Jump to content

Remote RDP aktivieren


m2k2
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

als Domänenadmin möchte ich einen entfernten XP Client remote aktivieren, per Networkregistry"hack", habe ich "fDenyTSConnections" genullt. Nun kann ich mich aber immer noch nicht interaktiv am Rechner anmelden. Der Domadmin ist nicht in der lokalten Remotedesktopgroup.

 

Wie bekomme ich den da rein, oder hab ich nur was übersehen ?

Link zu diesem Kommentar

Wenn er sich nicht interaktiv anmelden darf, hat er das Benutzerrecht "Anmelden über Terminaldienste zulassen" nicht. Das Setzen des Keys ändert keinerlei Einstellungen eines Benutzerrechtes. Per Default haben dieses Benutzerrecht auf einer XP-Maschine die Administratoren und Remotedesktopbenutzer. Wenn der Domänen-Admin Mitglied der lokalen Administratorengruppe auf der XP-Maschine ist (was beim Joinen zur Domäne so eingerichtet wird), kann er zugreifen. Wenn nicht, bekommt man solche Fehlermeldungen ...

Link zu diesem Kommentar

Das ist eben, was ich nicht verstehe, die Maschine gehört der Domäne an, und ich komme auf diese als Administrator zu und bekomme diese Meldung. Mir ist klar das der RegKey nur die Remote freischaltet, jedoch nicht die Rechte. Was kann das denn sein ? Wenn ich unter Systemeigenschaften -> Remote schaue, wird bei Remotedesktop der Hacken gesetzt oder nicht (RemoteReg oder lokal, egal), nun muss ich aber immer noch hingehen und den Administrator (Domänenverzeichnis) zu den Remotebenutzern hinzuzufügen um anschließend erfolgreich auf die Maschine zu kommen ? Unter dem "Zufügefeld" steht aber immer DOMÄNE\Administrator hat bereits Zugriff.

 

???

Link zu diesem Kommentar

Schau doch einfach mal nach, ob dieses Recht vorhanden ist oder nicht. Danach kannst Du Dir immer noch Gedanken darüber machen, warum es so ist, wie es ist. Eventuell ist es ja eine Domänenrichtlinie, die die lokalen Benutzerrechte einstellt ...

edit: da haste doch Deinen Fehler. Was haben die Builtin\Remotedesktopbenutzer auf den DCs mit den Remotedesktopbenutzern auf der XP-Maschine zu tun. Du musst dieses Recht den Administratoren (auf der XP-Maschine) gewähren, damit sich ein Administrator, ohne Mitglied der Remotedesktopbenutzer (auch auf der XP-Maschine) zu sein, per RDP anmelden kann. Warum stellst Du sowas in einer Default Policy ein, wenn überhaupt, dann solltest Du ein weiteres GPO mit diesen Einstellungen erzeugen und oberhalb der Default Policy linken ...

Link zu diesem Kommentar

Laut Deiner Beschreibung ist der Administrator Mitglied der Gruppe BUILTIN\Remotedesktopbenutzer. Du willst aber auf eine XP-Maschine rauf und nicht auf einen DC. Der Administrator (eigentlich sollten es die Administratoren sein) ist dort aber kein Mitglied, der ist Mitglied der BUILTIN\Remotedesktopbenutzer. Erzeuge also eine neue Policy, die dieses Benutzerrecht den Administratoren (in dieser Gruppe sind die Domänen-Admins per Default enthalten) und den Remotedesktopbenutzern gewährt. Setze diese Einstellung in der Default Domain Policy auf "Nicht definiert" und verknüpfe die neue Policy in die OU, in der sich die Computerkonten befinden (sonst gilt es für alle, auch Memberserver). Dann musst Du nur noch warten ...

Link zu diesem Kommentar

Irgendwie komme ich von dem Schlauch nicht runter...

 

1. Ich möchte eine XP Workstation remote freischalten, damit ich per RD drauf komme.

2. Den Registry Eintrag habe ich remote erledigen können, jetzt komme ich aber immer noch nicht drauf da der Domänen Admin keine Rechte hat ?

 

@ithome

bitte erkläre für mich ganz genau wo das Problem ist und was zu tun ist.

 

Lieben Dank

Link zu diesem Kommentar

Du erzeugst eine Richtlinie, in der Du das Benutzerrecht einstellst. Du fügst die Remotedesktopbenutzer und Administratoren zu (beides hinschreiben, nicht suchen und auswählen). Diese neue Richtlinie verknüpfst Du dort, wo sich die zu steuernden Computer befinden. In der Default Domain Policy, in der im Moment dieses Benutzerrecht eingestellt wird, setzt Du diese Einstellung auf "Nicht definiert". Wenn man es genau nimmt, würde es ausreichen die Richtlinie in der DDP einfach auf "Nicht definiert" zu setzen, da dann wieder die lokalen Richtlinien auf den Clients gelten (Remotedesktopbenutzer und Administratoren haben dieses Recht). Willst Du aber etwas Abweichendes konfigurieren, dann musst Du es entsprechend in einer neuen Domänenrichtlinie definieren.

Link zu diesem Kommentar
Wenn man es genau nimmt, würde es ausreichen die Richtlinie in der DDP einfach auf "Nicht definiert" zu setzen, da dann wieder die lokalen Richtlinien auf den Clients gelten (Remotedesktopbenutzer und Administratoren haben dieses Recht).

 

Das war mein Verständnisproblem, wenn ich also die jetztige DDP anpasse und den Administrator rausschmeisse greifen die lokalen policys ? Das wusste ich nicht !

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...