BlackCodeDe 0 Geschrieben 18. April 2017 Melden Geschrieben 18. April 2017 Hallo Zusammen, ich bin gerade dabei eine bestehende Berechtigungsstruktur umzubauen. Und komme an einen Punkt nicht weiter, nämlich das die Admin Konten der IT Admins auf den Domain Controllern per RDP anmelden können. Damit die Änderung an den GPO durchgeführt werden können usw. Aktueller Stand: AD Controller von 2008 - 2016 Jeder der Admins benutzt das Domän Administrator Konto um Änderungen an der AD durchzuführen. Wenn es mal zu einen Audit kommen sollte, ist es bestimmt das erste was wir auf den Füßen fallen wird. Zukünftiger Stand: Jeder IT Admin erhält bzw hat schon einen personlisierten Admin Konto ohne direkt Domain Admin zusein. Mit Konto sollen dann alle änderungen durchgeführt werden, die nicht unbedingt Domnen Admin Rechte benötigen. Ich habe schon folgendes Versucht: Ich habe einen Domänen Lokale Remote Gruppe erstellt für die DC´s z.B.: SS-L-Remote-ADC. Diese Gruppe habe ich in der Default Domain Controller Policy unter "Computer/Richtlinien/Windows-Einstellungen/Sicherheitseinstellungen/Lokale Richtlinien/Zuweisen von Benutzerrechten/Anmelden über Remotedesktopdienste zulassen" hinzugefügt. Und natürlich den Benutzern diese Gruppenmitgliedschaft hinzugefügt. Aber leider erhalte ich die Meldung "Die Verbindung wurde abgelehnt, da das Benutzerkonto nicht zur Remoteanmeldung autorisiert ist" Da auf einen DC keine Lokalen Benutzergruppen exisitieren, kann ich dort auch keine Gruppen zu den "Remotedesktop Benutzern" hinzufügen. Habe ich eine Richtlinie übersehen, die noch gesetzt werden muss? Gruß BlackCodeDe
testperson 1.860 Geschrieben 18. April 2017 Melden Geschrieben 18. April 2017 Hi, in der Regel muss sich niemand am DC anmelden. Nutze auf den Clients der Admins einfach die RSAT Tools zur Administration. Gruß Jan
BlackCodeDe 0 Geschrieben 18. April 2017 Autor Melden Geschrieben 18. April 2017 Hi Board Veteran, ja, das ist eine Möglichkeit die von mir intensiv genutzt wird, aber bei den anderen Admins auf Ablehnung stößt. Es gibt dennoch Fälle, das man sich per RDP auf dem DC anmelden muss, aber auch da soll der Domänen Administrator nicht genutzt werden sollen, nur ihre Personalisierten Konten. Kannst du mir sonst bei den oben genannten Szenario irgendwie behilflich sein? Gruß BlackCodeDe
Beste Lösung zahni 587 Geschrieben 18. April 2017 Beste Lösung Melden Geschrieben 18. April 2017 (bearbeitet) Die "Lokalen Gruppen" der DCs findest du im AD unter "Builtin". Ansonsten noch das Benutzerrecht "SeRemoteInteractiveLogonRight" auf den DCs beachten. Dort steht per Default nur die Gruppe "Administratoren" aus "Builtin" drin. bearbeitet 18. April 2017 von zahni
BlackCodeDe 0 Geschrieben 18. April 2017 Autor Melden Geschrieben 18. April 2017 Hi Zahni, das war der entscheidene Tipp. Die Builtin Gruppen habe ich komplett aus dem Fokus verloren. Nachdem ich die Benutzer in die Remote Desktop Benutzer hinzugefügt habe, war das Anmelden kein Problem mehr. Vielen Dank Gruß BlackCodeDe
NilsK 3.046 Geschrieben 18. April 2017 Melden Geschrieben 18. April 2017 Moin, Von wem erwartest du denn ein Audit? Unterliegt das Unternehmen einer Regulierung? Dann gibt es doch sicher auch Richtlinien. Gruß, Nils
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden