich grade für einen Kunden eingerichtet.

 

Mit den Richtlinien klappt das hier ganz gut:

SO WIRD'S GEMACHT: Anwenden lokaler Richtlinien auf alle Benutzer mit Ausnahme der Administratoren unter Windows 2000 in einer Arbeitsgruppenumgebung

[RobDust 11]

Also lege ich die Benutzer ganz normal unter Computerverwaltung Öplaöe Benutzer und Gruppen an...

 

und dann befolge ich den Anweisungen in dem Link?

–

Hi!habe mal den Schriten befolgt... klappt sogar. ich denke damit kann man arbeiten...

allerdings habe ich jetzt nur eine änderung vorgenommen. wie ist das wenn ich jetzt nachträglich was ändern will?! alles nochmals durchgehen?

–

irgendiwe ist das doch sinlos... wenn ich nachher die Festplatten verstecke... komm ich da doch gar nicht mehr dran?!!

[IThome 10]

Genau das ist das Unkomfortable und Fehlerträchtige dabei ...

[RanCyyD 10]

Also, wenn Du neue Benutzer anlegst übernehmen die die Einstellungen der "Benutzer-GPO", wenn Du nachher an der GPO nach was veränderst, gilt das halt wieder für alle, dann müßtest Du die Schritte wiederholen oder vorher eben sehr genau planen.

 

Ansonsten siehe IThome...

[IThome 10]

TS und DC auf einer Maschine ist sicherlich nicht schön, allerdings was anderes soll man machen (von einer Virtualisierung mal abgesehen, wofür auch wieder eine zweite Serverversion fällig wäre), wenn man nur einen Server hat ? Auf einem Server, der kein DC und nur TS ist, werden ja auch alle Benutzer angelegt, dort sind auch alle Daten gespeichert und die Benutzer melden sich dann remote interaktiv an ihm an.

Ich würde trotzdem Active Directory installieren, alleine schon, um in den Genuss der Gruppenrichtlinien zu kommen, womit der Server besser angesichert werden kann. Die Clients sind damit auch besser zu verwalten ...

Ideal ist das natürlich nicht, ideal wären 2 Server ...

[RobDust 11]

Sooooo

 

2 maschinen sind nicht möglich... ok lassen wir bitte das Szenario.

Folgendes.habe jetz ADS installiert!

 

Allerdings bis auf den Admin kommt jetz bei den Benutzern:

die lokale richtlinie erlaubt es ihnen nicht sich interaktiv anzumelden

 

... Windows 2000 Advanced Server ist das OS. ich weiß alt ok danke kein Kommentar. Die LIzenzen hat die Firma und will im Mom nicht aufstocken. (ausserdem läuft darauf das Warenwirtschaftsystem perfekt und das is denen wichtig.) egal

 

habe jetzt in ADS in der Default Group Policy gestzt:

unter WIndows Einstellungen-> Sicherheitseinstellungen->lokale richtlinie->zuweisen von BEnutzerrechten-> lokal anmelden da den USer hinzugefügz. zum Test die Gruppe... und JEDER... NIX GEHT! Immer die verdammte Meldung das es nicht erlaubt ist sich interaktiv anzumelden. wo muss ich den Haken sezten???

–

unter verweigern ist niemand eingetragen weil es ja angeblich überwiegt,,

[IThome 10]

Das ist ein Benutzerrecht, welches in der Default Domain Controllers Policy eingestellt ist. Erstelle also eine neue Richtlinie, platziere sie über der Default Domain Controllers Policy in der Domain Controllers OU und stelle dort das Benutzerrecht "Lokal anmelden" für die entsprechende Gruppe ein.

Computerkonfiguration - Windowseinstellungen - Sicherheitseinstellungen - Lokale Richtlinien - Zuweisen von Benutzerrechten

[RobDust 11]

Hallo!

Ja habe es in der OU Domain Controllers über der Default Domain Controllers Policy in ein neues gpo objekt gepackt und eingestellt lokal anmelden..

 

FEHLSCHLAG!!!

[IThome 10]

Deswegen brauchst Du nicht schreien.

Führ´ mal

SECEDIT /REFRESHPOLICY MACHINE_POLICY /ENFORCE

aus. Es muss sichergestellt sein, dass dieses GPO die höchste Priorität in dieser OU hat. Du kannst es auch in der Default Domain Controllers Policy einstellen. Allerdings sollte man die Default Richtlinien nach Möglichkeit so belassen, wie sie sind. Welchen Gruppen hast Du das Recht gewährt ?

[RobDust 11]

jeder :)

 

so geht! aaaah bin ich happy... so ne *****.,.. sitz de´n ganzen tag schon davor.

 

wenn ich nicht weiter komme poste ich dann mal hier rein ;)

–

kann mir jemand noch schnell sagen wie ich einen Standard Benurzer anlege... quasi Netzlaufwerke Desktop Symbole usw. anpassen + dann für alle neuen die angelegt werden das die genau so aussehen?